中小企業のための「リスクマネジメント入門」
中小企業のための「リスクマネジメント入門」
現在、中小企業の経営にとってリスクマネジメントは不可欠と言えます。
地震や取引先の倒産など不測の事態に直面しても、損害を最小限に抑えて事業の継続を図る。そのためには自社を取り巻くリスク(危機)を認識し、緊急時にも想定したリスクに対応できるようなBCP(事業継続計画)を立案・策定することが重要です。BCPに関しては後ほど簡単にご説明いたします。
目次
Ⅰ リスクとはなにか
Ⅱ 企業経営でなにをすればいいのか
Ⅲ BCPとはなにか
Ⅳ BCPに対してなにを準備するのか
Ⅰ そもそもリスクとはなにか
リスクにはプラスとマイナスがある
一般的にリスクという言葉の響きには、マイナスのイメージがあるのではないでしょうか。
金融界ではリスクというと予想通りにならない不確実性のことを言います。
リスクには上振れリスク(収益がプラスになる)と下振れリスク(予想した収益を下回る、または損失が発生する)があり、その変動可能性をリスクとして捉えています。
例えば、過去の一定期間にある会社の株価が日経平均と連動せずに株価の上下の変動幅が大きいとき、リスクが大きいということになります。
では、「企業にとってのリスク」とはどのように定義されるのでしょうか。
最近では企業経営におけるリスクもマイナス面だけでなくプラス面も含めた「不確実性」を意味することが多くなりました。
2010年に制定されたJIS Q 31000:2010では、「あらゆる業態及び規模の組織は,自らの目的達成の成否及び時期を不確かにする外部及び内部の要素並びに影響力に直面している。この不確かさが組織の目的に与える影響をリスクという」と定義しています。
しかし、ここでは敢えて、「企業にとってのリスク」を収益にプラスに作用する不確実性以外の「企業活動の遂行を阻害し、結果として企業に経済的な損害を生じさせる事象の発生可能性」を中心に考えたいと思います。
まさしくマイナスのイメージです。
「リスク=企業活動の遂行阻害事象及び経済的な損害の発生可能性」と考えた場合、損害の影響度の大小は別にして、企業は常にリスクと隣り合わせで活動しているということになります。
具体的には、「企業内の不正や不祥事」、「事故」、「食中毒の発生」、「個人情報漏えい」、「為替の変動」、「火災」、「取引先の事故や倒産」、「テロ」、「パンデミックの発生」、「地震」、「津波」、「火山噴火」などさまざまなリスクが企業を取り巻いています。
「もし○○が発生したら、企業活動の遂行が阻害され、経済的な損害が発生する」と考えると、企業に固有、あるいは業界特有のリスクが数えきれないくらい挙げられるのではないでしょうか。
世の中には「リスク」があふれ返っています。
<さまざまなリスクが常に企業を取り巻いている>
4つのリスク対策
リスクは、企業努力で「発生を抑制できるもの」と「発生を防げないもの」に大別できます。
「リスクの発生を抑制できるもの」とは、企業内の不正やミスによる事故などのことで、企業の業務フローを見直したり、チェックの仕組みを構築するなど企業内の業務改善によって発生そのものを抑制できるリスクです。
また、「リスクの発生を防げないもの」とは主に地震や津波、噴火などの自然災害で、企業の努力では発生そのものを抑制できません。さらに近年ではテロ、SARS(重症急性呼吸器症候群:SARSウイルスにより引き起こされる 新種の感染症)の蔓延、ハッカーによるサーバ攻撃など、予測困難なリスクが顕在化し、頻発しています。
これらのリスクへの対処次第で、企業の信用・信頼性が低下したり、事業継続が困難になり倒産に至ることがあります。過去には、トップブランドの地位を確立していた大手食品メーカーも「食中毒」というリスクの発生を抑制・管理できなかったため、上場廃止・組織解体に追い込まれもしました。
また、世界的な自動車メーカーも取引先の事故によって部品の調達ができなくなり、操業を止めざるを得ない事態に巻き込まれました。
企業内の不正や不祥事に対しては、業務プロセスやサプライチェーンの見直し、チェック体制の構築など内部統制の整備によってリスク自体の発生を抑制することができます。
しかし、予測困難で避けられないリスクに対して、企業としてどのような対策を準備すればよいのでしょうか。
まず、リスク対策としては主に「1.リスク回避」「2.リスク低減(緩和)」「3.リスク保有(許容)」「4.リスク移転(転嫁)」の4つが考えられます。
<4つのリスク対策>
ただし、リスクに対して完全な対策が存在しているわけではなく、リスクに対して4つの対策をうまく組み合わせて対処することが必要です。また、対策立案後に別の新たなリスクが発生することもあるため、新たなリスクに対しても検討を加えることが必要になります。
