外為オプションとは

リスクマネジメントとは

リスクマネジメントとは
防災備蓄品の一部

リスクマネジメント/BCP

ハウス食品グループでは、グループ全体のリスクマネジメント活動の確認と各社によるリスクの自主管理を二本柱として、リスクマネジメントを推進しています。
グループ各社の効果的、効率的なCSR活動を推進するため、各社にCSR委員会を設置するとともに、CSR担当部署およびCSR推進者を設定し、各職場においてCSR委員会の方針に沿ったリスクマネジメント活動を推進しています。
一方、ハウス食品グループ本社は、リスクマネジメントに関するグループ全体の運営強化を目的にグループリスクオーナー会議を設置し、グループCSR委員会の監督・指導のもとグループ横断的にリスクを分析・評価するとともに対応策を策定し、その対応策の有効性をモニタリング・レビューするリスクマネジメントシステムを運用し、継続的な改善に努めています。

リスクマネジメント活動

事業継続計画(BCP)

目的 基本方針
社会的な責任を果たす 社員とその家族および関係者の命を守る
会社を守る
地域に迷惑をかけない(二次災害の防止)
供給責任を果たす
社会的な信頼を維持する 取引先への悪影響を防ぐ
早期業務再開による地域経済貢献
社員の地域活動を支援
積極的な地域連携・地域貢献
目的 社会的な責任を果たす 社会的な信頼を維持する 基本方針 社員とその家族および関係者の命を守る 会社を守る 地域に迷惑をかけない(二次災害の防止) 供給責任を果たす 取引先への悪影響を防ぐ 早期業務再開による地域経済貢献 社員の地域活動を支援 積極的な地域連携・地域貢献

有事への備え

ハウス食品グループでは、事業継続の観点から、社員の生命を守るため、安否確認システムの導入および各事業所に飲食料等の備蓄を行っています。
また、早期業務再開のため、情報のやり取りを確保できるよう、衛星携帯電話や発電機・蓄電池等を導入しております。
さらに、これら安否確認システムや備蓄品が有事の際に適切に使用されるよう、訓練や社内報による啓発等を通じて社員の事業継続に対する意識を高めています。

防災備蓄品の一部

防災備蓄品の一部

リスクマネジメントとは

Zホールディングスグループでは、ERM(Enterprise Risk Management)活動、グループ全体におけるインシデント発生の把握、リスクインテリジェンス活動および、リスクマネジメント意識の向上を柱に、リスクマネジメント活動を行い、リスクの低減に努めています。リスクマネジメントに関する規程を定め、規程に基づき、グループ各社におけるERM活動を推進するとともに、リスクマネジメント委員会や各種分科会における活動を実施しています。

Zホールディングスグループの2021年度トップリスク

トップリスクの決定とトップインタビューの展開

Zホールディングスグループの2021年度トップリスク

人命リスク 0. 従業員の生命の安全が脅かされるリスク
ガバナンス 1. グループ内ガバナンスの未整備・不首尾
内在リスク 2. 巨大IT企業への批判・規制
3. グループとしての技術開発・人材育成の遅滞
4. 世界的な意識変化への対応の失敗
新興型リスク 5. 地政学上・安全保障上のリスク増大の影響
6. AIに関する不確実性の増大
レジリエンス系 7. 事業環境の大変動
8. グループ各社の事業継続に関するリスク

グループ会社におけるERM活動

ERM推進体制

リスクアセスメント対象項目

環境
(Environment) 環境負荷
環境影響 社会
(Social) 人権・多様性
労働者
個人情報・プライバシー
サイバーセキュリティ
反社・マネーローンダリング・贈賄
アビューズ・不正利用
コミュニケーション
人事制度(人材戦略) ガバナンス
(Governance) 企業倫理
競争行動
法・規制・許認可
システム障害
データガバナンス
事業継続・危機対応
経営戦略
カントリー・地域
コンプライアンス・知財
会計・税務
財務 ビジネス
(Business) 品質・安全安心
ビジネスモデル・デザイン
サプライチェーン・調達
業務委託
市場・競合
人財・オペレーション
グループガバナンス
依存
訴訟 リスクマネジメントとは
ステークホルダー
事故・故障

