取引プラットフォームガイド

リスクマネジメント

リスクマネジメント

リスクマネジメントのプロセスを紹介!損失を防ぐための考え方とは

そもそも「リスクマネジメント」とは何でしょうか。
リスクマネジメントを一言でいえば、企業経営において損失を生じうるリスクを把握し、その影響を事前に回避もしくは事後に最小化する対策を講じる一連の管理プロセスのことです。しかし、リスクマネジメントが「リスクヘッジ」や「危機管理」とどこが違うのかと言われると、答えるのはなかなか難しいのではないでしょうか。そこで、リスクマネジメントとは何かをよりはっきりさせるために、これらの違いを考えてみましょう。
リスクヘッジとの違い
リスクヘッジと言えば、株式投資のポートフォリオ管理が代表的です。株式投資のポートフォリオ管理とは、投資の損益が特定銘柄の株価の上下に依存しないよう、さまざまな種類の株式に分散投資をする方法です。つまり、予想されるリスクを許容範囲に収まるよう「低減」させる、リスクマネジメントのひとつと言えるでしょう。
しかし、「低減」させる以外にもリスクをマネジメントする方法は存在します。そもそもリターンに見合わないリスクは「回避」すべきですし、コントロール可能なリスクであれば目標達成のために敢えて「許容」することも重要なリスクマネジメントです。したがって、リスクマネジメントとは経営全体から見てリスクにどのように対処するかを判断する、より大きな概念と捉えることができます。
危機管理との違い
危機管理は英語ではクライシスマネジメントと呼ばれます。クライシスとは既に起きてしまった損失であり、そうした損失を事後的に極小化するのがクライシスマネジメントです。
例えば、SNSでの炎上に対処したり、リコールなどで謝罪を行ったりする状況があります。
一方で、リスクとは将来起きうると予測される損失であり、そうした損失に事前に対応するのがリスクマネジメントです。したがって、リスクマネジメントは損失が起こる前に行う能動的な概念と捉えることができます。
以上のことから、将来発生するリスクに対して、経営としてどのように対処するかについて意思決定を行うことにこそ、リスクマネジメントの本質があることが分かります。

■リスクマネジメントプロセスの順序

では、リスクマネジメントは具体的にどのように行われるのでしょうか。順序としては、「①リスクを発見する」⇒「②リスクを分析する」⇒「③リスクを評価する」⇒「④リスクに対処する」の4つのステップで実施します。それでは、それぞれのステップについて詳しく見ていきましょう。
①リスクを発見(特定)する
はじめにリスクを目に見える形で棚卸します。具体的には、とにかくリスクをたくさん挙げることを目標に、関係者が想定するリスクをブレーンストーミングなどで抽出し、リスク管理シートにリストアップしていきます。この作業はリスク管理部門だけに頼るのではなく、さまざまな部門を参加させて行うと、網羅的にリスクを洗い出すことができます。
リスクにはさまざまな種類があるため注意が必要です。通常業務の中で想起されやすい経済リスク(為替変動など)、財務リスク(株価下落など)、労務リスク(リストラなど)のほかにも、事故・災害リスク(火災など)、訴訟リスク(PL法訴訟など)、政治リスク(制度改正など)、社会リスク(機密漏えいなど)についても多面的に洗い出しましょう。
このステップで重要なのは、まず起きないだろうと無意識に放置されているリスクや、できれば考えたくもないリスクも含めて、すべての想定されるリスクを洗い出すことです。日本では、一般的にリスクを強調することを「後ろ向き」や「大げさ」と感じて躊躇する傾向があります。しかし、リスクはそうした感情とは関係なく現実に存在します。本当は気づいていたのに気付かないふりをしていたでは手遅れになってしまいます。
②リスクを分析する
次に棚卸したリスクの重大さを明らかにします。具体的には、リスクが顕在化した際の「影響の大きさ」と「発生確率」をひとつひとつ特定し、両方を掛け合わせた結果を物差しに、それぞれのリスクがどのくらい重大なものかを比較できるようにします。
「影響の大きさ」や「発生確率」は可能な限り定量化を行います。例えば、不良品によるリコール発生の場合、過去の事例や他社の事例から「影響の大きさ」を推測し、不良品が発生する統計的頻度から「発生確率」を推計できるかもしれません。その際、商品回収による直接的な影響だけでなく、リコール対応による人件費の流出や販売の機会損失など間接的な影響も含めて考えるのがポイントです。
一方で、現実には「影響の大きさ」や「発生確率」を定量的に把握するのが難しい場合も少なくありません。例えば、先のリコール発生の場合、人命に関わる事故の発生や企業としての信頼喪失を金額に換算することはできません。リスク分析においては、こうした定性的な側面も含めて、関係者との議論の中でリスク同士を相対的に比べる必要があります。
③リスクを評価する
リスク分析が終わると、個々のリスク分析の結果を一覧として可視化します。具体的には、「影響の大きさ」をx軸、「発生確率」をy軸にとって、リスク分析の結果に従って個々のリスクをマップ上にプロットしていきます。これにより、影響度が大きく、発生確率も高い重大なリスクがどれかが誰の目にも明らかになります。
ただし、影響度が大きく、発生確率も高い重大なリスクばかりに着目すべきとは限りません。例えば、複数の中程度のリスクに対して早期に手が打てるのであれば、重大なリスクをひとつ防止したのに匹敵する効果をあげられるかもしれません。リスクの重大さだけでなく、対応の順序にも着目することがポイントです。
④リスクに対応する
最後に、優先度が高いと評価されたリスクに対して具体的な対応策を考えていきます。リスクマネジメントとリスクヘッジとの比較の中で紹介したように、リスクへの対応策はひとつではありません。ここでは代表的な対応策として、4つの選択肢を紹介します。

