新着コラムをご紹介いたします。
過去のコラムについてはこちらへどうぞ。
再検討を要するリスクマネジメント(1)
今日3月11日は東日本大震災が発生した日です。11年前のあの日の午後、どこで何をしていたのか思い出してみると、地震や津波に対する備えがいかに疎かであったか、そしてそれは今どこまで改善されたのか、振り返ってみる必要があります。
更に今年は、ロシアによるウクライナ侵攻が起こり、21世紀になって改めて地政学的リスクが極めて大きな影響力を及ぼすことが実証されつつあります。ベルリンの壁が崩壊した頃より30年以上にわたって、イスラム系のテロや中東及びアジア・アフリカの一部の地域の問題と思われてきた地政学的リスクに対して、再びヨーロッパ諸国は対応を迫られています。
そのリスクは、もちろん欧米やロシアだけの問題ではなく、日本、そして世界全体の問題でもあります。ここで問題というのは、政治的な意味で語られるものでもありますが、同時に経済社会体制や個々の企業経営における問題でもあります。
ちなみに、21世紀において発生した重大なリスク事象について年表風にまとめてみると次のようになります。既に忘れかけているものもありそうで、時間の経過とともにリスクへの感応度が低下していることを実感させられます。
<海外で発生した重大な社会的リスク事象>
2001年 アメリカ同時多発テロ事件
2005年 ロンドン同時爆破テロ事件
2008年 リーマンショック
2011年 ジャスミン革命(アラブの春)
2015年 パリ同時多発テロ事件
2017年 アメリカ・トランプ大統領就任
2020年 新型コロナウイルス感染症(COVID-19)のパンデミック
2022年 ロシアのウクライナ進攻
<海外で発生した重大な環境リスク事象>
2003年 ヨーロッパ熱波
2004年 スマトラ島沖地震
2005年 ハリケーンカトリーナ(アメリカ南部ニューオーリンズなど)
2008年 四川大地震
2010年 ハイチ大地震
2011年 東アフリカ大旱魃
2015年 COP21(気候変動枠組条約第21回締約国会議)
2019年 ヨーロッパ熱波
2020年 新型コロナウイルス感染症(COVID-19)のパンデミック
<日本国内では発生した重大なリスク事象>
2003年 SARS(重症急性呼吸器症候群)発生
2005年 個人情報保護法
2007年 郵政民営化スタート
2009年 裁判員裁判スタート、民主党政権と事業仕分け
2011年 東日本大震災
2012年 自公連立政権
2015年 鬼怒川決壊
2020年 新型コロナウイルス感染症(COVID-19)のパンデミック
ここに例示したリスク事象がすべてではありません。
特に地球温暖化に代表される環境問題、ジェンダーや人権に関する問題、過労死・働き方改革・外国人労働者などの労働に関する問題、社会的法的な規制への対応、AIやバイオサイエンスなどの技術革新がもたらす問題、ITや社会的インフラのトラブルなど、リスクとして認識すべき問題事象は次々と現れます。
それらに対して事前に網羅的な対応を用意しておくことは、すべてのリスクを認識することができない以上、原理的に不可能ですが、だからといって事前に何の対応策も考えておかないというのではマネジメントを放棄したことになるでしょう。
ただし、リスクを洗い出し対応策を用意するということは、無視できないコストを負担しなければ実行できません。この負担すべきコストをかけたくないばかりに、せっかく予防的な措置を実現できるチャンスがあっても、みすみす逃してしまう実例は身近なところにもあります。自動車事故や火災など、自分は大丈夫と思って必要なコストをかけないと、確率は低くても死に直結するケースは発生するのです。
国家・企業・個人を問わず、何らかの未知のリスクが具体的な事象として顕在化したならば、まず当面の対応をして被害や損害などのマイナスの影響を抑えつつ、出現したリスクへの適応策をできるだけ早く打ち出し、試行錯誤はあっても数年のうちに仕事のやりかたをアップデイトして、次の展開につなげていくことが求められます。ときにはリスクへの対応が新たなビジネスチャンスや収益機会の開発・獲得につながります。
このコラムでは、リスクをいくつかの種類に分けてみて、それぞれの対応策のありかたを検討していきたいと思います。そして、特にベンチャーや中小企業にとってのリスクマネジメントのありかたについて考察を試みるつもりです。
作成・編集:経営支援チーム(2022年3月11日)
再検討を要するリスクマネジメント(2)
昨夜、宮城県や福島県を中心に最大震度6強の地震がありました。東北新幹線の脱線、東北自動車道での亀裂、広範囲な停電なども起こり社会的な混乱が生じただけでなく、死者を含めて人的被害も発生しました。
