■経営お役立ち情報 ビジネスヒント情報―――――――――――――――――――■
2010年10月 「リスク管理をやってみよう」
〜中小企業におけるリスク管理のやり方〜
中小企業診断士 入谷 和彦
メールはka-iritani@nifty.com
まで願います。
■――――――――――――――――――――――― NPOみなと経営支援協会−■
「リスク管理をやってみよう」
現在ほとんどの大企業ではリスク管理に力を入れています。従来ならばリスクの範囲も想定可能で、リスクが発生してから対処しても、大きな問題となることは少なくて済みました。しかし昨今、企業をとりまく環境が複雑かつスピードが速くなり、平常時からリスク管理を行っておかないと、いざリスクが発生したときに大きなダメージを受けるようになってしまい、リスク管理が必要になりました。
中小企業では、本格的にリスク管理を行っている企業は少ないようです。しかし、中小企業においても状況は同じで、リスク管理を行うことは有効です。ただし、大企業と同じ方法をとる必要はありません。
ここでは、中小企業の特性を活かして、有効なリスク管理を行う方法を、ご提案します。
1、リスク委員会を作る
まず、社長を委員長にして、幹部2〜4人くらいで構成するリスク管理委員会を作ります。あと元気な人1〜2名を事務局として選任して、資料整理等の事務をやってもらいます。
リスク委員会は、月1回くらい委員会を開催して、会社のリスク管理を統括します。大企業ですと、リスク委員会のメンバーだけでは、なかなか全社の状況を把握できないので、組織やルールによってこれを補います。しかし、中小企業ならば、幹部の方が集まれば、全社の細かい部分まで把握できますので、あまり細かい組織やルールは不要です。
2.インシデント管理を行う
「インシデント」とは、実際に発生した事故やトラブル、および実際の被害には至らなかったものの、事故やトラブルが何らかの原因で発生しそうになった事象のことをいいます。インシデント管理は、事故やトラブルが発生した場合、および発生しそうになった場合に、その原因を分析して、必要な防止策(コントロールといいます)は何かを検証し、再発防止のためのコントロールを設定して、運用することをいいます。
インシデント管理の手順
(1)インシデントの収集
企業内で発生した事故・トラブル、および大事には至らなかったものの、事故・トラブルが発生しそうになった事象を収集します。
<インシデントの例>
・製造工程で不良品が発生した(あるいは発生しそうになった)。
・間違った見積書を提出した(あるいは提出しそうになった)。
・値札を付け間違えた。
・納期遅れが発生した(あるいは発生しそうになった)。
・注文とは異なる商品を納品した(あるいは納品しそうになった)。
・システムで障害が発生し、製造や営業に支障が出た。
基本的には、インシデント(事故・トラブル等)が発生した部署が直ちにリスク委員会(の事務局)へ報告するルールとします。また、報告されないインシデントを、リスク管理委員会のメンバーや幹部が気がついた場合は、担当の部署に報告させます。大企業であれば、末端組織が報告しないと事象が挙がってきませんが、中小企業の場合は、幹部の目が行き届くので、幹部が気をつけていれば、報告漏れが発生しにくくなります。
インシデントが発生したものの、どこの部署が担当か、明確でない場合があります。部署間の担当の隙間になって発生する事象も、多く見られます。この場合は、社長がどこの部署が担当かを決めます。
重要な点は、対象となるインシデントの原因となった社員や部署を、決して責めてはいけないことです。むしろ、よく報告したと、ほめるべきです。そうしないと、インシデントが上がって来なくなりますし、何かあっても隠すようになってしまいます。隠すようになるのが最悪のパターンで、本来解決すべきことが、そのまま内包されてしまい、将来的なリスクを抱え込んでしまうことになります。発生したインシデントを直ちに報告するような、企業風土を醸成することも、リスク委員会の重要な仕事です。
(2)インシデントを分析して、原因を調べる
発生したインシデントの担当部署が、分析して、原因を特定します。
(3)再発防止策を設定する
やはり担当部署が、インシデントの原因の分析結果から、再発防止策を設定します。
<再発防止策の例>
・不良品が出ないように、製造工程を見直す。あるいは検査工程を見直す。
・見積書は、提出前に必ず上司がチェックする。
・値札の設定時は、ダブルチェックを行う。
・納期管理の方法(確認のレベル、確認のサイクル、他)を改善する。
・出荷前に、納品書と納品物の付け合わせチェックを、別の担当者が行う。
・システム障害の場合は、プログラムの改修、ハードウェアの見直し、ネットワークの設定改修、端末オペレーションの教育の徹底、等。
再発防止策を設定したら、運用を開始する期限も明確にしておきます。
また、どうしても発生を防げないような場合もあります。このような場合は、インシデントが発生したときに、直ちに発見できる仕組みを設定することで、再発防止策に換えます。
(4)リスク委員会にて、再発防止策の進捗状況をチェックする
(1)〜(3)は、リスク管理委員長の指示を受けて、事務局が、担当部署と協議して対応します。月1回のリスク管理委員会では、報告のあったインシデントの確認、および再発防止策の進捗状況を確認します。
インシデント管理の目的は、一度起こった事象に対して、同様の事象を再発させないことです。また、もし同様の事象が発生した場合にも、過去の対応状況を参照することによって、迅速な対応を行うことができます。
