- 経営戦略
ERM(全社的リスク管理)とは
ERM(Enterprise Risk Management、全社的リスク管理)とは、組織全体におけるリスクを管理し、マネジメントする手法です。組織では既に何らかのリスク対策をしているはずですが、未然に防止できるリスクもあれば発生事態を防ぐことが不可能なケースもあります。
SNSの普及によって、リスク発生とともに素早い情報流通により企業のあり方や評価に直結することを踏まえ、従来よりもリスクマネジメントの運用は重要なものとなりました。統合的なリスクマネジメントを実現するERMなどによって、経営者や現場の従業員1人ひとりがリスクと向き合い、最適な対応力を身に付けることが求められています。
ERMとは
ERM(Enterprise Risk Management、全社的リスク管理)とは、組織全体のさまざまなリスクを管理し、マネジメントする手法です。具体的には組織全体のリスクを洗い出し、優先度の高い順に対応策を考え、評価と検証をおこなうサイクルを継続的に回していきます。これまでリスクが発生した際は、部門ごとに対応していた手法に対し、ERMは組織全体のリスクをまとめて管理するための機関です。
ERMの必要性
グローバル化のような環境の変化に伴い、組織を取り巻くリスクは複雑化してさまざまな脅威にさらされています。これまでおこなってきた部署ごとのリスク対策では抜けや漏れも多かったため、リスクマネジメントは組織全体でおこなってこそ有意なものであることが分かってきました。
ERMの実施によりリスク対策の管理漏れを防ぎ、さまざまな視点からリスクを捉えて些細な脅威も見逃さない体制を構築できます。万全な体制を整えておくことで組織全体の察知力や対応力が向上し、被害を最小限に抑えることが可能です。
ERP(企業資源計画)との違い
ERP(Enterprise Resource Planning)とは、業務アプリの統合管理を目的としたシステム連携や実現に向けたIT製品を意味します。ERPによって組織内のデータをひとつのデータベースで一元管理することが可能となり、各部門をまたいだ業務が効率化する点が最大のメリットです。
また、データが重複する入力防止や他部門の情報閲覧が容易となり、情報の収集や分析に手間がかかりません。リスクマネジメントをおこなううえで、ERPによる部門間における情報の可視化は重要であり、リスク発生時に必要な役割を果たします。
ERMの実施方法
ERMの実施方法は組織の規模によってもさまざまですが、基本的には意思決定をおこなう経営者を筆頭に、各部門の役員層で構成されるERM専門のチームをつくることから始めます。重要な点は組織全体で体制をつくることであり、従業員1人ひとりがERMの実施を周知し、理解できるようなチーム構成を考えることです。
専門のチームを中心としてERMの枠組みを構築し、リスクの洗い出しをおこないます。リスク認識の手法はヒアリングやアンケートをはじめ、BSC(バランススコアカード)やSWOTのような管理ツールの利用も有効です。その後、ERM部門で具体的なプロセスを定め、実践の推進、教育や研修などをおこなっていきます。
ERMにおけるリスクの認識方法
ERMにおけるリスクの認識方法は次のとおりです。
- ヒアリング
- SWOT分析
ヒアリング
部門ごとにヒアリングをおこない、情報を収集することで些細なリスクをすべて洗い出します。部門間で起こりやすいズレや漏れを防ぐため、情報の整理もしっかりおこなうことが重要です。現場の従業員からの意見は実態にもとづいたものであり、より現実的なリスクを把握できるうえ、優先順位を決める際にも役立ちます。
SWOT分析
SWOT分析では組織の強みや弱み、機会、脅威を分析し、内部と外部を絡めたうえで発生するリスクを洗い出します。ERMを構築する際にリスクの認識はまず始めにすべき重要なポイントです。そのため、SWOT分析などを活用し、リスクの源泉まで明確にしておくことで具体的な対応策を定められます。
ERMにおけるフレームワーク
ERMにおけるフレームワークは次のとおりです。
- リスクの認識
- リスクの評価
- リスクの対策
- モニタリング
リスクの認識
まずは組織におけるさまざまなリスクの洗い出しです。地震や台風などの自然災害、サイバーテロ、内部不正、為替や金利等の変動など、企業内外で起こり得るリスクをすべて洗い出し、認識します。
特に2020年代に入ってからはテクノロジーの進化に伴ってデータが爆発的に増加しているうえ、従業員のリモート化によってサイバー攻撃の頻度も増しており、従来と同じようにはいきません。挙げられたリスクは、次のステップ以降で評価と分析をおこなっていくため、漏れがないよう可能な限り多くのリスクをリストアップしておきます。
リスクの影響度分析
洗い出したリスクに優先順位を付けます。発生する可能性の高いリスクや、影響度の大きなリスクをピックアップし、どの業務にどのような影響が出るのか、対策を検討する際の重要なポイントです。反対に発生率が低く、たとえトラブルに発展しても被害が小さいリスクも把握し、メリハリのある影響度分析をおこないます。
リスクの対策
対策法を検討しますが、影響度の高いリスクからおこなうのが鉄則です。基本的にはリスクの回避、低減、移転、受容など、影響度分析を参考にしながら的確な対策を検討します。
回避とはリスクの高い新規事業の断念など、リスクの要因を排除することです。低減はBCP(事業継続計画)を策定し、リスクが発生しても事業への影響を軽減することや、移転はデータをクラウドサービスの外部に移転することなどが挙げられます。また、受容はリスクを把握していても対策を取る必要がないことも挙げられます。
モニタリング
対応策まで定めたら日常的、定期的にモニタリングをし、状況確認をおこないます。内部監査としてリスク管理がしっかり運用されているか確認し、課題が見つかれば改善が必要です。継続的な運用をするためにもモニタリングをおこない、ERMの効果を高めていきます。
ERM構築における注意点
ERM構築における注意点は次のとおりです。
- 組織のレベルに合わせて構築する
- 組織全体で取り組む
- リスクの種類を把握する
組織のレベルに合わせて構築する
ERMは継続的に実施することが重要であるため、組織のレベルに合わせて構築する必要があります。レベルを高くし過ぎてコストがかかり、組織の体力が続かないのでは意味がありません。すべてのリスクが重要度が高いわけではないため、優先順位を決定したらコスト面も考慮して対策法を検討します。
組織全体で取り組む
ERMは組織全体で実施する体制を取り、従業員一人ひとりがリスクと向き合い、対応すべき優先度を把握していることが重要です。従来のように部門ごとのリスク管理のズレをなくし、バラつきのない対応が実現します。また、従業員の理解や協力を得られやすくするため、経営者が率先して取り組むことが重要であり、迅速な意志決定が必要です。
リスクの種類を把握する
リスクを洗い出すといっても、リスクの種類は多岐に渡るため、どこから手を付けたらいいのか分からない場合は、まずリスクの種類を把握することです。災害や経営、労務、財務、法務というようにリスクを大きく種類別に把握し、そこからどのようなリスクが想定されるかを考え、細かくロジックを作成していきます。ERMに限らず、多くのリスクマネジメントではリスクを洗い出すことから始まりますが、リスクが想定できなければ十分な対策も打てません。
まとめ
ERMとは組織全体のリスクを統合的に管理するリスクマネジメントです。従来のように部門ごとのリスク対策ではズレや漏れが多く、特に部門間でのバラつきが課題となっていました。
組織内にERMを構築し、統合的にリスクを管理することで、部門間での統一性が保てることや従業員一人ひとりの意識も高まるというメリットがあります。ERMを構築したら定期的に見直しや改善を図り、変化する環境にも的確な対応ができるように備えておくことが重要です。