先生のご紹介

1972年早稲田大学法学部卒業。San Francisco State College, Madrid University留学。米国と欧州にそれぞれ2年間生活して交友と見聞を広める。商社、メーカーなどでプロジェクトマネジャーなどを経験。「中小企業診断士」取得を機にコンサルティング・ファームで活動する機会を得る。伊藤忠ビジネスコンサルティング(株)の組織戦略推進部長を経て、1996年(社)中部産業連盟(トヨタグループ200社余などが会員企業)に入職し東京本部プロジェクト開発室長を歴任。2010年1月に(株)マネジメント21を設立、代表取締役になる。

管理職のためのリスクマネジメント

真部先生:リスクマネジメントをわかりやすく理解していただくために、リスクマネジメント実践の手順を遠距離恋愛に例えながら話したいと思います。

リスク特定やリスク分析など、遠距離恋愛をしているといろいろとリスクがあるわけなんですが、遠距離恋愛をすると3カ月くらいで約3割も別れてしまうんです。

その時にどんなリスクがあるのかというと、恋人と離れているので信頼関係を築きづらく、問題になります。ほかには、連絡をマメに取っているか・取っていないかもリスクのひとつです。最後は相手以外に夢中になれるモノを作っているかどうかですね。

受講生代表:人ではなくてモノなんですね。

真部先生:人ではダメです(笑)。

遠距離恋愛ではこういったリスクが出てくるわけです。これらのリスクの予防的対策をするには、信頼関係を築くためにマメに連絡をとることが大切ですね。一方で信頼関係が危なくなっているという発見的対策をするには、恋人と会ったときにいろいろ確認して、「危ない状況かもしれない」と発見できる可能性があるので、「恋人に会う」という機会を作ることが発見的対策になります。

また、恋人と離れていると誤解を招きやすいです。事前に考えるのは難しいですが、この誤解を解くことが「突発的対策」になります。

今度は「モニターリング」と「評価」を考えます。これは「有効性評価」です。さきほどの「予防的対策」ができていたのかを「有効性評価」します。たとえば恋人同士のイベントには、誕生日やクリスマス、バレンタインデーなどがあり、そのときにお互いの心遣いやプレゼントの内容を「有効性評価」し、「これは“ヤバい”」と判断した場合は、「継続的改善」をします。

「継続的改善」をするときには、当初よりも時間が経っているので「リスク特定」と「リスク分析」、「リスク評価」、「リスク対応」をやり直す必要があります。

受講生代表:授業に寄せられたコメントを見ると「リスクマネジメントと聞くと、重苦しく感じますが、遠距離恋愛の例で聞くと身近に感じます」とあるので、非常にわかりやすいと感じてもらえているようです。

真部先生:では、次は「リスクマトリックス」について説明します。これは必ず作るようにしてください。

現在管理職の方やこれから管理職になる方は、任せられた部署や人を会社としての目的・目標を達成しなければなりません。しかし達成するためには、思いがけないことがいっぱい起こります。それらを事前に予測しておくために、「リスクマトリックス」が必要です。

縦軸の「影響度」とは、「どのくらいの金額を被るか」という金額で表すものです。「影響度」が非常に高いものが「3」、まあまあ高いものが「2」、それほど高くないものが「1」となります。

横軸の「発生可能性」は、「どのくらいリスクが発生する可能性があるか」というものです。「3」はよく起こる、「2」はまあまあ起こる、「1」はまれに起こると判断します。

これが「リスクマトリックス」または「リスクマップ」と呼ばれるものです。限られた時間とコストのなかで、阻害要因を見つけ、対応すべきリスクを特定するために使用します。

受講生代表:では、次に「リスクマネジメント」の傾向について考えます。みなさんには、どのような傾向があるのでしょうか?