1. 低減:事業のポートフォリオ経営、ジョイントベンチャー化など
2. 移転:保険への加入や証券化などのファイナンス手法の活用など
3. 許容:将来の期待収益を損なわない範囲でリスクを許容
4. 回避:上記のリスク管理ができない場合に事業売却などを実施

このように、リスクマネジメントは経営を支える全社的な仕組みです。将来発生するリスクを能動的に把握し、どのように対処するかについて科学的に意思決定を行うプロセスを定着させるには、根気強いトライ&エラーが求められます。 リスクマネジメント
最後にリスクマネジメント研究で著名なカーネギー・メロン大学が提唱する、企業のリスクマネジメント習熟度の5段階を紹介します。 リスクマネジメントが組織としてどこまで根付いたかの物差しとして、定期的に見直してみることをおすすめします。

初期段階:特定個人の経験に依存し、場あたり的な対応になりがち
反復段階:リスクマネジメントの共通認識が生まれガイドラインが作成されるが、現場での対応は個人に依存
定義付け段階:方法論が確定し、セグメントごとにリスクマネジメントが行われる
管理段階:統合的管理が成立し、プラスのリスクについて分析が可能になる
最適化段階:リスクマネジメントが競合他社より優れ、競合のための武器になる

【ヨミ】リスクマネジメント リスクマネジメント リスクマネジメント

リスクマネジメントとは、「事前に測定できる好ましくないリスク」を想定し、いかに実効性のある対応をしていくか、そのプロセス全体を指します。近年は経営を取り巻く環境の変化が激しく、リスクとなる要因が多様化かつ複雑化しています。その結果、リスクが想定される特定の部署が単独で対応することが困難になっています。そこで、リスクマネジメントの実効性を高めるため、リスクに対して全社的な視点に立ち、最適な方法で管理を行い、リスクを回避していくこと。また、適切な対応を実践していくことによって企業価値を高めていくリスクマネジメントのあり方が、今まさに求められています。

事業継続を脅かすリスクが増大している

ビジネス社会では、事業を継続して行うことが企業としての大前提です。事業継続は、企業の社会的責任と言えるでしょう。この大前提を脅かすものが、リスクなのです。実際、企業はかつてないほど多くのリスクに取り囲まれています。製品の事故、顧客からの苦情、偽装問題、情報漏えい、コンプライアンス違反、自然災害など、リスクとなる要因を挙げるときりがありません。また、原材料や石油価格の高騰、環境問題など新たな社会規制、事業のグローバル化やM&Aなど、経営を取り巻く環境は不確実性が非常に高くなっており(※)、企業が直面するリスクは一段と巨大化、かつ多様化しています。

現代では、避けることのできない重要な経営課題に

事業内容や従業員規模にかかわらず、リスクマネジメントが後手に回った結果、消滅していった企業は少なくありません。また、リスクマネジメントを怠った経営者が、巨額の賠償を命じられるケースも増えています。経営者の「過去からの業界慣行に従った」「今までと同じ判断を下した」といった言い訳は、もはや通用しません。厳しい判決が下されるのも、経営者には会社法の下、企業が直面するリスクに対する管理や内部統制の構築を行う義務があるからです。当然、これらを怠った場合の代償は大きく、投資家や顧客、取引先、金融機関、地域社会、従業員など、影響が及ぶ範囲は多岐に渡ります。つまり現代社会では、リスクをしっかりと管理できない会社は、生き残ることが難しいと言えます。このように企業におけるリスクマネジメントは、避けることのできない重要な経営課題であることが分かります。

