2020-05-27
実に大変な時代になりました。
全世界を巻き込む新型コロナウィルスの感染拡大は、企業活動と日常生活において過去に例を見ない影響を及ぼし続けており、その終息の見通しが全く立ちません。
このような事態になることを、数年前から予測ができていたという方はまずいらっしゃらないと思います。事実、S&P 500構成企業でもあるGartnerが1500名以上を対象に実施した調査によると、自社が、「コロナ騒動から巻き起こる様々な影響に対しての備えが十分に準備できている」と考える方は12%しかいなかったそうです。
想定しうる問題については徹底的に準備されていた企業であったとしても、「新型コロナウィルス」によって起きる影響については準備ができていなかったかもしれません。ですが、そのような企業は新型コロナウィルスへの対策がなされていなかったとしても、在宅勤務の導入などの緊急時の勤務体制をあっという間に整えることができました。何故でしょうか?それは例えば、自然災害というリスクがあることを想定して、あるいは従業員の離職というリスクがあることを想定して、働きやすい環境を整えておいたなど、万が一の場合のリスク管理を既に実践できていた企業は、未曽有の緊急事態に対しても冷静に対応しています。
リスクを最小限にできた企業もあります。今後どのような災害や困難が企業や従業員に襲い掛かるか想像もつきません。事実、コロナ騒動の終息を待つことなく、地震や火災も発生しており、ビジネスを行っていく上でこのような問題は避けることができません。ですが、リスクマネジメントを行うことで、企業にとって大事な要素であるリスクと共存する企業運営が可能になります。
リスクマネジメントは様々な分野で研究されている内容ですが、混乱を避ける為に今回は企業組織におけるリスクマネジメントに限定させて頂きます。
そもそもリスクとは何でしょうか?リスクの定義についてはISO(International Organization for Standardization)が規定しています。ISOは世界162か国が加盟する機構で、ISO 9001/ISO 14001認証取得を示した名刺をご覧になったことがある方も多いと思います。ISOは1947年の発足以来、現在までに約22,000の国際規格を定めています。ちなみにですが、ISO 9001は品質マネジメントシステムを、ISO 14001は環境マネジメントシステムを指します。リスクマネジメントについてはISO 31000の規格があり、リスクの定義を行っています。
定義には「The effect of uncertainty on objectives = 目的に対する不確かさの影響」とあります。何だかスッと頭に入らない定義ですが、つまりは様々な観点(企業戦略面・プロセス面・財務面など)からの目的に対して、期待する結果から乖離する可能性をもたらすものを指します。ここで注目すべきは、良い方向と悪い方向の双方に作用する不確かな要因が、リスクと呼ばれるということです。例えば、為替相場。為替相場は明日には必ずこうなる、1年後には必ずこうなっているなどと確定できる内容ではないので、不確かなものです。したがって、為替差損も差益のいずれもリスクに含まれることになります。
リスクと聞くとネガティブなイメージしか湧いてきませんが、実はプラスのリスクとマイナスのリスクが存在するということです。このリスクに対して企業が取り組むべきは、好ましくない影響については、その影響を最小化させていく。好ましい影響については、その影響を最大化させていくと言えます。リスクは事業運営を継続していく以上、完全に消滅するということはなく、事業規模や業種を問わず、常に雇用主の頭を悩ませる存在です。更に厄介なのが、リスクは社内にも社外にもある。次々に現れるリスクにどう対応すればよいのか?そこにリスクマネジメントの需要があるのです。
リスクマネジメントの順序は細かく分けると更に細分化できますが、今回はシンプルに4ステップでご紹介をしていきます。
1.リスクアペタイトとゴール設定
2.リスクの特定
3.リスクの分析
4.リスク対応
まずは
1.リスクアペタイトとゴール設定
リスクアペタイトとは何でしょうか?直訳するとリスクに対する食欲ですが、言い換えると、組織がどれだけリスクに対して旺盛かという意味です。今回は組織のリスクアペタイトに限定してお話しますが、リスクアペタイトは金融業界の中で登場した概念です。皆様も投資活動や資産運用の際に、いくつかの質問で構成された質問表を記入したご経験はないでしょうか?それは回答の内容により、リスクへの旺盛さを判断し、投資活動の内容を決定していく為です。丁度そのように、組織のリスクアペタイトを決定することは、組織の様々なゴールを達成する為に、進んで受け入れるリスクの種類や量を判断する為です。
また、期待する結果から乖離させる可能性がある不確かな要因がリスクですので、まずは企業としてどのような結果を期待しているのかを明確に示したゴール設定をすることが必要です。ゴール(期待値)を明確にしておかなければ、良い方向のリスクも悪い方向のリスクも、期待値からどれだけ乖離しているかの判断さえできないからです。そして、2つ目のステップである「リスクの特定」に入る前に触れておきたいことがあります。それはリスクの不確実性には4つの種類があるということです。ブッシュ政権時にラムズフェルド国務長官が使用した言い回しでもあります。
Known Knowns(知っていると知っていること)
Known Unknowns(知らないと知っていること)
Unknown Knowns(知っていると知らないこと)
Unknown Unknowns(知らないと知らないこと)
それぞれを「既知の既知」「既知の未知」「未知の既知」「未知の未知」と表現されることもありますが、何だか禅問答のようで混乱される方もあるかもしれません。この哲学のようにも感じる表現を、THE PERSIMMON GROUPというコンサルティング会社が非常にクリアな口語表現で示されたものをそのままの表現でご紹介させて頂きます。
Known Knowns - “ I know…..”