真部先生:ご自身がどのようなタイプか知っておいていただく必要があります。まずは下の画像を見てください。

「Rタイプ」はリスクマネジメントをしている方で、「Zタイプ」はリスクマネジメントをまったくしていない方です。「Rタイプ」は外出前に天気予報を確認し、携帯用の傘を用意して、雨が振り出しても濡れません。一方で「Zタイプ」は天気予報を確認しないので携帯用傘を持ち歩かず、雨が降りだしたらコンビニに駆け込んで傘を購入します。

このように分かれているので、まずはグラフを見て、ご自身のタイプを考えてみてください。

「Rタイプ」 の方は、被害を最小化して、リスクを離脱しています。雨にも濡れず、雷にも遭いません。ところが「Zタイプ」の方は、傘も買えず、雨に濡れて雷にも遭ってしまう。被害をたっぷり被り、リスクに翻弄されてしまいます。

今回は日常生活の事例を取り上げましたが、これは仕事でも同じような傾向が見られるので、一度判断してください。

受講生代表:では、次からは「日常管理でよくある問題への対応」をお願いします。

真部先生:アメリカの損保会社の技術調査部長・ハインリッヒが調査した「ハインリッヒの法則」というものがあります。彼がとった統計によると、ひとつ大事故があると、その裏には29件の軽微な事故があり、さらにヒヤリ・ハットは300件あるそうです。このデータを基本にしてJALやANAなどはいろいろと分析しています。

事故分析は必ず実施して、さらに事故の未然防止として、ヒヤリ・ハットを見なければなりません。ヒヤリ・ハットは安全のことでよく言われていますが、ここでは「危ない行動をやった」、「危ない状態を作った」ということが出てきます。これらは「不安全行動」といい、車で例えると「無謀運転をした」が該当します。それから「不安全状態」というのは、「車を点検しておくべきなのにしてなかった」という状態です。

上記を踏まえたうえで、今回の受講対象である管理職または管理職になる方に、だいたい共通する問題のひとつの「部下の早退、欠勤」についてお話します。

「リスク特定」を「育児や介護のために社員が早退」にすると、「リスク分析」は

「育児や介護予定を社員からヒアリング、話し合い」になります。社員に休まれると大変なので「影響度」は「3」にし、「発生可能性」は起こりえるので「2」とします。これを掛け算すると「6」となり、「大きさ」は「A 特大」です。「職場に育児や要介護責任者が複数いる」ことを「備考」に書きます。

次の「リスク特定」が「通院や入院で一部社員が欠勤」となると、「リスク分析」は「通院や入院の届け出、病歴」で、「影響度」は「2」、「発生可能性」も「2」とし、「大きさ」は「B 大」です。「備考」は「職場で健康管理の指導中」でこれはあまり取り上げる必要はなさそうと判断できます。

3番目の「リスク特定」は「インフルエンザ流行で複数社員が欠勤し長期化」です。「過去のインフルエンザ流行時の対処記録」を情報として調べると、「影響度」も「発生可能性」も高くなることがわかります。さらに、「備考」は「長期予報で寒波襲来の恐れがある」になり、大きなリスクになる可能性があります。

これを元に対策を考えてみましょう。

対策は「予防的対策」と「発見的対策」、「突発時対策」の3つを考えていただきます。

社員が早退することがよく起こるとなると、早退したあとの仕事がどうなるのか、電話を打ち切ることはできないので、社員やパートの多能化を進め、代替要員を育成しておくことが「予防的対策」の1番になります。これを実現するためには、作業・業務フロー分析で、該当業務を標準化しなければなりません。

次に「発見的対策」では週次ミーティングで該当者の有無を確認する、「突発時対策」では部署間で調整し、代替要員をシフトするという流れになります。下段のインフルエンザも同じような考え方ですね。

さきほど多能化を進めると説明しましたが、多能化をするためには作業・業務フロー図から作業・業務標準書を作る必要があります。

「業務フロー図」では、受注から出荷までの業務全体の部署間の仕事の流れ、ステップの明確化をします。次の「作業フロー図」では、たとえば土台工事があり、挨拶から始まり、フォークリフトをとってくるかなどの項目が考えられ、作業が始まります。