3. リスクマネジメント導入のフレームワーク

何をリスクマネジメントするのか

1.自社のリスクを知る
・最初に、自社はどのようなリスクを抱えているのか、的確に知る必要があります。自社のリスクを知るにはまず、過去事例を詳しく調べること。さらに、社内アンケートやホットライン(報告制度)、モニタリング、監査などの手法を用いて、リスクを明確化します。
・過去事例などを調べていく際、その目的はあくまで再発防止にあることを忘れてはなりません。関係者には、責任追及ではないことを事前に説明し、協力を得るようにします。

3.管理対象の明確化
・洗い出したリスクに対し、何をどこまで管理するのか、管理する対象を明確にします。ここでは何を基準とし、優先順位を付けていくのかを考える必要があります。例えば、下図に示したような経営や人事管理に対する「影響度」と、発生する「頻度」による二つの評価軸で、管理する対象を分類する「リスクマップ」を作成、ターゲットを絞り込むといったアプローチが考えられます。法改正が頻繁に行われている現在、人事ならではのリスクを意識することが大切です。

4.管理方法の明確化
・管理する対象がはっきりしたら、目的を達成するためにどうリスクをマネジメントしていけばいいのか、「全社的な視点で一元管理する」「各事業部門が事業計画として連携し管理する」など、管理方法を具体的に定め、明確化します。

【リスクマップの例(経営・人事管理に対するリスク)】

頻度多 頻度少
影響大 景気変動、市場ニーズの変化
為替・株価変動、税制改革、労働法制改革・変更
労働力人口の減少、少子高齢化
人材流出(離職)、人材獲得(採用)困難 など
地震・津波、戦争・内乱
火災事故、水災洪水
不良債権、訴訟
リストラ、人員整理
情報漏えい など
影響小 人事制度改革、組織改革
労働災害、ハラスメント
システム障害・トラブル
業務の非効率化、生産性低下 など
社内不祥事・不正
盗難事故
人身事故
雇用差別 など
【参考】 コンプライアンス上のリスクの具体例についてはこちら↓
コンプライアンス違反から生じる影響 業務上のリスクについて社会保険労務士などの専門家に意見を仰ぎたい場合は、『日本の人事部』の運営する『人事のQ&A』の利用をおすすめします。

「PDCAサイクル」に基づいて実施する

1. Plan:基本方針・計画の策定
・最初が、基本方針・計画の策定。経営トップの考え方を従業員に対して明確に伝え、会社の向かうべき方向を周知徹底します。基本方針が明確であることは、社外のステークホルダーに対して大きな意味を持ちます。
・具体的な計画を策定するには、直面する(予想される)さまざまなリスクに対して、どこから対応していくのか優先順位を決め、計画を立てるようにします。
・優先順位を付ける際は、まずリスクを洗い出した上で、それらを一定の基準で評価していきます。優先順位の高いリスクに対して戦略、目標と対策、期限をそれぞれ設けます。

2. Do:対策の実施 リスクマネジメント
・リスク対策を進めていくには、リスクを細分化し、現場で行動を起こせるアクションプランへとブレークダウンする必要があります。
・実施に当たっては、社内外の専門家を交え、リスクに関連する業務を担当する専門のスタッフや事業部門が主導し、対応することが効果的です。

3. Check:モニタリング
・活動が形がい化していないか、実効性が伴っているか、モニタリングを並行して行うことが重要です。モニタリングには、「自己評価」と「リスクマネジメント監査」の2種類があります。
・自己評価は遂行する側が行うため、リスク管理に対する当事者意識や責任感を高めることができますが、モニタリングの客観性が阻害される可能性があります。
・リスクマネジメント監査は、第三者が経営者の代わりとなって、リスクマネジメントの仕組み全体を客観的にチェックするものです。自己評価の結果も含め、確認した内容を、経営者に直接報告します。

4. Action:修正・改善
・経営を取り巻く環境が激しく変化する昨今、リスクマネジメントにおいても見直しは必須です。そこで経営トップはモニタリングの結果を確認し、自社のリスクマネジメントの取り組みが期待通りに実践されているか、レビューを行います。
・さらにタイミングを見計らって、モニタリングで発見された問題点の是正・改善を行います。

リスクマネジメント体制と求められる役割

1. 経営者(CEO)
・経営者は、基本方針を決定し、最終責任を負う立場を担います。経営者が果たす役割として大切なのは、自社でリスクマネジメントを遂行する意志を、社内外に強く示すこと。そして、下図のような「リスクマネジメントの実施体制」を構築し、基本方針通りに進められているかどうか、レビューを行うことです。