地震のような自然災害は、正確にいつどこでどの程度の規模で起こるのか、ある程度の備えができる余裕が持てるほど事前に発生を感知できることは、現在のテクノロジーではできません。自然災害だけでなく、戦争や経済危機のようなものも、いつかは起こるかもしれないと誰もが思っていても、正確にいつどの程度の規模で起こるのかを合理的に予想することは極めて困難です。
とはいえ、正確に予知して対策を講じることはできないとしても、もし〇〇が起こったらどうするのか、ある程度の備えを構えておくことが企業経営においても個人の生活においても必要になります。この〇〇こそが、リスクそのものです。
それでは、リスクには具体的にどのようなものがあるのでしょうか。手始めに、リスクをいくつかの種類に分けて考えてみましょう。
まず思いつくのは、リスクを発生要因によって分けるものです。例えば、自然災害、地政学的要因、法制度的要因、社会的要因、技術的要因など、主に外的な要因で大別できます。
自然災害は、文字通り、自然界で起きる事象で、地震・火山噴火・地滑り・津波・洪水・旱魃・竜巻・強風・隕石の落下などの急激な発現もあれば、多くの環境破壊や地球温暖化のように気がついた時には回復不能なレベルにまで確実に大きな気候変動を生じるものもあります。
地政学的要因は、ある地域の地理的条件と歴史的経緯に基づいて生じます。顕在化したときには、地域紛争や戦争といった形を取ったり、革命やクーデターや政権交代により自由主義市場経済から統制経済や私企業の国有化へというように政策が大きく変化したりします。テロや暴動も、事件である面はあるものの、発生の理由やそこに至る経緯などを顧みれば地政学的要因のひとつである場合が多いように思います。
法制度的要因には、対象となる地域での新たな法規制や大幅な政策変更などがあります。環境規制、営業規制、労働関係、財務会計、監査などビジネスを行おうとすれば何かしらの法制度的なリスクを検討しなければなりません。時には、法的に正当な手続き(デュープロセス)よりも袖の下(賄賂)や縁故(人的ネットワークや人治主義的な社会慣習)が物事を進めるのに効果的である社会のありかた自体が、重大なリスク要因として認識されることが不可欠です。
社会的要因の最たるものは人口動態の変化です。少子高齢化というリスクファクターが顕在化してから相当の時間が経っているにもかかわらず、そのリスクに適切な対策を講じることができていないのは日本という国家だけではありません。個々の企業の活動も、相変わらず、人口増大をベースにした経済成長を前提として経営システムに立脚したままです。また、火災や盗難などの事件や交通事故や医療や財務法務などの専門的なミスに起因する事故なども日常的なリスクとして忘れてはなりません。
技術的要因は、文字通り、テクノロジーの発展に伴うものです。自動車産業における急速な電気自動車の普及は、電池とエレクトロニクスの着実な発展を抜きにしてはあり得ません。自動車産業のなかから発現した技術もあるかもしれませんが、自動車産業以外におけるテクノロジーの発展こそがリスクファクターであることは論を俟ちません。
次に、リスクを時間軸や影響の重大さ(マグニチュード)で分けてみます。
時間軸とは、リスクが発生した時からその影響が及ぶ時間を考えたもので、即時(そのときだけから日単位程度まで)・短期(月単位)・中期(年単位から数年程度まで)・長期(10年単位)・超長期(10年を超えて世代単位)となります。たとえば、地震は、即時のリスクも大きいのですが、サプライチェーンへの影響といった観点からは短期はもとより中期的なリスクとしても無視できないものでしょう。
影響の重大さ(マグニチュード)という点では、地球規模・国家単位・地域限定・業界内・1企業(組織)・個人レベルといった区分が可能です。ロシアのウクライナへの侵攻は、地域紛争が地球規模のリスクを顕在化させた典型的な事例です。
影響の重大さ(マグニチュード)に付随して考えておきたいのは、影響の表現と方向についてです。
影響の表現というのは、リスクを数値で表現することが可能か、定性的に表現するにとどまるものかという点です。財務的な影響は当然ながら数値化可能ですし、企業経営におけるリスクマネジメントは数値化可能なものに限るという考え方もありますが、現実の企業経営においては定性的なものも無視できません。特にテクノロジーの急激な進展は、定量的にリスクを測定する時間的な余裕を既存の事業者に与えてくれません。
もうひとつの影響の方向というのは、リスクが顕在化した時に自社に及ぼす影響がダウンサイドかアップサイドかということです。一般にリスクを評価するのに自社へのマイナスの影響を分析しますが、実際のリスクは自社にとってプラスの影響を及ぼすこともあります。たとえば、製薬会社にとってのパンデミックの発生を考えてみれば自明です。また、新型コロナウイルス感染症やインフルエンザが流行すれば、ドラッグストアではマスクや手指消毒の商材が売れるでしょう。ただし、アップサイド(自社にとって業績面でプラスとなりうる事象)が発生したからといって自動的にプラスとなるわけではありません。対応するワクチンや治療薬が迅速に開発・増産できるとか、商材を調達・生産する余力があるといった条件が満たされて初めてプラスに転じることができます。