Known Unknowns - “I know I don’t know…”
Unknown Knowns – “ I don’t know, but somebody does… and they ain’t tellin’”
Unknown Unknowns – “ Who would have thunk?”
リスクと認識しており、リスクの幅や影響まで十分に理解しているもの。リスクとは認識しているが、リスクの影響が想定できないもの。また、リスクがあると考えもつかなかったリスクについても幅広い視野で検証を行うことが重要だと知らされます。この度の新型コロナウィルス感染拡大は、多くの方にとってUnknown Unknownsだったのではないでしょうか。ウィルスの危険性が明るみとなり、不確実性のカテゴリーを変化させつつありますが、ウィルス以外にも未だに顕在化していないUnknown Unknownsも存在し得るということです。
2.リスクの特定
リスクの特定に役立つフレームワークとして、SWOT分析やPESTLE分析があります。これらのフレームワークは企業戦略立案だけではなく、リスクの洗い出しにも有効です。「そもそも何から考え始めたらよいのかわからない」「2~3個のリスクしか思いつかない」という方もいらっしゃると思います。まずはフレームワーク無しに、企業運営においてどのようなリスクが潜んでいるのかを考えて頂いた後に、フレームワークを使用して頂くと、その効果がお感じ頂けるかと思います。まず、SWOT Analysisのそれぞれの頭字語は
Strength(強み)
Weakness(弱み)
Opportunity(機会)
Threat(脅威)
です。StrengthとWeaknessは自社組織の活用すべき強みと解決すべき弱みを内部から検証し、OpportunityとThreatは市場での機会と避けるべき脅威を外部環境から導き出します。リスクはプラスにもマイナスにも働くとお話しましたが、プラスよりも特にマイナス部分の対策を行うべきなので、WeaknessとThreatを中心に考えていきます。会社としてすべきなのに対応できていないこと、目標の妨げになっているもの、時代遅れな対応、業界動向、政治や法律など内外両面のリスクの洗い出しに役に立ちます。
次にPESTLE分析です。PESTLE分析はマクロ的な視点から外部環境要因を分析するためのフレームワークで、PESTLEの頭字語はそれぞれ、
Political:政治動向 - 税制、雇用法、関税、貿易規制、貿易政策、政治の安定性など。
Economic:経済動向 – 経済成長率、利率、為替、賃金、失業率、消費者物価指数など。
Social:社会動向 - 人口増加率、年齢別人口分布、所得分布、文化的障壁など。
Technological:技術動向 – 技術インセンティブ、テクノロジーの変化、研究開発動向など。
Legal:法的動向 – 消費者保護法、差別禁止法、独占禁止法、著作権・特許制度など。
Environmental:環境的動向 – 原料不足、大気汚染防止対策、二酸化炭素削減目標など。
を意味します。それぞれのカテゴリーからのリスク要因が浮かびあがるのではないでしょうか?これ以上の説明は別の機会にと思いますが、2種類のフレームワーク使用の前後でリスク洗い出しの量も質も変化したのではないでしょうか。
3.リスクの分析
続いて手順3の方法についてです。リスクの分析には「リスクスコアカード」や「リスクマトリックス」などの方法が用いられます。主にリスクスコアカードはリスクを数値化する方法、リスクマトリックスはリスクを見える化する方法です。
細かい部分においては、必ずこうしなければならないという決まりはありません。企業風土や使用目的によって、様々な方法があっても良いと考えます。ですが、今回は一般的な方法をご説明します。
例えば、ステップ2の「リスクの特定」で挙がったリスクの中に➀管理不備による労働災害(火事)②自然災害(豪雪)➂訴訟問題(雇用差別)があったと仮定します。これらのリスク要因が起きるA.可能性 B.影響のスピードC.リスクへの備え D.被害の甚大さを検証し、企業にとってリスクが高い状態を数字3、そこそこの状態を2、リスクが低い状態を1とし、それぞれの数字を掛け合わせていきます。発生の可能性が高ければ3、低ければ1。リスクへの備えで言えば、ある程度の準備ができている状態であれば1、全く備えができていない状態であれば3と企業にとって「好ましくない状況」になればなるほど、数字が大きくなります。これらの数字を掛け算してリスクを数値化していきます。