2. リスクマネジメント担当責任者(CRO)
・CROは、リスクマネジメントに関わる全ての業務を統括する役割を担います。基本計画や実施に関する指示や承認を行うと同時に、経営判断を下すための報告や提案を行います。
・CROを置くことによって、社内のリスクを経営のトップレベルで把握し、全てのリスクに対してトップダウンで関与していくことができます。

3. リスクマネジメント委員会
・活動が形がい化していないか、実効性が伴っているか、モニタリングを並行して行うことが重要です。モニタリングには、「自己評価」と「リスクマネジメント監査」の2種類があります。
・CROとともに、リスクマネジメント委員会を置くことで、リスクマネジメントに特化した話し合いが頻繁に行われ、スピーディーで的確な意思決定が期待できます。
・委員会を設置することが難しい場合、経営会議の中で別途リスクマネジメントに関する議論を行い、同様の機能を持たせるようにします。

4. リスク管理部署
・CRO、リスクマネジメント委員会の下に置かれる、リスク管理のための専門部署です。各部門で実施されているリスク管理の取りまとめを行います。一元管理の実効性を保つためには、専門部署の設置は不可欠と言えます。
・リスクマネジャーを置き、各部門のリスク管理責任者と密に連絡を取っていく中で、情報提供やリスクに対する教育・意識づけなどの働きかけを行います。

5. 各部門の管理体制
・リスク対策の実行主体は現場の各部門です。ただし、リスクの性質に応じて、部門横断的なチームや地域単位、人事、経理、ITなど職能別に、管理単位を考えていく必要があります。
・現場におけるリスク管理の実効性を高めるには、現場リーダーとしてのリスク管理担当者を決めておくと同時に、担当者に対する情報提供が欠かせません。

関係者への働きかけ

1. 関係者への教育(研修)
・リスクマネジメントに関わる人材への教育(研修)は不可欠です。特殊性・専門性の高い場合は社外の専門家に依頼しても構いませんが、継続的な教育を行う場合には、社内講師が望ましいと言えます。
・座学によるテキストの解説だけでなく、内容によってはワークショップなどによる体験型の研修も必要です。また、継続的に学ぶためにeラーニングによるメニューを用意するようにします。

2. 情報共有の仕組みの構築
・社内におけるリスク管理に関する情報を収集・整理(データベース化)し、共有化していくことによって、見落とされていたリスクの発見や対応策の立案が可能となります。
・情報を管理する際には、「発現したリスク」と、想定される「発現していないリスク」に分け、毎年、更新していく必要があります。

3. 管理規定・マニュアル の作成
・管理規定・マニュアルは、実施すべき事項や守るべき事項を定めたもの。定められたルールに従った行動を行うことにより、リスクマネジメントに関する業務の標準化が図られます。
・状況によって、具体的に何をどのように行えばいいのかが分かるように、文書だけに限らず、画像や映像による対応(見える化)を行うといいでしょう。

導入する際の留意点

これまでのリスクマネジメントのあり方を見ると、コンプライアンスは法務部、情報セキュリティ関連は情報システム部が対応するといったように、各部門の業務の責任範囲の下、「部分最適」にリスク対策が行われていましたしかし、部分最適が進むことによって、リスクに対する統括責任者が事業部の責任者なのか、経営トップなのか、それともリスク担当役員なのか、不明確になります。その結果、効果的なリーダーシップが発揮されず、リスク対応が滞ってしまうことがあります。さらに、部門ごとにリスク対策を行った結果、複数の部署で重複した活動や似たような対応をしてしまうこともあります。このように部分最適ではリスクの一元管理が難しくなるので、留意しなくてはなりません。

部分最適に見られる問題点を解決し、リスクマネジメントの実効性を高める観点から、これからのリスクマネジメントは「全体最適」であることが不可欠です。そのためには、全社的な視点に立って全社のリスクを俯瞰(ふかん)し、マネジメントできる統括責任者を決めておく必要があります。その下で、リスクマネジメントが適切に行われなければなりません。全体最適型のリスクマネジメントであれば、各部門がどのようなリスクを抱え、どのような対策を行っているか、一元管理することができます。同じような対策が必要なら、同時に行うなど効率化もできるようになります。

4. リスクマネジメントの実際

リスクマネジメントの事例紹介

(1)製品の品質管理体制

1. 全般的な必須事項
・品質管理には、必須となる基本条件となる事項があります。例えば、材料・製品の「先入れ先出し」の実行。その他にも、「工場や倉庫の温度・湿度の適切な管理」「機械設備の清掃管理」などがあります。これらは、間違いなく実行されなくてはならない事項であるため、そのためのチェック機能を万全にしておく必要があります。