リスクを分類するもうひとつのポイントが、一次的リスクと二次的リスクです。一次的リスクというのは、発生要因そのものの直接の影響で生じるリスクです。一方、二次的リスクというのは、事象が発生した後の対応の質的な違いから損失または利得が発生するものであって、損失(利得)は財務的なものとレピュテーションリスクに分けられます。
通常、リスクマネジメントというと、一次的リスクに対してどのように対応するのかを検討して準備し、リスクが発生したならば適切に対応することを言います。
二次的リスクは、一次的リスクへの対応以上に重要な場合が往々にしてあります。ロシアのウクライナ侵攻に対して黙々と事業を行っていること自体が批判に晒される虞が大となっている欧米諸国やアジア諸国では、どのように営業していくのか難しい対応を迫られています。より身近な例としては、クレーム対応のまずさから炎上してしまうケースを考えてみればいいでしょう。
このように、リスクを分類してみると、単にいろいろな種類があるのではなく、いくつもの次元で分けてリスクを把握することが必要であることが理解できます。大規模な地震の発生という自然災害の要因ひとつをとっても、時間軸でのリスクでは、即時の損害、短期的な操業停止・営業中止、中期的な営業基盤を失う虞などを想定しなければなりません。影響の重大さでは、損失見積や保険などでの損失補填などを評価する必要があります。二次的なリスクのコントロールという面では、従業員の安全を確保して無理な出勤を強いていないか、被災した従業員や取引先があれば適切な対応をとっているかなど、迅速に情報を収集しながら対応していくことが望まれます。
これらを表現すると、多次元のモデル、たとえば、3次元であればピラミッド(三角錐)モデル、4次元であればキューブ(立方体)モデルがわかりやすいでしょう。
作成・編集:経営支援チーム(2022年3月17日)
再検討を要するリスクマネジメント(3)
今日は東京電力管内で「電力需給逼迫警報」が初めて発せられています。先週の福島県沖地震から福島県内の火力発電所が復旧していないところに、真冬並みの寒さと悪天候が加わって、電力使用率が限界を超えることが予想されるようです。
電力の需給が極めてタイトとなるのは東日本大震災後の計画停電の時以来とはいえ、当時と変わらず電力が逼迫しやすい状況にあることを痛感させられるだけに、東京電力管内の電力供給の脆弱性が改めて重大な社会的経済的なリスクとして認識されます。
さて、前回はリスクを発生要因という外的なファクターから分類してみました。そして、時間軸や影響の重大さ(マグニチュード)、影響の表現方法や方向、一次的リスクと二次的リスクといった観点から、いくつかの分類軸を説明しました。
リスクはこうした外的要因だけで発生するわけではなく、組織のもつ内的な要因からも発生することがあります。今回はこの内的な要因から生じるリスクについて考えてみます。
組織の内的な要因から生じるリスクを大別すれば、経営にとってのリスク、事業にとってのリスク、業務(オペレーション)にとってのリスクというように分けて考えることができるでしょう。
第一の経営にとってのリスクというのは、そのリスクが生じた場合、経営全体に重大な影響が及ぶものをいいます。リスクによっては、企業の存続が危ぶまれる事態にいきなり直面することもあり得ます。
中小企業、時には大企業であっても、経営者ひとりに依存する経営体制をとっているところがあります。依存する個人が経営者であればワンマン体制とか独裁体制いうことになりますし、その経営者に事故や急病などの不慮の事態が発生すれば、企業活動が全面的にストップしてしまうおそれが大きいのです。
といって、複数の経営者(経営チーム)で企業経営に当たるとなれば、意思決定のスピードや具体的な事業方針などで問題が生じるかもしれません。また、経営者の後継者を事前に明らかにしておくことは、他の経営幹部の流出を招きかねないなど、リスクマネジメントとは別の経営課題が姿を現すでしょう。
経営者だけがリスクファクターなのではありません。技術者や職人など、特定の人にしかできないこと(技術やノウハウなど)に依存する業務体制も、その依存する人が不在となった結果、事業運営が全面的に停止し事業再開の目途が建たないのであれば、正に経営上のリスクと言えます。
