事業リスクマネジメント学習支援教材 事業リスクマネジメント手法編 NO.3 リスクコントロール手法 ティーチングノート 学習にあたって 学習のポイント リスクコントロールの代表的なパターン(回避、予防、低減、分離等)と、その メリット、デメリットについて理解する 具体的なリスクコントロール手段とその特徴を知り、選択のスキルを身につける 学習するスキル内容 リスクを管理する異なる手法(保持、処理、移転、..)について理解し、 どのような時に適用が適当かを説明できる 与えられたシナリオの中で、同定されたリスクを取ったときの対処手段を提案できる リスクコントロール手法の種類および効果について説明できる コントロール手法の評価を確認するための測定方法について説明できる 基本テキストで対応しているのは: 第5章1節です。 1 目 次 1.リスクコントロールの概念 ・・・・・ 3 2.事業中断リスクのケース ・・・・・ 9 3.新規事業リスクのケース ・・・・・ 15 4.情報セキュリティーのケース ・・・・・ 21 5.コンプライアンスについて ・・・・・ 25 6.まとめ ・・・・・ 29 本ノートについて: 本ティーチングノートは、平成15年12月に開催された 「事業リスク評価・管理人材育成システム開発事業」実証プログラムにおける 株式会社インターリスク総研 府川均氏のご講義 「リスクコントロール手法」 の内容を学習支援用教材に再編集したものです。挿入されております 図表等も原則として講師に提供していただいたものです。 2 1.リスクコントロールの概念 (1)リスク処理(リスク対策)の手法 新たな対策を講じるべきリスクへの対処 リスクコントロール ・ ・ ・ ・ ・ リスクの回避 損害の予防 損害の低減 リスクの分離 リスクの移転 リスクファイナンシング ・ リスクの保有 ・ リスクの転嫁 機能的分類 時間的分類 事前策 事後策 3 1.リスクコントロールの概念 (2)リスクの回避 リスクの回避 ~リスクの発生そのものを回避する~ ・「リスクにさらされている人、モノ、事業等に一切関係しない」 「リスクとの関係がなくなるようリスクそのものを排除、除去する」 ・リスクの回避ができないものや、リスクを積極的にとるべきものもある 年間の純利益100億円 VS 10%確率で1,000億円のロス ・回避策を講じると、別のリスクが発生することも 4 1.リスクコントロールの概念 (3)損害の予防 損害の予防 ~リスクが発生する可能性を低減する~ ・損害が発生する「可能性(発生頻度)」を少なくすること ・個々のリスクの「損害発生プロセス」の理解が必要 →リスク共通の視点は、 ①組織的対策 ②設備的対策(フェイルセーフ、フールプルーフ) ③スタッフのマインド ④社会・外部環境 など ・事例データベースによるリスク感性の向上 5 1.リスクコントロールの概念 (4)損害の低減 損害の低減 ~リスクによる損失を低減・極小化する~ ・リスクの回避を行わない限り、リスクをゼロにする(発生可能性をゼ ロにする)ことは不可能 →万一リスクが顕在化した(事故が発生した)際に、損失をできる 限り小規模に止めるための「損害規模」の低減策 ・「事前策」と「事後策」の双方の検討 ・但し、事前策と事後策は表裏一体 ・「危機管理」は、損害の低減を体系立てて行うマネジメント手法 6 1.リスクコントロールの概念 (5)リスクの分離 リスクの分離 ~リスクを2以上のユニットに分ける~ ・「1つのバスケットに2つの卵を入れない」 ・「リスクの区分」と「純粋バックアップ」 例)病院で、常時6台の救急車がフル稼働する必要があるとき、 ①7台保有し、常時使用する →リスクの区分 ②6台をフル稼働させ、1台はストック →純粋バックアップ ・一定のコストを有する点に留意 →「リスクの集約」「リスクの中和」も 7 1.リスクコントロールの概念 (6)リスクの移転 リスクの移転 ~他社との契約を通じてリスクそのものを移転する~ ・契約を通じてリスク(財産・行為及びそれに伴う法的責任)そのものを他 者に移転するもの ・似た概念として、経済的損失を他社に転嫁する「リスクの転嫁」もあり ・代表的なものとして「リース契約」「業務の外部委託」など ・いずれも、契約上で責任関係を明確にする必要あり 高 C 頻 度 低減、分離 予 防 A A:リスクコントロール B:リスクコントロール(低減・分離中心)、 及び保険を中心としたリスク転嫁 予 防 回避、移転 D C:リスクコントロール(予防中心)、及び 保有と保険の組み合わせ D:保有中心 B 低減、分離 低 小 規模 大 8 2.事業中断リスクのケース (1)最近のトレンド 企業経営のキーワード ・企業の社会的責任(CSR) ・持続的な価値創造(Sustainability) ・経営破綻リスク情報の開示 →Going Concern規定 など 「緊急時対応計画(CP)」から 「事業継続計画(BCM)」へ 巨大リスクの顕在化 ・災害、テロ ・情報システム障害 ・取引先の事故、原材料供給の途絶 など 9 2.