2.製品の梱包
・梱包の管理も怠ることはできません。直接製品に触れる梱包材料は、その材質や印刷インキなどに安全上問題がないことを、基準を設けて確認します。また、梱包・容器は、製品として出荷後の物流、保管時の安全確保も考慮した仕様としなければなりません。

(2)情報漏えい対策

1. 保管
・紙媒体は、限られた担当者しか持ち出せない状態にする必要があります。セキュリティルームや施錠できるストレージに保管するなどの措置が求められます。
・また「どんな情報」を「どの程度」保管しているのかを、把握しておくことが重要です。個人情報の管理台帳を作成し、定期的に棚卸しを行うといった措置が有効です。

2. 廃棄
・「そのうち、役に立つかもしれない」と、紙媒体を保管し続けてしまうケースが見受けられます。「廃棄」という行為は、適切に行うことでリスクをゼロにする最良の対策と言えます。
・その際、廃棄する時期や方法を明確にすることが不可欠です。また、廃棄する方法として、シュレッダーを利用する、外部業者を利用するといった方法を、事前に決めておくことが重要です。

3. 外部委託先管理
・外部委託先からの情報漏えいも、少なくありません。外部に委託する場合は、情報管理の体制として執務室への入退室管理、預けている情報のアクセス制限など、選定基準を明確に定めておく必要があります。また、要求事項に関するチェックリストを用意し、口頭だけではなく、その内容を業務委託契約に盛り込むことが効果的です。
・モニタリングの観点から、外部委託先が要求事項を守っているかどうかを、定期的に確認します。守っていない場合は、契約解除ができる条項を契約書類には入れておくようにします。

(3)グループ・リスクマネジメント対策

1. 方針の策定・導入計画の策定
・グループ・リスクマネジメントの導入で不可欠なのが「グループ・リスクマネジメント方針」です。リスクマネジメントの範囲、目的、親会社と子会社の責任と権限といった、基本的な事項を定めます。
・次に、グループ・リスクマネジメントを導入するための計画を作成します。その際、「導入順序」や「導入期限」などを、あらかじめ定めておくことが肝心です。

3. 浸透状況のモニタリング
・グループ・リスクマネジメントを確実に浸透させるためには、モニタリングが不可欠です。各子会社に導入した後、どの程度、従業員の理解が進んでいるのか、実際に機能しているかを確認することを忘れてはなりません。

4. 改善
・モニタリングを行った結果、発見された問題を改善します。その際、発生した問題がその子会社特有のものなのか、他の子会社でも同様に発生するものなのかを、親会社はしっかりと見極める必要があります。
・他の子会社でも発生し得る問題の場合は、問題が顕在化する前にグループ全体で対処しなくてはなりません。場合によっては、グループ・リスクマネジメント方針や導入計画の見直しを行うこともあります。このような形でPDCAサイクルを回しながら、グループ全体としてのリスクマネジメントを図ります。

親会社と子会社の責任と所在が曖昧では、実効性のあるグループ・リスクマネジメントは期待できません。実行主体が親会社なのか子会社なのか、それに伴い不祥事が発生した場合の親会社と子会社の責任はそれぞれどのように問われるのか。また、責任に見合った権限として何を付与するのかなどを、事前に明確にする必要があります。

5. 実効性のあるリスクマネジメントを行うために

被害・ダメージを最小限にするための対応

1.情報の伝達
・重大な事故や事件が発生した際、現場で情報を吟味(取捨選択)するのではなく、リスクを管理する部門にいち早く連絡を行います。
・取捨選択することによって、必要な情報が見落とされてしまうことが少なくありません。そこで、普段から現場は緊急情報をそのまま管理部門へと伝達するよう、周知徹底しておく必要があります

2. 対策本部の設置
・緊急時には、対策本部を設置します。メンバーは経営トップ以下、リスク担当部署、法務、広報、総務・人事、営業、技術などの各責任者で構成。また、コンプライアンスを確保するため、信頼の置ける弁護士が必要です。
・対策本部では、緊急情報を集中管理します。判明した情報は、対策本部にある特定のPCなどに集約します。
・情報の発信も本部に一本化し、社内に対しては個別のメディア対応やSNSへの書き込みを禁止する旨を、従業員に周知徹底します。