同様に特定の取引先に依存している場合も経営上のリスクかもしれません。特定の企業からの受注が100%で完全な下請けとなっているケース、取引のある金融機関が1行で事業上の融資から日常の入出金まで資金面をすべて握られている事例、ラーメン店が特定の製麺メーカー1社(工場)から仕入れている場合など、もし相手先の事情が大きく変わって、発注停止・貸し剥がし・工場火災などが起こったとすれば、こちらも倒産や廃業を余儀なくされるでしょう。
ちなみに、特定の取引先に依存していることだけがリスクファクターなのではありません。反対に、取引のある金融機関が多くても、メインがなくてすべてが同じウエイトで取引をしているような場合では、自社が経営危機に陥った際にどの金融機関も助けてくれないことが間々あります。
次に、事業にとってのリスクというのは、そのリスクが生じた場合、経営全体は何とか対応できても、特定の事業には重大な影響が及ぶものをいいます。リスクによっては、いきなり事業を畳まざるをえない事態に直面するかもしれません。
経営資源を特定の組織や場所などに依存していると事業にとってのリスクが大きいかもしれません。外食産業などでセントラルキッチンが1ヶ所しかないのでは、自然災害や物流事情などで生産や配送ができなくなるリスクは無視できません。
同様に、何かへの依存率が高い(50%超とか33%超とか)と自動的にハイリスクと考えてよいでしょう。言い換えれば、事業にとってのアキレス腱があれば、それが事業リスクそのものです。特許の使用許諾や業務委託契約など、その契約が失効すると売れない・造れない・管理できないようになるものは、事業にとってのリスクと認識すべきです。
第三の業務にとってのリスクというのは、そのリスクが生じた場合、日常の仕事に何らかの支障が生じる程度の影響が及ぶものをいいます。いわゆる個々の従業員が遭遇する労働災害(交通事故なども含む)とか顧客や取引先に迷惑や不都合をかける事案などです。
日常の仕事の面で言えば、コミュニケーションのリスク(言った言わないレベルでの問題に始まり、口約束で仕事を進めるカルチャー、記録を残す慣習や文書化のカルチャーがもつリスクまで)、各種のハラスメントのリスク(従業員個々の価値観や行動規範が現代の企業組織で求められるものと乖離しているリスク)、健康管理面のリスクなどが指摘できます。
個別に顕在化し現実化したリスクファクターは、社内外の当事者や時には第三者にとって生死に関わったり経済的な損失につながるなどの重大な影響が生じることもありますが、それらによって事業全体がストップするとか企業の存亡に関わるということはありません。通常は保険(主に損害保険や公的な社会保険)で損害をカバーすることが可能です。
ただし、業務にとってのリスクは、既に顕在化し現実化したリスク(トラブルとか発生した問題というべき事象)と化しているのであれば、その迅速かつ適切な対応が行われないと、二次的なリスクが往々にして発生します。
前回述べたように、二次的リスクというのは、事象が発生した後の対応の質的な違いから損失または利得が発生するもので、その損失(利得)は財務的なものとレピュテーションリスクに分けられます。業務にとってのリスクが顕在化した際に適切に処理しないと、損失額が当初の見積もりよりも膨らんだり、ブランドや社名を汚すような事態を招くことにも成りえます。
たとえば、営業担当が使用している社有車で事故があったとします。その事故1件は社有車の物損で済んだとしても、事故の間接的な原因に営業担当の過労や職場におけるハラスメントがあったとしたら、次は別の交通事故が起こり第三者に人的被害を及ぼすかもしれません。もしかすると、交通事故以外の問題事象(顧客からのクレームや契約打ち切り、従業員の自殺・過労死とか職場単位での健康面での失調、遺族から提起される損害賠償請求など)が続くかもしれません。
外的な要因で生じるリスクに対しては、起きる確率と起きた時の影響の大きさ(財務的にも非財務的にも)を検討して対応策を考えるというリスクマネジメントのアプローチが有効と思われます。
しかし、ここで説明してきたように、組織の内的な要因から生じるリスクは、組織マネジメントそのものが抱える問題から発生している以上、そのマネジメント上の問題を解決する方向でアプローチしなければなりません。決して、CRO(チーフ・リスク・オフィサー)の職を執行役員レベルで設置して、そのポジションに外部から経験者をヘッドハンティングすれば済む問題ではありません。CROの職も、リスクマネジメントやコンプライアンスのマニュアルも、何もないよりはあったほうがいいのですが、本質的には効果は限定的です。本来は、日常のマネジメントや従業員全体について、絶えず業務上のリスクを検知する仕組みやリスクを感じ取るマインドを機能させる工夫が求められます。
作成・編集:経営支援チーム(2022年3月22日)
再検討を要するリスクマネジメント(4)