また、インシデント管理は、事故・トラブルの再発防止のための、防衛的活動と考えられがちですが、この活動を通じて、不良率の低減(ひいては生産性の向上)、収益性の向上、顧客サービスの向上を行うための、戦略的な活動です。このことを、社内の共通認識とすることも、リスク管理委員会の重要な仕事です。
3.「リスク」とは何か
「リスク」については、いろいろな定義があります。ここでは、以下のように定義します。
(1)オペレーショナルリスク
実は、上記の【例】で挙げているものは、全て企業の業務遂行によって発生するもので、これをオペレーショナルリスクといいます。企業の業務遂行によって発生するので、その防止策も、企業の業務遂行の方法を改善することで対応できる場合がほとんどです。
しかし、企業が遭遇するリスクは、オペレーショナルリスクだけではありません。上記「2.」のインシデント管理は重要ですが、オペレーショナルリスク以外のリスクはほとんど対象とはなりません。
(2)オペレーショナル以外のリスク
オペレーショナルリスク以外のリスクは、主に外部環境の変化によって発生するリスクで、例としては、以下のものがあります。
<オペレーショナルリスク以外のリスクの例>
・受注していた工場の海外移転で、注文が無くなる恐れがある。
・近所に競合店ができて、売上を持っていかれる恐れがある。
・隣接地に学校ができて、騒音等のクレームが出る恐れがある。
・株価が下がって、保有資産が減ってしまう恐れがある。
・法律が改正されて、環境設備改善のための設備投資が必要になる恐れがある。
・仕入先の倒産で、原料や部品が調達できなくなる恐れがある。
オペレーショナルリスク以外のリスクに対応するには、次の「4.」に掲げる「本来のリスク管理」が必要になってきます。
4.本来のリスク管理を行う
リスク管理といった場合、大企業においても上記「2.」のインシデント管理のみ行っているケースが多いのが現状です。しかし、インシデント管理だけではなく、あらかじめリスクを特定して防止策(コントロールといいます)を講じておく「本来のリスク管理」を行うことが有効です。
活動内容は少々難しくなりますが、中小企業においても、是非行っていただきたい活動です。
「本来のリスク管理」の手順
(1)リスクの洗い出し
リスクの洗い出しは、最初は、社長と幹部がブレーンストーミングを行って、考えられるリスクや懸念されるリスクをリストアップしていきます。また各部署から、担当業務に関連するリスクを挙げてもらうことも有効です。オペレーショナルリスクについては、課題として重要なもの以外は、洗い出しの対象としなくて構いません。
大企業においては、組織が大きくて全体を見渡すのが難しいため、様々な手法を使ってリスクの洗い出しを行っています。しかし、中小企業であれば、社長と幹部の目が行き届くため、有効な洗い出しをすることができます。あまり沢山洗い出しても、後の管理ができなくなってしまいますので、20〜30個くらいを目安にして下さい。
最初から完璧なものを目指す必要はありません。毎月開催するリスク管理委員会にて、見直しを行って、より有効なものにしていきます。何かの情報を得て会社におけるリスクを認識した場合等には、追加していきます。
(2)リスクアセスメントを行う
洗い出したリスクの大きさを評価することを「リスクアセスメント」といいます。リスクの大きさから、対応する優先順位をつけて、どのリスクから対応していくかが、アセスメントを行う目的です。
アセスメントのどのような方法で行っても構いませんが、一般的には、以下のものがあります。
<リスクアセスメントの例>
発生頻度と損害の大きさの見積もりについて、社長と幹部のKKD(勘と経験と度胸)で行うもので、十分有効になります。大企業では、様々な分析を行って、発生頻度や損害額を求めることがありますが、レベル感等であまり納得のいかないことも多くなっています。KKDで十分有効な見積もりができるのは、中小企業の強みです。
(3)リスク防止策(コントロール)の設定
洗い出し、アセスメントを行ったリスクに対して、防止策(コントロール)を設定します。
リスクコントロールの方法には、以下の4種類があります。
重要なことは、「リスクの受容」もリスクコントロールの一つである、という点です。つまり、必ずしも全てのリスクに対して防止策(コントロール)を設定する必要はありません。
リスク防止策の中には、設備投資が必要なものや、時間がかかるものがあり、限られた経営資源で全てのリスクに対処することはできません。このため、リスクアセスメントの結果から優先順位をつけ、重要なものから防止策(コントロール)を設定し、実施していきます。
(4)リスク防止策(コントロール)の実施
リスク管理委員会では、設定したリスク防止策(コントロール)を、どれから実施していくかを決定します。この決定には、リスクアセスメントの結果を参考にします。
実施することを決定したリスク防止策(コントロール)については、月1回のリスク管理委員会で、進捗状況を確認します。またリスク管理委員会では、実施する防止策(コントロール)を見直し、優先すべきリスクが新たに発生した場合は、実施する月開催する防止策(コントロール)を見直します。
以上がリスク管理の概要ですが、一度に全部を始める必要はありません。手をつけられるところから順次実施して、効果的なリスク管理の体制を構築していくことが肝要です。
是非、効果的なリスク管理を行って、会社の経営に役立てていただきたいと、祈念しております。
以 上
中小企業診断士 入谷 和彦
メールはka-iritani@nifty.com
まで願います。
■―――――――――――――――――-―― NPOみなと経営支援協会−201010―■