例)
A. 可能性 B. 影響のスピード C. リスクへの備え D. 被害の甚大さ
➀火事→ A x B x C x D = 1 x 3 x 3 x 3 = 27
➁豪雪→ A x B x C x D = 3 x 1 x 2 x 1 = 6
➂雇用差別訴訟→ A x B x C x D = 2 x 3 x 1 x 2 = 12
この計算はあくまで一例ですので、ビジネスを行っている州や業種、企業ごとの様々な事情により同じ事象であったとしても、数値が1になったり3になったりすることも当然起こり得ます。
次にリスクマトリックスについてです。
リスクマトリックスはリスクスコアカードで検証したA.可能性とD.被害の甚大さを中心に検証します。見える化を目的にしているので、発生の可能性をグラフの横軸に、被害の甚大さを縦軸に示し、グラフの原点から乖離していればいる程、企業にとってのリスクで対応が必要だと視覚的に確認・共有することができます。検証時期や検証に関わる人員が変わった場合にも、安定して、リスク要因の分析ができることが大事なので、リスクマトリックスについても数値化できると良いかもしれません。ですが、一番大事なことはどんなリスクに対しての備えが必要かという優先順位をつけることなので、細かな内容にこだわりすぎ、リスク要因の整理ができないという本末転倒の事態が起こらないように注意すべきです。
最後に
4.リスク対応
についてです。リスクはプラスの意味とマイナスの意味を包含するとお話ししました。リスク対応についてもまた然りで、プラスとマイナスのリスクごとにその対応が4つずつ、計8つの対応があるとされています。具体的には
プラスのリスクへの対応
Optimize(活用する) 不確実性を排除し、好機を発生させる Ex. 有能な人員の割り当て
Share(共有する)好機を第三者と共有、確実性を増加させる Ex. ジョイントベンチャー
Enhance(強化する)発生確率を増加させたり、影響を大きくする Ex. 資源の追加投入
Ignore (受容する)積極的な対策をせずに実現したら受け入れる
マイナスのリスクへの対応と例
Avoid(回避する)リスクの不確実性を排除する。 Ex. 事業の売却、プロジェクトの変更
Transfer(転嫁する)リスクの影響と責任を第三者に転嫁する Ex. 外部委託や保険の加入
Mitigate(低減する)リスクの不確実性を可能な限り下げる Ex. 情報の暗号化
Accept(許容する)事前の対策はせずに脅威が起きることを受け入れる
これらのリスク対応を行えば、全てのリスクが排除できる訳ではありません。残余リスクとして残ったり、2次リスクが巻き起こる可能性もあります。リスク対策を実施したのにもかかわらず、依然として残る残余リスクは不可抗力ということもありますので、残余リスクが起きた場合に備えて、違う対応を行う為の予算を残しておいたり、緊急事態に対して、迅速に対応できる従業員を他のプロジェクトにアサインせずに待機させておくなどの対策を立てる方が大事です。
2次リスクはリスク対応をしたことで、発生してしまったリスクとも言えます。あるプロジェクトを中止したことで、数名の優秀な従業員が他社に転職してしまった。など、予見できるものとそうでないものがあると思います。このことからも、リスクを多角的に見ることも大事ですが、リスクアペタイトのレベルにもより、前向きな姿勢でAccept(許容する)するという対応も状況次第で有効になるのです。
雇用主が思っている以上に、従業員は有事の際の対策を観察しています。それは企業特有の問題だけではなく、誰も想定ができなかった有事に対してもそうです。今回は全体の流れを把握頂けるように鋭意努力致しましたが、各順序でご紹介できなかった細かなプロセスもあります。機会がありましたら、個別の内容について更に詳細にご説明していきたいと思います。
リスクの特定や分析に慣れていないと「この方法であっているのかな?」と不安になることもあるかと思います。ですが、細かすぎるリスクの検証と分析を行うことで、何もアクションを起こせなくなることこそが最も危惧すべきことです。Analysis Paralysis(分析麻痺)とも言われますが、過剰な分析により行動が起こせなくなったり、反対に誤った判断を行うということにもなりかねません。
前向きな失敗を推奨することを企業カルチャーとされている企業があれば、その企業文化を損なってしまう可能性もありますので、バランス感覚も大事です。攻めと守りのバランスは一朝一夕に習得できるものではありませんが、この機会に適度なリスク分析を行ってみては如何でしょうか。