前2回でリスクファクターをざっと洗い出してみましたが、実際のリスクには実に様々なものがあり、それらすべてを洗い出して対応策を検討し実施していくというのは、リスクマネジメントとして実現可能なアプローチとは言えません。
と言って、自社の直面しているリスクを見て見ぬふりをして、いざ何かが起きてから対処すればよいと開き直るのでは、とてもマネジメントと呼べるものではありません。
どのようなリスクが現実的に備えるべきリスクで、限られた経営資源のなかで何をどこまで振り向けるのかを見定めて、想定される損失を極小化し得べかりし利益を少しでも実現できるように、可能な限り事前に準備しておきたいものです。
まず、外的なリスクファクターにすべて対応するというのは、原理的にも実際上も不可能であることは誰でも理解できます。原理的にはすべてのリスクファクターが予見可能であるはずがありません。未知のウイルス、未だ開発されていないテクノロジー、それらを活用したビジネスチャンスまたはテロの危険性など、SF的な発想をもってすれば、未来にはリスクしかない(同時にビジネスチャンスも無限であるはず)と思われます。
実務面では地政学的リスクひとつをとっても、世界中を網羅することは無理ですし、そもそも必要性がないでしょう。ユーラシア大陸に限ってもそうそう予見できるものでないことを実感させられている企業も多いはずです。アジアのリスク、中東のリスク、アフリカのリスク、ヨーロッパのリスク、北米のリスク、中南米のリスク、大洋州のリスク、南極のリスクなどなど、地域を細分化すればするほど、すべてに対応するシナリオを用意するだけでも相当のコストと労力がかかります。リスクを分析するには地域をより細かく見ていく必要がありますが、これらを網羅的に扱うには専門の組織が必要であることは明らかです。グローバルに事業を展開する総合商社やメディア企業でもカバーしきれません。外務省HPなどで情報を確認するくらいが一般にできることでしょう。
自然現象によって生じる損害や影響を定量的に評価できる(損失の程度に応じた発生確率が計算できる)のであれば、保険を付保することも可能ですが、地政学的なリスクとなると、ある日突然現実化して初めてそのリスクを思い知ることになりがちです。その一例が、昨日(3月28日)より実施されている新型コロナウイルスに対する上海のロックダウンです。
ある程度は予想されていたはずとはいえ、このように突発的に顕在化したリスクに対処するには、「〇〇の事態になったら××の措置をとる」といった想定シナリオを事前に用意しておき、いざとなったらそのシナリオに従って対応策を取ることでしょう。上海のケースで言えば、在宅勤務と自宅待機を一定期間(2週間から1ヶ月程度)継続してもいいように、食料品や日用品を日常的にもっておくといったことでしょうか。企業としては、上海の拠点が機能しなくても他の拠点で代替できるように業務面で相互にカバーしておく体制を事前に整えておくことになります。
このように、リスクマネジメントとしての基本的な対応策はリスク分散(他の拠点でカバー)と余力保持(食料品や日用品を多めにもつ)です。著名な例としては、アイリスオーヤマがあります(注1)。同社は主要な拠点を日本だけでなく、中国・韓国・台湾・ベトナム・タイ・米国・フランス・オランダにもつ上に、7割稼働と呼ばれる生産余力をもった操業体制を常態として行うことで、マスクなどで見られた緊急増産を実現することができる体制を組んでいます。
メーカーの大半がサプライチェーンの効率化を狙って在庫を極小化し稼働率をギリギリまで高める体制をとっていたのに対して、同社のアプローチがリスクマネジメント面だけでなく事業戦略面でも高く評価されるところです。宮城県に本社や工場を置くため、東日本大震災から得た教訓も反映されているのではないかと思われるアプローチです。
ただし、こうしたアプローチには投入すべき経営資源が相応に必要な上、事業運営の効率という面ではマイナスが生じることは不可避となります。特に業績が悪化した場合には、操業率を高めるとか稼働していない生産ラインや人材などを削減すべきといった要求が投資家や金融機関などからのプレッシャーとして経営陣にかかってくることが必定です。
リスク分散と余力保持というリスクマネジメントの基本的なアプローチは、同時に一次的なリスクに対する経営資源の最適配分(バランス)を考えるだけでなく、二次的なリスク(レピュテーションリスクやいわゆる風評被害を蒙るリスク)についても事前に評価した上で、具体策を検討しなければなりません。一次的なリスクに対しては、いささか過大な対応と見えたものが、リスクが現実化した途端に称賛に変わることを、アイリスオーヤマの例は教えています。
反対に、サプライチェーンの効率化を高いレベルで実現していたところほど、発生したリスクに対応するのに予想以上に時間がかかり、なかなか復旧できない状況が続きます。時には年単位の時間と応援要員が求められます。それでもなかなか操業度が上がらず、製品納入に遅延が生じたままになるなど、リスクマネジメントの稚拙さが経営全体に悪影響を及ぼすことになるのです。