3. 広報活動
・緊急時の広報には、謝罪、原因究明、再発防止を丁寧に伝えていくことが求められます。その際、情報を隠ぺいすることなく、コンプライアンス対応に努めるスタンスが最優先されます。また、プレス発表においては記者が記事にしやすいよう、起承転結・5W1Hを明確にして伝えるようにします。

経営トップの果たす役割とは何か

しかし、事業規模を問わず、そういったことを行わない経営トップを見かけることがあります。肝心の経営トップのメッセージや行動がなくては、従業員にコンプライアンスを求めても、主体的な行動を促すことはできません。むしろ、現場では負担が大きくなり、モチベーションが下がってしまいます。このような状態では、全社的にリスクマネジメントを進めていくことは難しいでしょう。だからこそ、経営トップは自らのメッセージがリスクを防止するという意識を強く持ち、言葉を発し、行動を示すことが重要なのです

人事部に期待される役割

リスクマネジメントの旗振り役として、人事部に期待される役割は大きくなっています。例えば、リスクが発生する前に、従業員の意識や行動面に何かしらの兆候が認められることがありますが、日頃から従業員の勤務態度や生活習慣などに変化がないかどうか、現場の管理職などの協力を仰いで観察していくことが求められます。さらに、人事部が情報を救い上げる仕組みとして、「社内相談制度」などを設けるのも効果的です。従業員が気軽に相談できるような雰囲気を作っていくことにより、事前のリスクの兆候を把握し、対応することが可能になります。

問題の解決に当たって関係者から事情聴取を行うことがありますが、その際は個人情報やプライバシーに対する配慮が不可欠です。また、事実を客観的に把握するため、書類などの物的資料を重視し、じっくりと話を聴くこと、丁寧に事実確認をすることが人事部には求められます。

今後の課題と対応

(1)リスクガバナンスの構築

リスクマネジメントを進めていく上で、最も重要な位置付けを占めるのがリスクガバナンス、すなわち経営判断を司る「取締役会の機能強化です。リスクガバナンスは、取締役会が主導する領域。そこで、取締役会が戦略的な意思決定やリスク管理体制のモニタリングなどを適切に実行するためには、以下の四つの原則が求められます。

  1. リスクの考え方の共有:企業価値の保護と創造の両面からリスクが理解され、組織全体で共有されている
  2. フレームワークの共有:・組織全体のリスクマネジメントに対して、共有のフレームワークが活用されている
  3. 役割・責任・権限の明確化:リスクマネジメントに関する役割、責任、権限が明確に定められている
  4. ガバナンスに関わる会社機関の的確な監督:取締役会、監査役会などガバナンスに関わる会社機関が、その責任を果たすために組織のリスクマネジメント活動を的確に見通している

(2)リスクインフラの管理

リスクインフラとは、リスクマネジメントが機能するために不可欠な設備・施策・ITシステムを指します。リスクインフラの管理は、経営者が主導する領域と言えます。経営者が効果的なリスク管理プログラムを設計し、適切に実施、維持していくためには、以下の三つの原則が求められます。

  1. 共通のリスクインフラの利用:各部門がリスクに関する責任を果たすために、共通のリスクインフラが利用されている
  2. 経営者の責任の明確化:効果的なリスクマネジメントプログラムの設計、導入、維持に関して、経営者が最大の責任を負っている
  3. 適切な内部監査と監視機能:内部監査など特定の部署が、取締役会と経営者に対してリスクマネジメントプログラムの有効性を監視し、報告を行っている

(3)リスクオーナーシップの発揮

リスクオーナーシップとは、リスク対策の実行主体(当事者)のこと。リスクマネジメントにおいて、リスクが発生しないように策を講じる(発生後の対応を行う)のは各部門に他なりません。このようにリスクオーナーシップは、事業部門やスタッフ部門など各部門が主導する領域なのです。各部門が特定のリスクの認識、評価、監視、報告などを適切に実行するために、以下の二つの原則が求められます。

リスクマネジメント

リスクの評価

キユーピーグループでは、海外拠点の従業員が安心して業務を遂行できる環境を整え、グループの成長・発展につなげる活動に取り組んでいます。 リスクマネジメント
その活動の中心として、経営基盤の強化につながる内部統制システム(ガバナンス、コンプライアンスおよびリスクマネジメント)の整備を推進するための法務・財務・人事・IT・知財・危機管理・内部監査・海外事業などの部署により構成している「内部統制推進プロジェクト」を組織し、さまざまな取り組みを行っています。
内部統制推進プロジェクトでは、これまでに、参加している専門部署ごとに考えられる海外リスクマネジメントのためのチェックリストの作成や海外各社とのやり取りを通じて、双方向型での内部統制システムの整備を推進してきました。