Ⅱ 企業経営でなにをすればいいのか
平常時からリスクを管理する
リスクを管理する手法として「リスクマネジメント」があります。国、ISO、JIS、研究者などの文献などでも「リスクマネジメント」という言葉をよく耳目にしますが、「リスクマネジメント」に関する定義はそれぞれ微妙に異なっています。
しかし、その言わんとする本質は同じだと考えられます。重要なことは細かな定義の違いよりも、「リスクマネジメント」はゴーイング・コンサーン(継続企業の前提)にとって欠くことができないという点です。
リスクの発生に対してどのような対応策を準備してもリスクをゼロにすることはできませんので、平常時からリスクを管理していくことが重要になります。
経済産業省のリスク管理・内部統制に関する研究会は、平成15年6月に発表した「リスク新時代の内部統制」において、「リスクマネジメント」とは企業の価値を維持・増大していくために、企業が経営を行っていく上で、事業に関連する内外の様々なリスクを適切に管理する活動であると定義しています。
「リスクマネジメント」とは「経営の視点からリスクの存在やその発生頻度、影響度を認識し、認識したリスクに対して必要・適切な対策を事前に施すことである。具体的には(1)抑制できるリスクはその発生自体を抑制し、(2)抑制できないリスクはその発生時の企業への損害を最小限で済むように対策を立案し、早期に事業が復旧できるように平常時から管理することである。『リスクマネジメント』を行うことによって、企業価値の向上が図れる」ということになります。
では、具体的な「リスクマネジメント」はどのように実施すれば良いのでしょうか。
経済産業省のリスク管理・内部統制に関する研究会は、「リスクマネジメント」の手法として「1.組織の現状把握・確定、2.リスクの発見及び特定、3.リスクの算定、4.リスクの評価、5.リスク対策の選択(移転、回避、低減、保有)、6.残留リスクの評価、7.リスクへの対応方針及び対策のモニタリングと是正、8.リスクマネジメントの有効性評価と是正」を挙げています。
<リスクマネジメントの手法>
「リスクマネジメント」は、(1)リスクを洗い出して特定する、(2)特定したリスクの発生確率や発生頻度、発生した場合の影響度などを評価し、対策が必要なリスクを絞り込む、(3)リスクに応じた対策を立案する、(4)立案したリスク対策を実行、見直し・修正する、という4つのステップに分類できます。
また、リスク対策を立案・策定したら終わりではなく、平常時からこのステップのサイクルを回して継続的にブラッシュアップを図っていきます。
<リスク対策立案とブラッシュアップ>
リスク対策の立案・運用のポイントは、(1)リスク抽出で漏れがないようにするため、1人ではなく複数のメンバーによるリスク洗い出しが望ましいこと、(2)抽出したすべてのリスクへ対策を立案することは不可能なので、リスク発生による影響の重大度や自社の経営資源とのバランスを勘案すること、(3)定期的に対策を実施する訓練や従業員教育の継続・反復によって組織へ定着させること、などです。
また、「誰が、どのようなタイミングで、どのような状況になったとき、どのように対策を実行するか」など具体的な行動計画を明確にしておくことが実行の遅れを防ぎます。
内部統制を実施する
リスクマネジメントの一環として内部統制があります。内部統制は、2006年5月の会社法施行、2007年9月の金融商品取引法施行により、上場企業だけでなく上場企業と取引のある中小企業にとっても身近になりました。というのも、上場会社が取引先の中小企業に対しても内部統制の整備を要求するケースがあるからです。
会社法や金融商品取引法では、リスクの発生を抑制・排除するために内部統制の整備を求めています。内部統制の目的はそれぞれの法律によって違いますが、(1)業務の有効性と効率性の向上、(2)事業運営に関する法令遵守、(3)財務報告の信頼性確保の3つを目的とし、リスクマネジメントを適切に行う上で不可欠となっています。
社内の不正行為や法令違反に対しては、業務プロセスの文書化・図式化などの可視化によって、どこに不正行為や法令違反の余地が隠れているか洗い出すことで、不正行為や法令違反が起きにくい業務プロセスの仕組みを構築します。また、不正行為や法令違反が起こった、あるいはその疑いがある場合の対処方法の1つとして、内部通報制度の整備があります。
このように社内の不正や法令違反に関しては、内部統制の仕組みを構築することでリスクを抑制することが可能です。
