“図解ひとめでわかるリスクマネジメント”を読んで

リスク・マネジメントに関して総合的に書かれた本は少ない。それを“一目で解る”ように書いているというのは、驚きそのものなので、頭の整理のためにも役立つはずだと思い読んでみたのが、この“図解ひとめでわかるリスクマネジメント”であった。内部統制的な総合リスク・マネジメントの入門書（製造業等に向けた工学的リスク・マネジメントではないが）と言え、その点で期待通りの良書と言える。テーマが見開きで右側に解説、左側にそれを図解していて解り易い。だが、通読してみると残念なことに　説明の流れが戻ったりするので、時として戸惑うという構成上の問題はあるように思った。以下、重要部分に順次コメントを付記したい。

本書はこういったマネジメント・システムの構築ではあまり語られないディメリットに“コスト”であると言及し、それには“人や時間といった貴重な経営資源も含まれ”る、と指摘している。しかし、それはリスク・マネジメントの場合だけではなく、どのようなマネジメント・システム（特にISOマネジメント・システム）の構築においても言えることである。それは、そのコストを個々の経営者がどのように評価しメリットと比較衡量するかの問題である。ただ単に、顧客要求に応じて表面的に実施するだけならば、しわ寄せが一部の担当従業員だけに向かい、彼らがその負担に耐えかねることに終われば、その分見えざるコストは過大になり、しかもマネジメントの有効性は得られず、害悪ばかりとなる。しかし、そのような理解不足の経営者も多く、残念な事態に立ち至っている企業が多いのも現実である。経営者のポジティブな“思い”や熱気がそこに込められていなければ、何事も成功しない。新たなマネジメント・システムの構築・導入には経営者の覚悟が必要なのだ。

この本では次に、そのマネジメント体制に言及している。通常リスクについては、実はどのような会社も対応しているのだが、それは “コンプライアンスに関するリスクは法務部が管轄し、情報セキュリティに関しては情報システム部が管轄し、新規事業への投資に関しては各事業部門が管轄するといった”形で行われており、全社で一貫して行われず“部分最適”で行われているため二重管理や、場合によっては誰も管理していないリスクも起こりうる。“縦割り行政”の愚を犯す危険性が大きい。そういう点で“リスク”という新しい切り口で、“リスクの統括責任者”を置き、その下に統合的で一貫性のあるマネジメント・システムを作り直す必要がある。又、著者は“統括責任者が不明確な場合、リーダーシップが発揮されず、リスク対策が滞ってしまうおそれ” がある、と指摘している。そういう意味で“全体最適型”である必要があり、それは通常“ＥＲＭ：Enterprise Risk Management”と言われ、本書では “リスクマネジメント”と呼ぶと宣言している。
本書では全社の統括体制は、ISOマネジメント体制と同じような“最高経営責任者（CEO、社長）、（リスクの統括責任者としての）リスクマネジメント担当責任者（CRO）、リスクマネジメント委員会、リスク管理部署等から構成”することを想定している。そして“（CRO直属の事務局の）リスクマネージャーは、「経営と現場をつなぐ要」であり、きわめて重要な機能”であり、“最高経営責任者またはCROの号令のもとで、旗振り役となって現場を動かしていく”ものであり、“現場におけるリスク管理の実効性を高めるためには、管理単位とともにリスク管理担当者（現場リーダー）”も重要で、求められる資質は、前述したリスクマネージャーのそれと同様で現業部門でのキィ・パーソンである、としている。

