企業におけるリスク管理の取組みのために理解しておくべきこと

2002年、国際標準化機構（International Organization for Standardization）がリスクマネジメントの用語を定義したISO/IEC Guide 73では、リスクを「事象の発生確率と事象の結果の組合せ」と定義しましたが、その「結果」には好ましいものから好ましくないものまで変動する場合があるとされ、リスクとは必ずしも損害や悪影響をもたらす「危険」「危機」だけをいうものではないという理解が確立されました。

その後、2009年に制定されたリスクマネジメントの国際規格であるISO31000において、リスクは「目的に対する不確かさの影響」と定義され、その「影響」とは、期待されていることから、好ましい方向または好ましくない方向に乖離することとされました。このように、リスクとは、ネガティブなものだけではなく、ポジティブなものも含む概念に整理されるとともに、何より目的との関係において捉えるべきものであることが整理されたといえます。

リスク管理とは？リスク管理（リスクマネジメント）の定義

前述のとおり、そもそもリスクとは目的との関係において捉えるべきものであるため、リスクマネジメントの定義も様々なものが存在します。本記事では、代表的なリスクマネジメントの定義を以下のとおり示します。

ISO31000注1）におけるリスクマネジメントの定義

• リスクについて組織を指揮統制するための調整された活動。

COSO-ERM注2）におけるリスクマネジメントの定義

• 事業体の取締役会、経営者および従業員が実行し、全事業を対象とした戦略設定に適用し、事業体に影響する潜在的なイベントを特定するよう設計し、リスク選好できるようマネジメントするプロセスであり、事業体の目的の達成に関して合理的な保証を提供するもの。

上記リスクマネジメントの定義の表現は異なるものの、組織においては、組織設立の目的があり、また組織を運営していくにあたっての経営理念や事業目的が存在します。これらの目的との関係でリスクを認識し、目的達成を容易にするためにリスクを管理していくという点において、共通しているといえます。リスクマネジメントとは、組織の目的を達成するために行われる活動であり、見方を変えれば、リスクマネジメントは経営そのものに他ならないと位置付けられるといえます。

注）
1）ISO31000：ISO（国際標準化機構）が制定し発行しているリスクマネジメントに関する指針。審査を受け、認証取得する種類のものではなく、組織でリスクマネジメント活動を実施する際に、指針として参考にする規格。
2）COSO-ERM：COSO（トレッドウェイ委員会支援組織委員会）が2004年9月に公表したERM（Enterprise Risk Management）のフレームワーク。

リスク管理と危機管理（クライシスマネジメント）

リスクマネジメントと混同されやすい概念として、クライシスマネジメント（危機管理）という概念が存在します。一般に、リスクマネジメントとは、リスクをあらかじめコントロールし目的達成を容易にするための平常時における取組みであるのに対し、クライシスマネジメント（危機管理）とは、リスクが顕在化または顕在化のおそれがある場合に、その損害を最小限にとどめるために行われる緊急時における取組みであるといえます。

この2つの概念は、連続性のある取組みであるものの、そのアプローチ方法や検討事項が全く異なるため、明確に区別しておくことが極めて重要です。