しかし、産地偽装や賞味期限・消費期限の改ざん、データ改ざんなど経営トップが関与しているような不正や不祥事のリスクは内部統制では排除できませんので、経営トップには高いモラルが求められます。
自社のリスク抑制のためには、リスクの高い相手との取引を回避することが一番ですから、モラルの低い企業には安定した成長が見込めません。
そのため、経営トップの企業経営に対する姿勢や企業文化などから、取引先にモラルの低い企業だと判断されないようにしなければなりません。
また、上場会社が取引先の中小企業に対して、内部統制の整備に加えてBCP(事業継続計画)の策定を求めることがあるようです。BCPの策定の有無が上場会社や大企業との取引の条件になると、策定している中小企業にとってはビジネスチャンスとなりますが、策定していない中小企業にとってはビジネスを失いかねないかもしれません。
しかし、BCPを策定しても運用しにくいBCPは絵に描いた餅になりかねません。近年では国は自然災害に備えたBCPよりも簡易な事業継続強化計画の策定を推奨しています。
Ⅲ BCPとはなにか
事業を継続するための計画を立てる
BCPとは、Business Continuity Planの頭文字をつないだ略称です。
中小企業庁は「緊急時企業存続計画または事業継続計画」と訳しています。また、「中小企業BCP策定運用指針」の中でBCPを「企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画」と定義しています。
簡単にいうと、不測の事象が発生しても倒産を回避し、事業継続を可能とする計画のことです。
現在は分業が進んだ結果、ほとんどの企業がサプライチェーンでつながっています。
そのため震災で被災した企業だけでなく、被災地以外にあるサプライチェーン関連企業でも、被災した中小企業が製造する部品や資材が供給停止されることによって、生産を中止せざるを得なくなる企業があります。
サプライチェーンに関連した企業は、日本だけでなく世界中に存在しますので、このサプライチェーンの分断による間接被害を防ぐためにも、事業継続を可能とするBCPの策定が求められています。
東日本大震災を機にBCPの策定が求められる
BCP策定の実態に関し(東日本大震災前の調査になりますが)、平成21年度に東京都産業労働局、(財)東京都中小企業振興公社、東京商工会議所が「災害・事故・感染症等対策(BCP)に関するアンケート調査(有効回答件数:2,025件)」を実施しています。
<災害・事故・感染症等対策(BCP)に関するアンケート調査結果>
災害・事故・感染症等対策(BCP)に関するアンケート調査報告書(平成21年度)より筆者作成
このアンケート調査の結果から、大規模震災に関するリスク対処の必要性を多くの企業が感じているものの、具体的な対策を講じている企業の割合は低いことがわかります。また、現在、取引先からBCP策定に関する要請がない企業でも、半数以上の企業が将来取引先からの要請があると考えています。
自然災害に関しては、1995年の阪神淡路大震災、2007年の中越沖地震、2011年の東日本大震災を経験しています。その影響をみると、阪神淡路大震災時には、震災発生から約4カ月半で100 社超の会社が倒産しました。
2018年12月時点の「東日本大震災」関連倒産の累計件数は、震災から7年半を経過して1,895件(2018年12月28日現在)に達しています(東京商工リサーチ、公開日付:2019.01.07)。
日本における自然災害による被害の内訳を見ると、発生件数は「台風」が57.1%と最も多く、次いで「地震」、「洪水」が多く、被害額は「地震」が8割超を占めており、次いで「台風」、「洪水」の順になっています(2019年「中小企業白書」)。
政府機関である地震調査研究本部の全国の地震動予測をみると、今後も大地震発生のリスクは非常に大きく、発生の予測される地域は広範囲に及びますので、倒産回避・被害最小化のためにも企業のBCP策定が望まれます。
自然災害のリスクは企業の努力によって発生を抑制することができませんので、リスク発生後の損害をいかに小さくして早期に事業の復旧を図るかが課題となります。
<全国地震動予測地図 2018年版>
上の地震予測地図では、今後30年間に震度6弱以上の地震が発生する確率が非常に高いことが示されています。日本の企業にとって地震に関するBCPの策定は必須と言えます。また、サプライチェーンの分断を想定すると、発生確率の比較的低い地域の企業でもBCP策定が望まれます。
Ⅳ BCPに対してなにを準備するのか
まずは自社の現状を把握する
まず、災害発生に対する自社の現状を把握しましょう。
