リスクマネジメントをもっと多くの人に身近に感じてもらえないものか。ITproでリスクマネジメントにかかわる「IFRS(旧 内部統制.jp)」「ITガバナンス/ERM」を担当する筆者は常々、こう考えている。
リスクという言葉自体は「リスクを冒す」「リスクが大きすぎる」など一般に使われている。いまサッカーの祭典「FIFA ワールドカップ 2010」が話題を集めているが、ここでもリスクという言葉が盛んに出てくる。
リスク(risk)とは、大まかには「ある目標を遂行する上で障害になる事象が生じる可能性」を指す。可能性の話なので、その事象は起こるかもしれないし、起こらないかもしれない。ただ、起こってしまうと、あらかじめ描いていた計画や目標の遂行を遅らせたり、場合によっては計画の変更を迫られたり、計画を中止せざるを得なくなったりする。
ビジネスの世界でもサッカーの試合でも同じだが、組織活動の責任を担う経営者や監督はできるだけ当初描いたシナリオ通りに事を進めたいと考える。そのためには、重要なリスクをできる限り排除するか、排除できなくても可能な限り小さくしておきたい。そのための組織的で継続的な取り組みがリスクマネジメント(risk management)である。
実は意識的か無意識かはともかく、ほぼ誰もがリスクマネジメントに近いことを実践しているはずだ。「これを今やっておかないと、後で大変だな」「あの件を伝えておかないと、知らずに間違った判断を下してしまうかもしれない」というのは、いずれもリスクを予見し、それに対する対応策を打っているとみなせる。
リスクマネジメントの分野には、ビジネスパーソンが普段の行動に応用できそうな考え方やノウハウが結構ある。「ERM(エンタープライズ・リスクマネジメント)」「内部統制」「GRC(ガバナンス、リスク、コンプライアンス)」など、この分野の言葉や説明は分かりにくかったり、とっつきにくいものが多かったりするが、リスクマネジメントに背を向けてしまうのはもったいない。
「不確実性の時代」という言葉がはやったのはずいぶん前のことだが、現在は当時に輪をかけて不確実性に満ちあふれている。組織としてリスクマネジメントを普段から意識的に実践するだけでなく、個人のレベルでもその考え方を生かして行動することは、今を生き抜く術(すべ)としても必要不可欠ではないかと筆者は考えている。
ここではリスクマネジメントの考え方を、少しだけ紹介したい。分かりやすくするために、用語をいくぶん“意訳”して使うことをご容赦いただきたい。
リスクに対応する前に「評価」する
リスクマネジメントの中心となるのは当然、リスクへの対応である。だがその前に、「リスクの評価」という重要な作業がある。評価というといかめしいが、要はどんなリスクがあるか、それぞれのリスクがどの程度重要かを見極めることをいう。
リスクは数限りなく存在する。すべてのリスクに対応するのはまず不可能だし、そもそもその必要はない。何らかの目標を遂行する際の妨げになるリスクに対応するのがリスクマネジメントだからである。リスクを評価した結果、目標を遂行する上で大した障害にならないと分かれば、ごく簡単な対応策で済ませたり、場合によっては無視してもよいことになる。
リスクの評価ではまず、目標にかかわるリスクを洗い出す。これがリスクの識別である。その際にリスクだけでなく、リスクに影響を及ぼす要因(リスク要因)を同時に挙げていく。例えば、「需要が減少する」というリスクには、「市場が縮小傾向にある」「競合企業が代替品を出した」「顧客の嗜好が変化している」といったリスク要因が考えられる。
リスクだけでなく、リスク要因まで考えることで具体的な対応策を考えやすくなる。個人レベルでも、何かをしようとするときに「どんなリスクがあるかな」「そのリスクってどこから生まれるんだろう」などと考えるのは役立つはずだ。企業の場合は、リスク要因を「円高」「政権交代」「ライバル企業のM&A」のような外部要因と、「組織内の不正行為」「情報システムの能力不足」「人材不足」などの内部要因に分けて考えるケースが多い。
こうしてリスクを識別したら、次にリスクの重要性を判断する。リスクの分析と呼ぶ作業だ。ここでは「発生可能性」と「影響度」という二つの指標を使う。発生可能性は「確率」や「頻度」などで表す。影響度は「損失金額」などの定量データか、「社会への影響」「評判」などの定性データで表す。
リスクによっては「めったに起こらないが、一度起こるとものすごく大きな影響がある」ものもあれば、「頻繁に起こるが、大した影響はない」ものもある。こうしたリスクの重要度を判断する際に、リスクマネジメントではリスクマップあるいはリスクマトリックスを作る場合がある。例えば縦軸を発生可能性、横軸を影響度とする図でそれぞれのリスクを表すことで、リスクの重要性を把握しやすくするのである。
個人でここまで行う必要はないだろうが、リスクを「発生可能性」と「影響度」の2軸でとらえるのは有用だろう。