具体的な取り組み

  • ・ 反贈収賄プログラムの展開
  • ・ 国内外で統一した危機発生時の事業継続計画(BCP)の策定
  • ・ 情報セキュリティ対策の推進
  • ・ 人事労務体制の強化(規程類・制度の整備と見直し、理念研修等)
  • ・ 海外グループ会社のメンバーを対象とした研修

自然災害など不測の事態への対応 事業継続計画(BCP)

過去の災害や感染症蔓延などの危機の経験を生かし、キユーピーグループ横断で危機発生時の事業継続計画を整備し、対策に取り組んでいます。
有事の際に、東京の本社機能を関西に代替移行可能な体制の維持、非常時の通信ネットワークの整備や物資の備蓄、生産設備や物流設備の補強、不測の事態において生産可能状況を確認するシステムの整備、主要商品に関する生産や原資材調達機能及び受注機能を二拠点化することや、全国規模での在宅勤務体制への移行などにより危機発生時に備えており、不測の事態の種類ごとにマニュアルを整備しています。
さらにそれらを確実に運用できるようにするために大規模災害対応訓練(初動対応訓練や商品供給訓練、安否確認訓練)も行っています。
これらの活動により、発災した場合には適切な初動対応を行い、速やかに復旧活動につなげて平時の事業活動の状態に回復を促し、不測の事態から受けるダメージを最小限にできるように万全に備えています。

リスクマネジメント

リスク管理の体制

大塚グループのリスク管理体制を確立するため、代表取締役社長を委員長、総務担当取締役を副委員長とし、情報開示責任者、内部統制責任者を構成員とする「リスク管理委員会」を設置するとともに、「リスク管理規程」を制定しています。「リスク管理委員会」は各リスク管理部署による管理を通じ、大塚グループの持続的価値向上を脅かすリスクに対し、評価を行い統合的な管理を行っています。
また、当社グループは、当社及び主要事業会社における全社リスク管理の一層の充実に取り組むため、リスクを全社的視点で認識・評価し、経営資源を重要リスクに対する統制へ優先的に配分すること等を目的として、2020年7月からエンタープライズリスクマネジメント(以下「ERM」)を導入しています。
ERMの取組みの中では、全社リスク管理のフレームワーク及びリスク評価の仕組みを構築した上、主要事業会社におけるリスク評価を通して当社グループにおける主要なリスクを識別し、リスクに対する対応策を策定しています。
これらのリスク管理活動は、当社の代表取締役社長を委員長とする、リスク管理委員会に報告され、リスク管理委員会は重要なリスクのモニタリングや、リスク管理活動の振り返りや改善案の検討、及び管理体制の定期的な見直しを行います。

リスク管理委員会の役割

アプローチ

事業継続計画・マネジメント

大塚グループでは、大規模地震や災害発生時にも最大限事業活動を継続し、製品の安定供給が図れるよう、事業継続計画(BCP)を策定しています。
事業継続マネジメント(BCM)の観点では、大塚ホールディングスおよびグループ各社が協働し、グループ全体で事業継続に取り組む体制を構築しています。2012年8月「医薬品、飲料および食品の生産と安定供給」における「ISO22301」認証取得から段階的に適用範囲を拡大し、2015年4月に「輸液の安定供給」、2016年5月に「抗がん剤の安定供給」に関して認証を取得しました。「ISO22301」認証取得は、組織が万全な事業継続能力を備えていることをBCMという観点から証明するものです。
大塚製薬、大塚製薬工場、大鵬薬品、大塚倉庫等が連携して、大塚グループ全体で災害発生時においても最大限事業活動を継続し、安定した製品供給ができるよう、対策・体制の強化に努めています。主なグループ会社合同で、2018年には、首都直下型地震の発生を想定した机上シミュレーション演習、2019年には、西日本エリアへの台風の直撃を想定した机上シミュレーション演習を実施し、製品の安定供給をテーマに、実践に近いかたちで連携体制を確認しました。

リスクマネジメント研修

情報セキュリティ

大塚グループでは、情報セキュリティについての基本的な考え方を示した「大塚グループ・グローバルセキュリティポリシー」を制定し、海外子会社を含めたグループ各社の認識の共通化に努めています。同ポリシーをベースとした情報セキュリティに関する具体的な施策の検討や最新情報の共有等を目的として「グループ情報セキュリティ委員会」を組織し、グループ全体の包括的なセキュリティレベルの向上と継続的な改善を図っています。サイバー攻撃へのリスク対策としては、外部の専門機関によるシステムセキュリティ監査をはじめ、公開ウェブサイトの脆弱性診断、標的型メール攻撃に対する演習、SNSへの書き込みのモニタリング等を実施しています。また、データを構築している基幹システムの災害時対応訓練も定期的に実施しています。さらに、大塚グループ各社が保有する個人情報や営業秘密を狙うサイバー攻撃に対し、被害発生を前提とした対策チームであるCSIRT(Computer Security Incident Response Team)を設置し、コンピューター関連の緊急事態に対応できる体制を構築しています。