BCPの導入にあたっては、災害発生時に経営者と従業員の生命を守ることが大前提になります。
中小企業の場合、経営者が死傷すると会社の存続自体が危うくなると考えられますので、緊急時でも会社経営の指揮を執り続けられる状態にあることが重要です。そのため、会社だけでなく経営者の自宅の耐震補強や火災対策などは必須となります。
また、会社の財産を守る必要がありますが、災害時における限られた経営資源で自社の中核事業をどのように継続させるかという対策が必要になります。
中小企業庁は「中小企業BCPガイド」の中で現状の事業継続能力をみるための簡単な自己診断ができるチェックリストを用意しています。
<チェックリスト>
出所:中小企業庁「中小企業BCPガイド(平成20年3月)」を参考に筆者作成
上のチェックリストの質問に対し、「はい」の数が16~20個の場合は「BCPの考えに則った取組みが進んでいる」、6~15個の場合は「緊急時に備える意識は高いが、改善点は多い」、5個以下の場合は「今,緊急事態に遭遇すると、事業の長期間停止・廃業に追い込まれる可能性が大きいため、できることから早急に始めるべき」という判定になります。
BCPの策定は経営者が率先する
BCP策定においては、経営者がリーダーシップを発揮して率先して取り組むことが重要です。また、従業員全員の生命を守ることが大前提であると先述しましたが、他人事ではなく、災害時でも重要業務を継続し、経営への影響を最小限にとどめるという当事者意識を従業員全員で持つことが重要です。
そのため、BCPの策定・運用の実効性向上のためには従業員への周知が欠かせませんし、全社的に取り組むことが必要です。
災害時に重要業務の早期復旧が可能であれば、取引先や顧客からの信用が向上することに加え、売上が確保できることから従業員の雇用を守ることができます。また、被災者への救済活動など地域経済へ貢献することも可能となります。
<倒産防止、企業価値向上>
出所:中小企業BCP策定運用指針を参考に筆者作成
上の図は、緊急事態が発生しても、BCPの策定・導入など事前対策をとっていた企業(1)は、重要業務の操業率が一時的に落ち込んでも短期間で復旧し、企業価値を毀損させることなく維持・成長できることを表しています。
一方、対策をとらなかった(2)や(3)の企業は、事業縮小を余儀なくされたり、倒産・廃業に追い込まれる可能性が高いことを表しています。
BCPの策定・運用には継続したブラッシュアップを
BCPの策定・運用にあたっても、「リスクマネジメント」と同じく継続的なブラッシュアップが必要です。BCP策定では、BCP策定の基本方針の立案、社内の運用体制の確立、全社員での共有、日常的な訓練の継続・実施、改善、というサイクルを回します。
<BCP策定・運用サイクル>
出所:中小企業BCP策定運用指針を参考に筆者作成
BCP策定・運用サイクルのポイントは、以下のようになります。
<BCP策定・運用サイクルのポイント>
BCP策定においては、災害や被害(震度6強の地震発生により、交通インフラがストップし、通信機器が使えない。水道・電気も使えない。また、工場内の機械が倒れた、あるいはオフィスの什器・備品が散乱し、使用できないなど)を具体的に想定し、復旧までどの程度の時間が必要なのか、事業別の影響度はどうなのか、その影響が中核事業にどのように影響するのか、など多々推定する必要があります。さらに、属人的になっている業務があれば、その見直しが必要になるかもしれません。
被害の状況に関しては、自治体が公開している震災情報やハザードマップを入手したり、過去の事例などを用いて想定してみましょう。体系的に捉えながら、優先度をつけて個別の対策に落とし込むというステップで進めてください。
ただし、策定にあたっては「とりあえずBCP策定に取り組んでみる」という姿勢も大事で、その後ブラッシュアップしていくという「割り切り」も重要です。
初めから、完璧なBCPを策定しようとすると進まない可能性があります。
BCP策定の取組みを形にするためのガイドラインが中小企業庁などからWEB上に公開されていますので、是非参考にしてください。
自然災害に対する取り組みのファースト・ステップとしては、本文でも少し触れた「事業継続強化計画」の策定も有効ですので、是非策定に取り組んでみましょう。
自社での策定が難しい場合、いつでも弊事務所にご連絡ください。
ご依頼やご相談、資料請求は下記よりお願いいたします。
TEL:03-6447-2238 (月〜金曜日 10:00 〜 17:00)
ご依頼やご相談、資料請求は下記よりお願いいたします。
TEL:03-6447-2238
(月〜金曜日 10:00 〜 17:00)