この「作業フロー図」内の作業の手順やポイントを抜き出したものが「作業・業務の標準書」になります。

これらを作成して多能化を進めますが、「多能化育成のためのスキルマップ」というものもあります。

このマップには「固有技術(業務・作業)」と「管理技術(改善)」の2つがあり、両方とも社員に身に付けていただくためのものです。

例えば安部さんの場合は、「A業務」は現状「②一人でできる」ですが、機械の故障にも対応できるように「③異常に対応できる」になってもらわなければなりません。「B業務」や「5S」なども同様に、それぞれスキルアップを目指します。

「多能化育成のためのスキルマップ」は社内などに貼りだして使ってください。

かいせつ先輩

管理職しているまたは管理職を目指しているみなさん、リスクマネジメントについて理解できましたか? まずは自分が「Rタイプ」なのか「Zタイプ」なのかを見極めて、効果的なリスクマネジメントを身に付けられるようスキルアップしましょう!

内部監査人向け「リスクマネジメント入門」と「監査」のポイント

災害、事件や不祥事等によって企業活動に影響を受けるのを避けて通る事はできません。
今まで、地震や台風等により企業活動に影響があった会社も多かったのではないかと思います。
自然災害は完全にコントロールすることは難しいですが、何もしないというわけにもいきません。
特に東日本大震災後、BCPを策定する会社が増えました。
BCPとは事業継続計画 (Business Continuity Plan)の頭文字を取った言葉です。
企業が、ある危機的状況下に置かれた場合でも、重要な業務が継続できる方策を用意し、生き延びることができるようにしておくための戦略 のことですが、危機的状況とはテロや、システム障害や不祥事といったものから災害も含まれます。
特に災害はいつどこで起こるかわかりません。日本中で地震が起こるリスクがあり、予測の技術も確立されていません。また、被害が出るような大きな台風や大雨等も毎年のように発生しています。 会社としてこれらのリスクに立ち向かわなければなりません。

リスクに立ち向かうためには、BCPのように 「リスク」をできる限りコントロールして、被害を抑えるような対応をとる必要があります。
これを「リスクマネジメントと呼びます。内部監査部門としては会社が「リスクマネジメント」を行っているか監査することになりますが、「リスクマネジメント」を理解しなければ監査はできませんので、まず、リスクマネジメントの流れを確認しましょう。

リスクマネジメントの流れ(特定・分析)

では、具体的に内部監査部門としては何をすべきかですが、上記の「リスクマネジメント」を会社として行っているか注目すべきです。監査するためには「リスクマネジメント」の進め方を理解しておくべきです。
今回は災害という切り口で具体的に「リスクマネジメント」をどのように進めるのか見てみましょう。
■特定
まずリスクの特定が必要です。リスクの特定とは、リスクを発見する作業 となります。
会社にとって起こる可能性が0%の災害リスクは考慮する必要はありませんが、今までの自社での災害に伴う影響や、他社で発生した事例、拠点の場所の発生可能性等色々な情報・色々な部署からの情報をもとに 発生可能性のある災害リスクを一旦、すべて項目化 していきます。
■分析
リスクの特定で洗い出された各種リスクを、その「影響の大きさ」と「発生確率」の両面から分析・算定します。
分析・算定方法は、一般的には「影響の大きさ」×「発生確率」という計算式で算出します。
「影響の大きさ」としては、その災害が発生した場合の会社の損失額、一方「発生確率」は年間発生する回数を掛け合わせることにより、算出することができます。
「影響の大きさ」が小さければ問題が小さいとは一概に言えません。「影響の大きさ」が小さくても「発生回数」が年に何回も発生する可能性があるのであれば問題が大きいと言えます。
例えば、台風が来て発生する損害が小さい場合であっても日本中に拠点があると、被害が出る可能性が高まり、発生回数が増えます。その場合、問題が大きいとなる場合もあります。
このように、会社が営んでいる事業、規模、拠点数によっても大きく異なることになりますので、しっかりとした分析が必要です。

リスクマネジメントの流れ(評価・対応)