【注1】
アイリスオーヤマに関する記述は、同社HP及び以下の記事によります。
アイリスオーヤマ、7割稼働の経営論が話題 人生もこうすれば…「緊急時に10割出すのね」「気持ちが楽に」と10万人が共感(まいどなニュース) - Yahoo!ニュース
作成・編集:経営支援チーム(2022年3月29日)
再検討を要するリスクマネジメント(5)
次に、内的なリスクファクターについて備えるにはどうすべきか、考えてみましょう。
内的なリスクファクターは、経営に関するリスク、事業に関するリスク、業務に関するリスクとありますが、いずれにしても、想定されるリスクファクターが起きた場合にどのようなシナリオで対処するのか、そのシナリオを描いてみることが肝要です。
この時、リスクファクターが発生した時にとる対応、発生直後から多少経過してからとる(短期的な)対応、そして中長期的な対応と、3段階にわたって対応シナリオを想定すべきでしょう。そうでないと、その場は対応できても、結局はジリ貧に陥って事業が継続できなくなることが往々にして起こります。特に経営者が高齢であったり、後継者がいなかったりする場合に起こりがちです。
では、どのようなリスクファクターについて想定シナリオを用意すべきでしょうか。経営に関するリスクといってもいくつも想定できますし、業務に関するリスクとなると、自然災害や労働災害からサイバー攻撃への対処まで多種多様です。
まず最初に検討すべきは、最も集中しているところ(=最大の弱点)はどこか、という点です。
たとえば、経営者が重要顧客との商談から全社員の勤怠管理まで全てを取り仕切っている組織では、その体制そのものが経営に関するリスクです。もし、今、この瞬間にその経営者にもしものことがあったら、組織は機能を停止します。これが経営者の後継者不在のリスクです。誰が何を担当すれば当座は凌げるのか、仮に当座は凌げても、年単位で事業を継続していけるのか、実に心許ないものです。
経営に関するリスクでよくある過度な集中によるリスクといえば、特定の事業に偏った構造があります。いわゆる一本足打法の経営です。この場合、当然ながら、その事業が何らかの要因で不振に陥れば、一気に会社が傾くことになります。もちろん、創業間もないベンチャーなどでは、事業が単一ということは必然ですが、同じ事業であってもせめて国内と海外とか個人向けと法人向けとか、何らかのセグメント分けによって事業を複数化することは必要と思われます。
事業に関するリスクについても過度な集中によるリスクを第一に検討すべきです。たとえば、顧客や仕入れ先の偏りがよく見られるリスクです。生産拠点が1ヶ所しかないとか、物流の委託先が1社というのも同様です。ITネットワークをひとつのサーバーに頼るのも極めてリスクが高い体制ですし、ITはひとりの担当者に任せきりというのも同じことです。効率化や経営資源の調達能力不足と、過度な集中によるハイリスクとのバランスをいかに取るかが問われるのです。
業務に関するリスクは、日常の仕事において、いまこの作業ができなくなったらどうするか、代替的な手段はあるか、そのためのコストは許容可能なものか、といった課題に対応するものです。要員、手段(方法)、資金(経費)などについてある程度の余裕をもっておくのが理想ではありますが、その分、効率が悪くなります。
一方、リスクマネジメントのルーティーンというか日常の業務というか、当然に対応しておくべきこともあります。
防災訓練ひとつをとっても、単に法規制上、定期的な訓練が義務付けられているからしかたなく行うというスタンスではなく、訓練を機会に現状の問題点を洗い出してみるとか、消防当局の指導を受けるのであれば(毎年でなくても数年に一度でも良いから)防災上の課題を指摘してもらい、その対応策を提案してもらうことで、簡易なリスクコンサルティングを受けるくらいのスタンスが求められます。
年に1度の防災訓練を行うにしても、今年は事務所火災、来年は豪雨または津波に対する垂直避難、その次は大規模な停電に対処するために真っ暗な中でどのように行動するのか実地に訓練してみて、その次は地震への備えで起震車で震度7を体験してみるといった、いわば災害のシミュレーションを繰り返すことも必要かもしれません。路面店や移動販売などの店舗型のビジネスに従事しているのであれば、暴走車が店に突っ込んできた場合の対応を訓練するとか、事務所にスタッフが寄り集まることが常態化している職場(コールセンターや会議や打ち合わせが多い会社など)では新たな感染症が発生した際の対処法を実地に検証してみるなど、テーマはいろいろあるはずです。
