再検討を要するリスクマネジメント(3)
今日は東京電力管内で「電力需給逼迫警報」が初めて発せられています。先週の福島県沖地震から福島県内の火力発電所が復旧していないところに、真冬並みの寒さと悪天候が加わって、電力使用率が限界を超えることが予想されるようです。
電力の需給が極めてタイトとなるのは東日本大震災後の計画停電の時以来とはいえ、当時と変わらず電力が逼迫しやすい状況にあることを痛感させられるだけに、東京電力管内の電力供給の脆弱性が改めて重大な社会的経済的なリスクとして認識されます。
さて、前回はリスクを発生要因という外的なファクターから分類してみました。そして、時間軸や影響の重大さ(マグニチュード)、影響の表現方法や方向、一次的リスクと二次的リスクといった観点から、いくつかの分類軸を説明しました。
リスクはこうした外的要因だけで発生するわけではなく、組織のもつ内的な要因からも発生することがあります。今回はこの内的な要因から生じるリスクについて考えてみます。
組織の内的な要因から生じるリスクを大別すれば、経営にとってのリスク、事業にとってのリスク、業務(オペレーション)にとってのリスクというように分けて考えることができるでしょう。
第一の経営にとってのリスクというのは、そのリスクが生じた場合、経営全体に重大な影響が及ぶものをいいます。リスクによっては、企業の存続が危ぶまれる事態にいきなり直面することもあり得ます。
中小企業、時には大企業であっても、経営者ひとりに依存する経営体制をとっているところがあります。依存する個人が経営者であればワンマン体制とか独裁体制いうことになりますし、その経営者に事故や急病などの不慮の事態が発生すれば、企業活動が全面的にストップしてしまうおそれが大きいのです。
といって、複数の経営者(経営チーム)で企業経営に当たるとなれば、意思決定のスピードや具体的な事業方針などで問題が生じるかもしれません。また、経営者の後継者を事前に明らかにしておくことは、他の経営幹部の流出を招きかねないなど、リスクマネジメントとは別の経営課題が姿を現すでしょう。
経営者だけがリスクファクターなのではありません。技術者や職人など、特定の人にしかできないこと(技術やノウハウなど)に依存する業務体制も、その依存する人が不在となった結果、事業運営が全面的に停止し事業再開の目途が建たないのであれば、正に経営上のリスクと言えます。
同様に特定の取引先に依存している場合も経営上のリスクかもしれません。特定の企業からの受注が100%で完全な下請けとなっているケース、取引のある金融機関が1行で事業上の融資から日常の入出金まで資金面をすべて握られている事例、ラーメン店が特定の製麺メーカー1社(工場)から仕入れている場合など、もし相手先の事情が大きく変わって、発注停止・貸し剥がし・工場火災などが起こったとすれば、こちらも倒産や廃業を余儀なくされるでしょう。
ちなみに、特定の取引先に依存していることだけがリスクファクターなのではありません。反対に、取引のある金融機関が多くても、メインがなくてすべてが同じウエイトで取引をしているような場合では、自社が経営危機に陥った際にどの金融機関も助けてくれないことが間々あります。
次に、事業にとってのリスクというのは、そのリスクが生じた場合、経営全体は何とか対応できても、特定の事業には重大な影響が及ぶものをいいます。リスクによっては、いきなり事業を畳まざるをえない事態に直面するかもしれません。
経営資源を特定の組織や場所などに依存していると事業にとってのリスクが大きいかもしれません。外食産業などでセントラルキッチンが1ヶ所しかないのでは、自然災害や物流事情などで生産や配送ができなくなるリスクは無視できません。
同様に、何かへの依存率が高い(50%超とか33%超とか)と自動的にハイリスクと考えてよいでしょう。言い換えれば、事業にとってのアキレス腱があれば、それが事業リスクそのものです。特許の使用許諾や業務委託契約など、その契約が失効すると売れない・造れない・管理できないようになるものは、事業にとってのリスクと認識すべきです。
第三の業務にとってのリスクというのは、そのリスクが生じた場合、日常の仕事に何らかの支障が生じる程度の影響が及ぶものをいいます。いわゆる個々の従業員が遭遇する労働災害(交通事故なども含む)とか顧客や取引先に迷惑や不都合をかける事案などです。
日常の仕事の面で言えば、コミュニケーションのリスク(言った言わないレベルでの問題に始まり、口約束で仕事を進めるカルチャー、記録を残す慣習や文書化のカルチャーがもつリスクまで)、各種のハラスメントのリスク(従業員個々の価値観や行動規範が現代の企業組織で求められるものと乖離しているリスク)、健康管理面のリスクなどが指摘できます。
個別に顕在化し現実化したリスクファクターは、社内外の当事者や時には第三者にとって生死に関わったり経済的な損失につながるなどの重大な影響が生じることもありますが、それらによって事業全体がストップするとか企業の存亡に関わるということはありません。通常は保険(主に損害保険や公的な社会保険)で損害をカバーすることが可能です。
ただし、業務にとってのリスクは、既に顕在化し現実化したリスク(トラブルとか発生した問題というべき事象)と化しているのであれば、その迅速かつ適切な対応が行われないと、二次的なリスクが往々にして発生します。
前回述べたように、二次的リスクというのは、事象が発生した後の対応の質的な違いから損失または利得が発生するもので、その損失(利得)は財務的なものとレピュテーションリスクに分けられます。業務にとってのリスクが顕在化した際に適切に処理しないと、損失額が当初の見積もりよりも膨らんだり、ブランドや社名を汚すような事態を招くことにも成りえます。
たとえば、営業担当が使用している社有車で事故があったとします。その事故1件は社有車の物損で済んだとしても、事故の間接的な原因に営業担当の過労や職場におけるハラスメントがあったとしたら、次は別の交通事故が起こり第三者に人的被害を及ぼすかもしれません。もしかすると、交通事故以外の問題事象(顧客からのクレームや契約打ち切り、従業員の自殺・過労死とか職場単位での健康面での失調、遺族から提起される損害賠償請求など)が続くかもしれません。
外的な要因で生じるリスクに対しては、起きる確率と起きた時の影響の大きさ(財務的にも非財務的にも)を検討して対応策を考えるというリスクマネジメントのアプローチが有効と思われます。
しかし、ここで説明してきたように、組織の内的な要因から生じるリスクは、組織マネジメントそのものが抱える問題から発生している以上、そのマネジメント上の問題を解決する方向でアプローチしなければなりません。決して、CRO(チーフ・リスク・オフィサー)の職を執行役員レベルで設置して、そのポジションに外部から経験者をヘッドハンティングすれば済む問題ではありません。CROの職も、リスクマネジメントやコンプライアンスのマニュアルも、何もないよりはあったほうがいいのですが、本質的には効果は限定的です。本来は、日常のマネジメントや従業員全体について、絶えず業務上のリスクを検知する仕組みやリスクを感じ取るマインドを機能させる工夫が求められます。
作成・編集:経営支援チーム(2022年3月22日)