■評価
分析の次は「リスク評価」 となります。
もし、分析した順番で「リスクの対応」をした場合、優先すべき項目が後回しになり、問題が大きくなる可能性があります。
そうならないため、 リスクマネジメントの本来の目的である「リスク対応」に進む前に大事なリスクを絞り込み、優先順位を付けて処理する必要があります。
「リスク評価」の具体的な方法としては、表に分析結果を入れ、優先順位が決めれるように「見える化」 します。
以下の表が一例です。このような表を利用し評価を行い優先順位を明確にします。
■対応
「リスク分析」から得た「リスク評価」を基に、正しい対応方法を定めて実施することを「リスク対応」 といいます。
具体的な対応策はいくつかありますが、一番多いのは 「リスクの軽減」 です。
影響度や発生可能性の軽減のための対策を行います。リスクを0にすることはできませんが、軽減することは可能です。例えば、レンタルサーバ提供サービスを事業としている会社がデータセンターを建設する場合、振動に弱いサーバーのために、できるだけ地震の発生が少ない土地に建設するということも「リスクの軽減」ということになります。
他にも対応策として 「リスクの移転」 というものがあります。保有するリスクを外部に委託、または保険等によって、委託先やサプライヤーにリスクを移転させるということです。

このように、 リスクマネジメントは リスクを特定・分析・評価・対応する一連の流れのことを言います。
今回は災害という切り口で見ましたが、他の要素についても基本的に同じ流れになります。

リスクマネジメントについての監査方法

リスクマネジメントは、継続的に行うことが重要です。リスクはその時々で変化していきますので継続して行わないと、無意味なものになる可能性もあります。
災害で大きな損害を被った事例のその後を見ると、対策が風化していた、見直しがされておらず問題が大きくなったといった指摘が多く聞かれます。
そのような事態にならないように、 内部監査部門としては、会社としてリスクマネジメントがうまく機能しているか監査する必要 があります。

上記の リスクマネジメントに必要な「特定」「分析」「評価」「対応」が適切に実施されているかを確認 しなければなりません。
「リスクマネジメント」は一部の人間がすることではなく、会社全体で対応すべきであり会社として「特定」「分析」「評価」「対応」したという証跡も残すべきです。

リスクマネジメントの監査の具体的な項目としては、以下になります。 リスクマネジメントとは
・リスクマネジメント体制の確認
監査例:社長をトップとした部署横断する「リスクマネジメント委員会」等の設置の確認。
リスクマネジメントに関する規程の整備状況の確認
・リスクマネジメントを行っていることがわかる資料の確認
監査例:リスク評価資料の確認。リスクマネジメント委員会の議事録の作成状況と内容の確認。
・「特定」「分析」「評価」の後の「対応」の確認
監査例:リスクマネジメントの対応策が現場に周知されているか。また、その対応策の実施状況の確認。 リスクマネジメントとは
現場でのリスクマネジメントに対する意識の浸透度の確認。
・リスクマネジメントの継続的実施の確認
監査例:定期的なリスク評価資料の更新の有無。(新たなリスクの検討・現在認識しているリスクの再評価等)

今回は災害を例に「リスクマネジメント」の流れの解説と「リスクマネジメント」の監査ポイントをお伝えいたしました。
増々、企業は「リスクマネジメント」を行うことが求められています。そして、内部監査部門としては会社全体にかかわり監査しづらいテーマでありますが、「リスクマネジメント」について理解できれば監査はできると思いますのでぜひ参考にしていただき、監査につなげていただきたいと思います。

リスクマネジメントとは
「リスク」をできる限りコントロールして、被害を抑えるような対応をとること
「リスクマネジメント」の流れとしては「リスクの特定」→「リスクの分析」→「リスクの評価」→「リスクの対応」

リスクマネジメントの流れ
①特定
会社で発生するリスクを発見し、一覧化する。
②分析
洗い出された各種リスクを、その「影響の大きさ」と「発生確率」の両面から分析・算定する。
③評価
「リスク対応」に進む前に大事なリスクを絞り込み、優先順位を付ける。
④対応
「リスク分析」から得た「リスク評価」を基に、正しい対応方法を定めて実施する。