このように、経営レベルから現場まで、組織としてリスクマネジメントの方法論を学習することは大事です。そして、そのプロセスでマネジメントのありかたそのものを見直していくことも忘れてはなりません。毎年定期的に自社の経営やビジネスに影響を及ぼしそうなリスクファクターを洗い直し、その結果を経営全体や事業戦略に反映させていくマネジメント(注2)を組織的に身につけることが理想的です。
リスク管理担当の部署や社員(CROなど)だけがリスクマネジメントを意識するのではなく、経営陣や事業責任者、一般のマネージャーや現場の社員や外部スタッフに至るまで、自分たちの仕事を通じて経営(事業、業務)のリスクを顧みて、いつかリスクが現実化したときに対処する方法を実地にシミュレーションしておくことが望ましいことは改めて述べるまでもないでしょう。
経営資源に限りがある中小企業やベンチャーであれば、公的機関等の支援を受けながら、リスクマネジメントを進める体制を整備するという方法(注3)もあります。技術的に容易ではないと思われがちなサイバーセキュリティについても、それに特化した支援制度(注4)もあります。
要は、企業規模の大小とか経営資源の多寡に囚われず、自社の集中ポイントを見極めて、そのリスクファクターをはっきりさせた上でコスト面でも実現可能な対処法をとればいいのです。
【注2】
メガトレンドにおけるリスクファクターをビジネスにおける予測として活用する一例として、次の論考があります。
『ビジネス予測はほぼ確実に的中しないが、それでもなお価値がある~競争優位につなげる6つの方法~』(「ダイヤモンド・ハーバードビジネスレビュー」HPに2022年4月1日付けで掲載されています。)
【注3】
一例として、都内の中小企業向けに東京都中小企業振興公社が行っている「BCP実践促進助成事業」があります。この制度では、一定の要件を満たしたBCP(ビジネス・コンティンジェンシー・プラン)に基づいて購入・整備する物品や設備について、1500万円を上限として、その費用の2分の1(中小企業を対象)または3分の2(小規模事業者を対象)を助成します。具体的には、自家発電装置や蓄電池、従業員の安否確認システム、データバックアップ用のサーバーやクラウドサービス、制震・免震ラックや飛散防止フィルム、転倒防止装置、非常食・簡易トイレ・毛布・小型浄水器、土嚢や止水板、マスクや消毒液などが助成の対象となります。
【注4】
注3と同様に、都内の中小企業向けに東京都中小企業振興公社が行っている「サイバーセキュリティ対策促進助成金」では、IPA(独立行政法人 情報処理推進機構)が実施しているセキュリティアクションの第2段階を宣言している中小企業及び中小企業団体に対して、1500万円を上限として、その費用の2分の1を助成します。対象となるシステムやサービスは、統合型アプライアンス(UTM等)、ネットワーク脅威対策製品(FW、VPN、不正侵入検知システム等)、コンテンツセキュリティ対策製品(ウィルス対策、スパム対策等)、アクセス管理製品(シングル・サイン・オン、本人認証等)、システムセキュリティ管理製品(アクセスログ管理等)、暗号化製品(ファイルの暗号化等)、サーバー(最新のOS搭載かつセキュリティ対策が施されたものに限る)、標的型メール訓練となっています。
作成・編集:経営支援チーム(2022年4月5日)
再検討を要するリスクマネジメント(6)
地震にコロナ禍にウクライナ侵攻とロシアへの制裁と、次々と大きなリスクが顕在化して、VUCA(Volatility, Uncertainty, Complexity, Ambiguity)を体験しているのが現実です。
J.K.ガルブレイスがその著書「不確実性の時代(The Age of Uncertainty)」(注5)において、経済・社会における不確実性が高まるなかで唯一確実なことは核戦争が起これば全て滅びること(注6)と述べた時代、すなわち1970年代から80年代にかけて核戦争のリスクが現実のものとして広く受け止められていた時代から、既に40年ほどが過ぎています。その21世紀前半は、不確実性(Uncertainty)だけでなく、変動幅が大きく(Volatile)、複雑性が増し(Complex)、意味が分かりにくい(Ambiguous)状況が当たり前になっている時代です。リスクマネジメントのありかたを再検討しなければならないのは、時代の要請でもあります。
より身近なところでも、たとえば玉ねぎの価格高騰(注7)など、個人の家計や飲食店などにとっては手痛い事象ですが、身近なものであるだけにけっこう予見しにくいものかもしれません。
こうしたさまざまなリスクに対応していくには、単にリスクを予見しそれらに備えるという旧来型のアプローチだけでは明らかに限界があります。予見可能なものは事前に万一の事態が起きた場合に備えることとしても、そもそも予見し難い事象には起きてしまったところでできるだけ迅速に対応するしかないでしょう。