次に本書はリスク定義を示し、“組織の収益や損失に影響を与える不確実性”としているが、それに引き続き様々な定義があるとして3つの分類を説明している。
[第１の分類] “リスクを、プラスの影響、マイナスの影響どちらも与えるもの”として考え、本書のリスク定義と同じ。“双方を一元的に管理することで、リターンを増大させるために積極的にリスクテイクするといった活動に結びつけやすい定義”。金融系では、プラスの影響で機会ロスを蒙るリスクもあるので考慮しなければならないのであろうか、
[第２の分類] “リスクを、マイナスに影響するもののみ”とし、“プラスの影響を無視していることが、この分類の特徴”で、“これは、従来より広く使われている定義”だが、“リターンを増大させるために積極的にリスクテイクするといった活動には結びつきにくい定義”のため、安全工学系で使われている。
[第３の分類] “リスクを、マイナスに影響するもののみ”とするが、“プラスに影響するものには別の名前をつけて管理”するのがこの分類の特徴としている。
ISOの“リスクマネジメント−原則及び指針”のISO31000では、リスクの定義は“目的に対する不確かさの影響”としており、明らかに第１の分類定義を採用しているが、ISOの他分野とはリスク定義が異なっているように見える。これはどうやらISO31000のリスク定義とは関係のないところで、ISO規定表現を共通化する枠組“共通テキスト”（共通の章立）が定められたようで、そこでは“6 Planning(計画)　6.1 Actions to address risks and　Opportunities(リスク及び機会への取組み)”の章立が確立されている。つまり、その章立がここで言う第３の分類のリスクを用語として使ったため、外部からは混乱と見えるのではないだろうか。（ISO31000の第1の分類であれば“リスク及び機会”は“リスク”の一言で済む。）だから、困ったことに改訂中のISO9001文案も混乱しているように見えるのではないか。私は、ISO31000のリスク定義よりも“第３の分類”の方が、一般にも解り易く常識的だと思うし、万人に及ぼすべき規格の用語は常識的であるのが本来ではないかと思う。

本書では“リスクマネジメントは、「リスクが発現しないようにリスクを管理すること」であり、危機管理は、「重大なリスクが発現した場合の損失を最小限に抑えるように管理すること」” であるとしているが、私は危機管理も含めて広義のリスク・マネジメントと考えるべきではないかと思うし、本書も危機管理の内容については後半で触れている。そういう観点で、私はISO31000よりもIS0 22301の方が実際的で有益ではないかと考えている。

先ず、リスク・マネジメントの手順として“リスクを洗い出し対処の優先順位を定める”のであるが、そのリスクの洗い出し方法は、“アンケート方式とセッション方式の２つに大別”できるとしている。私は、これを先に現業部門の従業員にアンケートで聞き出し、それを総合する過程で、スタッフ部門従業員を集めてセッション方式で意見を交えつつ総合・総括して行くのが良いのではないかと思っている。勿論ここでは、必要に応じてアンケートの総括結果を現業従業員にもセッション方式で問いかけなおして総合するのも良いだろう。とにかく柔軟に漏れなくリスクを拾い上げることが肝要である。
ここで、本書は“リスク一覧表”を掲げているがこれが重要である。そこにアンケートやセッションで挙げられなかったリスクがあった場合、そのリスクは考慮しなくて良いのか議論する必要はあり、本書でもこのような“リスクの分類を行うことは、拾い漏れを防ぐ”ためには大切だとしている。さらに本書は、トーマツで実施している“リスク・インテリジェンス・マップ”を紹介していて、さらに細かく総括的で有効だと思われるが、これには著作権があるのだろう。又この分類の下に個別リスクが存在するが、当然ながら“個別リスクは事業や組織規模で異なるため、企業ごとにカスタマイズすることが必要”と言っている。FMEAを行う時と同様に、これらリスク分類を汎用モードと見做して　具体的な個別リスクを遺漏なく収集することがコツであろう。また恐らく、毎年の事業計画を策定する際の前提となる個別リスクを見直す時、最初と同様の手順で個別リスクを拾い上げ全体の中で以下に述べる方法で評価し直し、システム全体の見直しをするべきであろう。

挙げられた個別リスクの評価については、リスク・マップによって視覚的に重要性を分類するとしている。つまり、縦軸に“影響度：リスクが発現した場合、どの程度のインパクトがあるか”とし、横軸に“発生可能性：事象頻度”としてマップ化する。（例えば、影響度は損害額で高：1億円超、中：～1億円、低：100万円、で分類し、発生可能性は高：（日常的に発生）月に1回、中：(中程度) 年に1回、低：(ごくまれに発生で分類する。)　ここであまりメッシュを細かくしても意味がないと本書は指摘している。
また、“最近のトーマツの調査によると、重大な損失は「影響度」が高く発生頻度の低い事象による場合が多いとの結果” が出ており、“「影響度」が高く発生頻度が低い事象であっても、リスクの「影響度」がきわめて高い場合は、発生可能性にかかわらず対応”するべきであると言っている。正しく千年単位で生起する原発リスクはこれに当たると思われる。

