公開日
更新日
新規事業のスタートや情報セキュリティ対策といった大局ではもちろんのこと、日々の業務における意思決定においても、ビジネスを行う上では常に大小さまざまなリスクが存在します。
ただ、リスクの影響が及ぶ業務や、その大きさなどを正しく把握し、プロアクティブに対処しておけば、損失は最小限に抑えることができるため、必要以上に恐れる必要はありません。
本コラムでは、企業を対象としたリスクマネジメントについて、概要をご紹介いたします。
リスクマネジメントとは、企業などの組織を運営する上で生じるリスクを管理することで、被害の発生などを最小限に抑えようという手法のことをいいます。
ただ、リスクマネジメントには、ISO規格、JIS規格、IEC規格、中小企業庁、プロジェクトマネジメント協会など、いくつもの規格が存在し、厳密な定義はそれぞれの規格で異なるため、上記は広義の解釈となります。
一例として、中小企業庁とJIS規格による定義をご紹介いたします。
中小企業庁のWebサイトによれば、リスクマネジメントとは「リスクを組織的に管理(マネジメント)し、損失等の回避又は低減を図るプロセスをいい、ここでは企業の価値を維持・増大していくために、企業が経営を行っていく上で障壁となるリスク及びそのリスクが及ぼす影響を正確に把握し、事前に対策を講じることで危機発生を回避するとともに、危機発生時の損失を極小化するための経営管理手法」と定義されています。
JIS規格でのリスクマネジメントは「あらゆる業態及びあらゆる規模の組織において、リスクに対する最適な対応を行うための指針を示すものであり、あらかじめ目的を設定し、これを達成するために、組織の意思を決定し、パフォーマンスを改善することで、組織における価値を創出し保護するための活動」と定義されています。
厳密な定義は、それぞれ異なりますが、大筋の意味としては、あらかじめリスクを把握することで、組織の運営目的を阻害しないよう管理していくということになるでしょう。
リスクマネジメントは、なぜ重要なのでしょうか?
まず、リスクとは何かを考えてみましょう。リスクとは一般的に、将来的に起こり得る不確定な事象のことをいいます。
たとえば、災害や不景気といった社会全体を取り巻く大きなものから、市場の縮小や強力な競合の登場といった自社の周辺に起こり得ること、さらにはサイバー攻撃やハラスメント、従業員の不正、新商品開発の失敗といった社内で起こり得るものなど、大小さまざまなリスクがあります。
冒頭でもお伝えしたように、企業活動が行われるあらゆる場面で、影響度の大小こそあれ、リスクは付いて回ります。これらを放置すれば、当然ながら経営はうまくいきません。
では、すでに把握できているリスクに対処すれば、良いのでしょうか?実は、それでもまだ不十分です。把握できていなかったリスクが発生した場合、スムーズに対処できるとは限らないからです。
リスクマネジメントでは、まず社内外に潜んでいるリスクを洗い出し、それらを正しく評価して優先順位をつける「リスクアセスメント」を実施します。その上で、「低減」「回避」「移転(共有)」「受容」のいずれかの対応をとります。
そうしてリスクマネジメントに取り組んだ結果、「思いもよらないリスクの発生に翻弄されて、経営が揺らぐ」といった事態を予防し、万が一リスクが発生した場合の対処を決めておきます。リスクマネジメントではリスクの可能性を把握することが重要なのです。
リスクは、大きく「純粋リスク」と「投機的リスク」の2種類に分けることができます。
ここでは、中小企業庁の2016年版「中小企業白書」によるそれぞれの定義をご紹介いたします。
純粋リスクとは、中小企業白書によれば、「損失のみを発生させるリスク」とあります。
前章で挙げたような災害やサイバー攻撃、従業員の不正などが起きれば、多くの場合、経営状況は悪化しますから、事前に保険加入や訓練などで予防すべきものです。
投機的リスクとは、『「ビジネスリスク」とも呼ばれ、損失だけではなく利益を生む可能性もある事象』とあります。
「純粋リスク」のように、リスクの発生によって損害ばかりを被るのではなく、リスクと、リスクを取ることで発生する利益の両方が存在し、損害の発生を最小限に抑えることで、利益を得るための対処が重要になります。
リスクマネジメントの重要性と方向性については、ここまででご理解いただけたかと思います。
では、リスクマネジメントを実施する際のプロセスはどのようになっているのでしょうか?
リスクマネジメントに必要なプロセスは、「リスクの特定」「リスクの分析」「リスクの評価」「リスクへの対応」の4つです。
リスクの特定とは、リスクを発見、認識および記述するプロセスのことです。
企業など組織がその目的・目標などを阻害する恐れのある要素を洗い出し、カテゴライズします。
たとえば、サイバー攻撃に関するリスクであれば、「新たなマルウェアの登場」「自社の情報システム担当者の離職」といった要素を「脅威」「脆弱性」などのカテゴリに分類していきます。
リスクの分析とは、リスクの特質を理解して、リスクレベルを決定するプロセスです。
次のプロセスである「リスクの評価」を行うために実施されます。
リスクの分析を行う際は、「発生確率」と「影響度」の2軸でリスク要素をマッピングすることで、リスク全体を体系的に把握し、可視化することができます。
リスクの評価とは、リスクとリスクレベルが、許容できるかどうかを決めるために、前のプロセス「リスクの分析」で得られた結果と、自社のリスク基準とを比較するプロセスです。
比較することで、実際に対処する際の優先順位を判断します。
ここまでの3つのプロセスをまとめて「リスクアセスメント」とよびます。
リスクへの対応とは、前のプロセスで評価した個々のリスクに対し、「低減」「回避」「移転(共有)」「受容」の4種類のうち、いずれかを選んで実際に対処するプロセスです。
すべてのリスクについて、ここまでのプロセスで得られた情報を元に、4つのうちのどれを適用するかを検討し、実施します。
以下、情報セキュリティ対策を例に説明します。
・低減…リスクの発生確率を下げる、もしくは発生した場合の影響度を小さくするための施策に取り組む(例:マルウェア対策ソフトの導入など)
・回避…リスク発生の原因そのものを排除し、リスクを発生させないこと(例:オフィス内にスマートフォンの持ち込みを禁止し、情報漏えいを防ぐ)
・移転(共有)…リスクを自社のみで抱えず、他の組織と分かち合うこと(例:システムの監視・障害対応をセキュリティベンダーに任せる)
・受容…あえてリスクに対して何もせず、リスク発生を受け入れること
企業を対象とした一般的なリスクマネジメントについて、概要をご紹介しました。
企業を取り巻くリスクには、さまざまなものがあり、顕在化しているものがあれば、潜在的なものもあり、影響範囲もそれぞれです。
これら一つひとつをリスクマネジメントによってあぶり出し、対処の優先度を決めて対応することで、不測の事態を可能な限り予防できるようになります。
なかでも、近年、高度化・巧妙化しているサイバー攻撃は、どの組織にとっても大きなリスクとなっており、情報セキュリティ対策は重要です。
アイネスでは、リスク分析をしっかり行うことで、標的型メール攻撃訓練、脆弱性診断、セキュリティ監査などお客さまに適切な対策をご提案いたします。
詳しくは、こちらのページをご覧ください。
【関連記事】
たった一通のメールを開封しただけで...。『標的型攻撃メール』の脅威
標的型攻撃メール 見分ける力と開封してしまった際の初動対応力が、被害を最小限に食い止める
※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。
弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談ください。