典型的な例として、現在のコロナ禍への対応があります。ここから感染症一般への対応を教訓として引き出すことは可能ですが、個別の感染症は症状も感染のスピード(感染力)も重篤化の程度も治療方法も異なる以上、実際の対応方法も異なります。現に、コロナ禍とインフルエンザでは公衆衛生上も医学上もその取扱いは大きく異なります。
未知の予見していないリスクが顕在化した場合、まず行わなければならないのは、そのリスクファクターがどの程度のスピードでもって広がっていくのか、すぐに観察し短期的な見通しをつけることです。その上で、取るべき対策を順次実行していくことになります。
当然、対策を実行する過程で、随時、影響拡大の範囲やスピード及び企業経営上のインパクト(特にネガティブなもの)を見直して、適宜、新たな対策を打ち出したり、試行してはみたものの効果のないものはすぐに止めたりするなど、朝令暮改との誹りを恐れずに現場にできるだけ近いところで意思決定を行うことが求められます。ITシステムでアジャイル開発が主流となるように、リスクマネジメントにおいてもアジャイルな対応が不可欠です。
リスクマネジメントを機能させるには、アジャイル開発を機能させるのと同様に(注8)、プロセスやツールの問題よりも、時々刻々と変化する現場の情報を収集したり対策案を互いに投げかけあったりして組織的に活動できるかどうかが問われます。日頃から心理的安全性が十分に担保されている組織でないと、いざという時に動けないのはここに原因があります。
言い換えると、リスクマネジメントだから何か特別な哲学や手法があるわけではなく、通常のマネジメントで要請されるものをリスク管理の面でも実行していけばいいのです。
とはいえ、一般のビジネスパーソンにとって究極のリスクが会社の消滅(倒産、営業譲渡、事業停止など形態は問わない)であるとすれば、そこで慌てないためのリスクマネジメントは、常日頃からの組織的・個人的な学習とか知識のアップデートかもしれません。
リスキリングとか知識や常識のアップデートが個人も組織も求められる時代にあって、最も必要なのは学習のメタスキル(学習の習慣や手法を習得すること)を仕事や勉強を通じて身につけることでしょう。学習のメタスキルには、少なくともアンラーニング(学習棄却、学習したことを一度捨て去ること)とリスキリング(新たなスキルを改めて習得すること)が最低限の要素です。
キャリアにおいて万一のことが起きた時に役に立つという意味において、組織的にも個人的にも学習のメタスキルを獲得・活用していくことが正にリスクマネジメントと言えます。
有体に言えば、会社がなくなっても他社で食っていけるとか自営・起業でやっていけるスキルこそ重要なのです。それをいかに身につけることができるかという観点で会社選びをすることがVUCAの時代における個人のキャリアのリスクマネジメントには不可欠です。
【注5】
もとは上下2巻500ページのハードカバーでしたが、現在入手可能なのは2009年に出版された文庫版です。
『不確実性の時代』(ジョン・K・ガルブレイス,斎藤 精一郎):講談社学術文庫|講談社BOOK倶楽部 (kodansha.co.jp)
【注6】
相互確証破壊(Mutual Assured Destruction)という核戦争ドクトリンに基づきます。戦略核兵器を大量に保有する国同士でひとたび戦争が起これば、互いに相手を複数回滅亡させるに足る報復攻撃を行うことが確実に可能なため、互いに先手を打って核攻撃を行うリスクを冒すことができないとする考え方です。米ソ冷戦構造から生み出されてきたドクトリンであり、70年以上も経った今でも有効と思われます。
【注7】
ちなみにタマネギの小売価格(1キログラム当たりの全国平均、データはAggregate社が提供しているjpmarket-conditions.comのサイトを通じて総務省統計局の小売物価統計調査の結果によるもの)の推移を2015年1月以降で見ると、200円を下回ることはなく、300円を超えると高値のピークをつけてきたのがこれまでのパターンであったことがわかります。ただ、過去のピークは8月が3回で3月は2019年の1回だけです。今回の価格高騰は、昨年の8月から始まり、価格が低下するのが通例の秋にも下がらず、むしろ11月以降は上昇が加速したことが価格の高さとともに異常ぶりを演出していると言えます。
【注8】
システム開発におけるアジャイル化に関する課題と解決策の論考の一例として、次のものがあります。
『アジャイルを機能させるには心理的安全性が不可欠である~プロセスやツールばかりを重視していないか~』(「ダイヤモンド・ハーバードビジネスレビュー」HPに2022年4月7日付けで掲載されています。)
作成・編集:経営支援チーム(2022年4月7日)
このサイトは、行政書士井田道子事務所のホームページです。