リスクマネジメント

企業が直面するリスクは、ますます複雑化・多様化・巨大化し、リスクマネジメントの強化は避けて通れない経営課題です。とりわけ、影響が広範囲に及ぶ危機に対しては、あらかじめ被害を想定した事業継続計画(BCP)の策定が不可欠です。サントリーグループでは、国内各社向けマニュアル「リスク・クライシス初動対応マニュアル」、および海外各社向けマニュアル「Major Incident Management」を定め、クライシスへの対応基盤を構築しています。重大な危機が発生した際には、迅速な情報伝達と意思決定を行い、適切に対処することで、その影響および被害を極小化し、グループの社会的信頼を保持することを目指しています。

国内グループ会社のさらなる体制基盤強化

事業継続計画(BCP)の策定と実施

大規模自然災害対策

安否確認システムの構築と訓練の実施

災害時の対応体制

感染症対策

新型コロナウイルス対策

海外出張への安全管理

The Foreign Corrupt Practices Act(FCPA) 等の世界各国の贈賄に対する規制強化に伴い、2015年に全世界のサントリーグループ役員・社員に向け、反贈賄活動に関するサントリーグループの基本的な姿勢を宣言する(Anti-Bribery Measures)とともに、グローバルスタンダードに合わせた接待・贈答に関するガイドラインを制定し、周知理解の展開を図りました。グローバルリスクマネジメント委員会での各取り組みを取締役会において報告しています。2016年にはグローバル反贈賄ポリシーを制定、接待・贈答に加え、寄付や政治献金などを含めた新たなガイドラインを制定しています。
「サントリーグループ企業倫理綱領」においてもいかなる形の腐敗・不正行為も許容しないことを規定しており、従業員に対するグローバル反贈賄ポリシーやガイドラインについての周知や研修の実施に積極的に取り組み定期的なモニタリングを実施しています。また、グローバルなコンプライアンス・ホットラインを設置し、通報や相談の体制を構築し、運用しています。

Anti-Bribery Measures

Suntory Group, as a global group, is firmly committed to compliance with applicable anti-corruption laws and regulations around リスクマネジメント リスクマネジメント リスクマネジメント the world.

All Suntory employees worldwide are prohibited from giving or リスクマネジメント receiving bribes in any form, directly リスクマネジメント or indirectly, to anyone (public officials and private counterparties).

Suntory Group is committed to providing employees with clear guidelines such as Gifts, Entertainment and Hospitality.

Suntory Group is committed リスクマネジメント to maintaining accurate books and records and appropriate internal accounting controls systems, which shall be audited periodically リスクマネジメント by our independent auditors.

Suntory Group will communicate its compliance objectives, including how seriously it takes ethical conduct and compliance, to its employees, business partners, agents and other third parties.

Suntory Group will provide its employees comprehensive compliance and prevention of corruption training programs.

Suntory Group wants and expects violations and concerns to be reported and will take action to investigate any complaints.

汚職に関するリスク評価

情報セキュリティの強化

情報セキュリティ体制強化

Suntory Group Information Security Basic Policy

Our information assets are a source of the リスクマネジメント Suntory Group’s competitiveness. During our strategic リスクマネジメント usage and application of such assets, we must be worthy of our customers’ trust in us and fulfil our corporate social responsibility. Thusly, リスクマネジメント we have identified the appropriate safeguarding of information assets as being an important management challenge, and have instituted the following basic policy, which promotes information security governance.

By maintaining a chain of responsibility for information リスクマネジメント security and by formulating and enforcing rules on the handling of information, we will strive for appropriate management as one group.

By specifying how the information assets that we possess should be handled in accordance with their importance and any risks, we will strive for their リスクマネジメント secure and proper use and their appropriate safeguarding.

We will conduct the ongoing education and training of our directors, all employees, and other personnel, and we will commit to awareness-raising regarding this issue and ensure リスクマネジメント full compliance with rules related to information security.

We will strive to prevent information security incidents, and in the unlikely event that such an incident occurs, we will swiftly take action to recover and implement corrective measures.

While complying with laws and regulations in every country we operate in related to information assets, we will continuously improve and enhance the abovementioned information security policies.

関連記事

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次
閉じる