次に、リスク・マネジメントの手順として、その対処するべきリスクへの対応には、①回避（廃棄・売却）②低減（対策）③移転（保険）④受容があり、その中で重要な“リスク対策にはリスクを具体化して細分化”する必要があるとしている。
そして手順として優先して対応を必要とするリスクを選定した後、対策に関する基本計画を作成するべきである。この“基本計画は、経営者または上級管理職によってリスク対策の方向づけを行うものであり、現場レベルでの具体的かつ詳細な対策内容を決定するもの”ではない。そして、“① リスク戦略（回避、低減、移転、受容のいずれか）②リスクマネジメント目標③リスク対策の概要④期限の設定”の順で進めるが、ここでは⑤担当の追加設定も必要であろう。恐らく、この中で“②低減（対策）”に分類されたリスクは、さらに具体的詳細な対策実施計画と具体策が必要だ。
次に、できあがった体制を記述したマニュアルを作成しておくことが必要としている。私は、リスクに関するISO規格を参照して同じような章立で構成し作成するのが良いと思う。
さらにモニタリング即ち内部監査に相当すると思われるが、その必要性を述べているが、私はマニュアルを中心に監査するのが有効だと考える。つまり、先ずマニュアルの内容の妥当性を参照した規格に沿って見、その後　そのマニュアルが実際に適切に運用されているかを見れば良いと思う。これはISOマネジメントで行われる監査・審査と同じ考え方だ。

この後、さらに事業継続BCMというか、リスク顕現（リスクのインシデント化）後の危機管理について言及しているが、この本は2012年に発行されているためか、結果的にIS0 22301(事業継続マネジメントシステム)を無視している。しかし、その元となった英国のBS25999規格は、引用しているのでこの点に関する問題は　少ない。
例えば、現状を“分析”し、その対策を検討して枠組を“策定”し、対策に必要な資源を“導入”してマネジメントを開始することになるのだが、その“分析”において“業務の洗い出しを行ったうえで、業務の頻度や影響度などによって重要業務を特定[ビジネスインパクト分析（ＢＩＡ）]”を重点的に管理対象とすることは、IS0 22301にも規定されている。
この“分析”において本書では、“トーマツの重要業務を特定法”を紹介している。これは、“経営資源（リツース）に着目するBCMは、想定外のトラブルにも柔軟な対応が可能”という発想に基づき考案されたものである。ここでは経営資源として、次の５つを取り上げ、“建物（Building）、設備（Equipment)、テクノロジー（Technology特にIT情報システム)　、人的資源（Human Resources)、取引先（3rd Parties)これらの頭文字をとって、トーマツではこの方法論を「ＢＥＴＨ３」と呼んで”いるとのこと。逆に、こうした要素を基準にして目標復旧時間（RTO：Recovery Time Objective）から、重要業務を特定しておけば　ＢＥＴＨ３の組替えで、想定外のトラブルにも柔軟な対応が可能となると言う。実際には、“日本企業として不可欠のBCM対象は「インフルエンザ・パンデミック」と「地震」”なので、最低限これらへの備えは必須としている。（地震BCMは経産省が例示している由。）こうした危機管理マネジメントには定期的な模擬演習が行われなければ、危機が現実化したときに有効に働かないのは言うまでもない。

最後に、この本は最近企業活動の拡大に伴い企業がグループ化しており、統治システムが複雑になっている場合の危機管理に言及しているが、ここでは簡単に注意点を述べるに留めている。そして、最後に“リスクの計量化”の手法として、VaRも紹介しているが、紙幅の関係であろうか考え方だけが分かる不十分な説明となっている。