第1回、第2回と東日本大震災の被害の概要とその特徴について述べてきた。第3回では、企業がこうした災害に向き合うための「リスクマネジメント」と「危機管理」について述べる。両者は似た意味を持つものに聞こえがちだが、定義の異なるものであり、どちらも欠くべからざるものだ。
ERM(全社的リスクマネジメント)という言葉を耳にしたことがある読者は多いだろう。Enterprise Risk Managementの頭文字を取ったもので、企業全体がリスク、すなわち企業の目的を達成することを阻むものを乗り越えて、健全に発展することを目的とした考え方である。
実際はリスクには様々な種類がある。地震や水害などの自然災害もあれば、製品の欠陥とリコール、あるいは情報漏洩や法令違反なども含む。
さらに、新製品の開発失敗や、競合他社による脅威、製品技術のパラダイム転換、企業買収、法規制の制定・撤廃といった事業環境関連のリスクも含まれる。これらのリスクに適切に対処し、健全な発展を目指す経営管理手法が全社的リスクマネジメント、すなわちERMである。
リスク評価の基本はリスクマップ作成
リスクマネジメントの組織運営の在り方を示したフレームワークの1つには2009年に制定された国際標準規格ISO31000がある。この規格はリスクを「目的に対する不確かさの影響」と定義している。つまり軸足を未来に置き、「不確かさ」がリスクの本質であるとする。また、ここでいう目的を「企業そのものの発展」とすればERMとなる。
同規格は影響についても、前述したERM同様に広く捉えている。地震や火災、機密情報の漏洩、法令違反、新製品の開発失敗などを含む。
リスクの本質はこのISO31000の定義のように「不確かさ」であるため、経営者はどこまで対処すればよいか判断に迷うのである。当然のことだが、確実に発生するものは「克服すべき課題」であってリスクには含めない。
リスクの評価方法については、リスクマップを使うのが一般的だ。企業を取り巻くリスクは小分類で約100種類あるといわれる。これらを1枚の図にプロットするのである(図1)。
プロットの位置は、「発生の確からしさ」と「影響の大きさ」の2つの軸で評価する。こうすればリスクの相対関係が明らかとなり、優先的に取り組むべきものを絞り込むこともできる。右上にあるリスクは発生頻度が高くまた経営への影響も大きいリスクであり、対処を優先すべきリスクである。次いで左上、右下と対処していく。
このように、リスクマップは、経営にとってのリスクを「見える化」でき、人、物、資金、時間といった経営資源をどこに投入すればよいかの判断ができるようになる。また、関係者間で共有するのにも役立つ。
重要なリスクに対しては、発生防止策や、万が一発生してもその影響を抑える策を実施することになる。例えば、防止活動の組織化、マニュアルの作成、防災機器の導入、要員の訓練、点検監査などだ。
コストを意識する経営者ほど想定外を抱える
だがこうしたやり方には2つの課題が残る。第1に、発生頻度が低いと判断されたリスクが顕在化してしまうケースがあること、第2に、発生時の影響の大きさが想定をはるかに超えるケースがあることである。
本連載の第1回でも論じたように、今回の津波の大きさについては後者の「想定外」といえる。さらに、原発事故については、発生頻度が低いはずのリスクが顕在化したものだともいえるだろう。
「想定外」と経営者が釈明せざるを得ない状況がどうして生じるのであろうか。これも第1回で少し触れたが、経営者はコストの問題を意識するあまり、自社のコスト負担能力で対処可能な範囲に、被害想定を小さくしてしまいがちなためである。これは日常のリスクマネジメントが陥りやすいワナといえる。
その結果、自社で対処可能な被害の大きさの範囲で対処策を講じ、訓練を行い、備えができていると勘違いしてしまう。
そんな企業に、時としてリスクは猛威を振るう。これは自然災害に限ったことではなく、数年前のリーマンショックもこの一例である。
どの企業にとっても「想定」とは自己責任の決めごとである。こうした事前の計画を超えたリスクに襲われるケースがあることを企業経営者は認識するべきなのである。