リスクマネジメントに対する監査ポイント
・リスクマネジメント体制の確認
・リスクマネジメントを行っていることがわかる資料の確認
・「特定」「分析」「評価」の後の「対応」の確認
・リスクマネジメントの継続的実施の確認

企業は「リスクマネジメントを行うことが求められている。
そして、内部監査部門としては会社全体にかかわり監査しづらいテーマだが、「リスクマネジメント」について理解できれば監査は可能である。

「デジタルリスクマネジメント」とは? 従来のリスク管理とどう違うのか:第1回

図1:Control by DigitalとControl for Digitalで成り立つ
拡大画像表示

DX推進で重要となるシフトレフトの実践

「デジタル化されていく組織内のプロセスや流通・蓄積されるデータを活用して、リスクを低減する」──Control by Digitalの仕組みがデジタルリスクマネジメントであることを説明したが、企業が推進するデジタル化やDX自体のリスクをコントロールする、もう1つの側面にも着目したい。

デジタルリスクマネジメントのもう1つの側面とは、リスク部門・コンプライアンス部門が早期に関与し、DXの推進が一体となり、制度化された仕組みの中で運営される、まさに「シフトレフト」が、デジタル化に対する最適なコントロール(Control リスクマネジメントとは for Digital)を実現するという考え方である。各組織に明確なミッションを与え、DX推進プロセスに組み込んでいくことが重要である。

IT Leaders 会員登録(無料)ページヘ

ログインして記事を読む

    (2022/01/06) (2021/11/19) (2021/10/15) (2021/09/22) リスクマネジメントとは (2021/08/16)

おすすめのホワイトペーパー

  • IT基盤(クラウド/データセンター)[検証]デジタル庁─デジタル立国に向けた課題と期待【IT Leaders特別編集号】
  • データ活用デジタルリーダーが説くDXの極意 [AI活用・アジャイル・共創]編【IT リスクマネジメントとは Leaders特別編集号】
  • データ活用[製造業DX]デジタルが導く未来のものづくり現場【IT Leaders特別編集号】
  • データ活用DIGITAL OR DIE─デジタル戦略なくして企業の成長はあらず【IT Leaders特別編集号】
  • 業務システム(フロントオフィス系)テレワーク拡大で問い合わせ件数が急増!社内ヘルプデスクの「困った」をどう解決するか

Special

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます
Impress Business Libraryもご利用いただけます。

IT Leaders 会員登録(無料)ページヘ

ログイン

会員登録内容 変更

[特集]プロセスマイニングの実践

[特集]新常態のデジタルリーダーシップ─IT部門の責務と重要テクノロジー

[特集]データ駆動型企業へ!─データを制するものがDXを制す

[特集]プロセスマイニングの実践─プロセスの可視化・分析からその先の [DigitalOps]へ!

プロセスマイニング コンファレンス 2022 LIVE

IT Leaders Tech Strategy LIVE「ローコード/ノーコード開発」を究める

IT Leaders Tech Strategy LIVE 2022年以降の「デジタルワークプレイス」その必要条件

IT Leaders Tech Strategy LIVE「ゼロトラスト」へのシフトを急げ!

「デジタルリスクマネジメント」とは? 従来のリスク管理とどう違うのか:第1回ニューノーマル時代=コロナ禍が人々の社会や生活を一変させた一方で、企業・組織では感染対策のためのワークスタイル/ワークプレイス変革が進展することとなった。至上命題であるデジタルトランスフォーメーション(DX) の機運と共に、テレワークやペーパーレス、ワークフローなどの導入・刷新が急速に進む中で、これまであまり顕在化しなかったリスクへの対処が大きな課題となっている。本稿では、ニューノーマル時代にDXを推進するにあたって必須で求められる“リスクマネジメントの転換”=「デジタルリスクマネジメント」をテーマに、重要なポイントを取り上げて解説していく。

Copyright ©2022 Impress Corporation. All rights reserved.
CIO Insight is a trademark of QuinStreet Inc.

関連記事

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次
閉じる