事業中断リスクのケース (2)事業継続計画の開発 事業継続計画開発の要素 ・事業継続計画は、経営層によって承認されたものであることが必要。 ・その前提となる事業インパクト分析の実施、復旧に関する基本戦略の決定、 資金計画 についても経営層の承認・決定が必要。 ・その他、 • 事業復旧を計画運用する組織 • 復旧のための場所 • 代替の通信回線等 • データやレコードのバックアップと復旧 • 保存場所 • 復旧活動 • 作業及び手順 など 10 2.事業中断リスクのケース (3)事業インパクト分析 Step1:事業の分類 Step2:事業の重要性評価 Step3:重要性の高い事業の特定、フロー化 Step4:事業の裏に潜むリスク要因の抽出、 重点対応ポイントの特定 目的は、「事業継続にあたってのボトルネックの特定」 (ここがストップしたら事業継続に著しい悪影響が出るポイント) 11 2.事業中断リスクのケース (4)予防策 予防策のポイント ・前提となるリスク事象の処理策の検討・実施 例)火災・爆発リスク -出火・爆発要素の管理 (可燃物、危険物・可燃性ガス、電気設備、溶接溶断、煙草、 外部犯罪等) -延焼拡大要素の低減(防火区画、延焼媒体、施設間距離) -消火能力の確保(自動・手動消火設備) -防災・安全状況(消防体制、防火・避難訓練) など 地震リスク -施設耐震性強化 -設備の固定 -高積禁止措置の徹底、ガラスの飛散防止 -重要な記録の洗い出しと保存、バックアップ など 12 2.事業中断リスクのケース (5)事業継続フェーズ 事業継続の各フェーズにおけるポイント 業務再開フェーズ ・最優先業務の再開 ・緊急性は、「財務的影響度」「ブランドイメージ失墜」「シェア 喪失」「顧客との関係悪化」等の観点から判断 業務回復フェーズ ・次に優先順位の高い業務の再開 ・この段階ではまだ臨時的な体制・施設での業務遂行 必要な人、物、金、 情報の確保 全面復旧フェーズ ・全業務の再開 ・被災前より優れた拠点構築を目指す場合もある 13 3.新規事業リスクのケース (1)事例企業(A社)のリスク認識 • 新規事業は企業の継続的な発展に不可欠なもの。 • しかし、新規事業は既存事業に比べて、不確実性が高い。 • 従って、新規事業の検討段階において適切なリスク評価を行い、また、 継続的なモニタリングを行うことが重要。 • 一方、新規事業はその核となる技術の専門性や秘匿性などを有する ため、誰にでもその目利きができるものではない。 • 従って、新たな管理ルールの創設により、評価の客観化・標準化を行 い、リスクの軽減を図る。 14 3.新規事業リスクのケース (2)新規事業の定義と損失形態 「新規事業」とは – 通常のビジネスモデルで展開可能な新規商材の取扱い等は対象外。 – 新規のアイディア・技術をもとにした新たなビジネス・モデルの開発 や、既存の事業形態とは異なる事業形態への進出を指す。 新規事業に内在する損失形態 機会損失 資金 人材 投入資金の喪失 賠償責任 株主責任 業務上の責任 知的財産権侵害 雇用者責任 既存事業への影響 社会的信用 対株主 対一般消費者・社会一般 ○:影響あり 出資の場合 投資の場合 ○ × ○ ○ × × × △ ○ △ ○ ○ ○ △ ○ ○ ○ △ ○ ○ △:影響がある可能性がある ×:影響なし 15 3.新規事業リスクのケース (3)リスク管理体制 管理体制・仕組みの現状と課題 • • • • • 新規事業を持ち込まれた各事業部で検討 各事業部での検討の後、CEO・COOの内諾を得て社内稟議 出資金額の上限金額はなく、個別に判断 出資後の進捗状況報告のルールはなく、ラインでの報告は都度実施 撤退判断の基準が不明確 ①担当者・事業部により検討の仕方に差がある。 ②評価部門によるチェック機能が存在していない。 ③進捗状況の検証・撤退の統一基準がない。 16 3.新規事業リスクのケース (4)事業評価ステップ Step 1: 事業プランの策定 Step 2: 新規事業推進部門での検討 Step 3: 新規事業評価部門でのチェック →事業リスク、定性リスク評価 →NPVによる投資回収年の確認 →経営指標分析 Step 4: 稟議 Step 5: 新規事業検証(モニタリング) →評価部門の定期的モニタリング →著しく悪化している場合には撤退・継続を判断 Step 6: 撤退 17 3.新規事業リスクのケース (5)事業評価チェックリスト 新規事業評価部門でのチェックリスト 事業リスク評価 実現性 競争優位性 優位持続性 市場性 人材 技術的実現性 市場的実現性 技術的競合性 市場的競合性 技術的優位持続性 市場的優位持続性 市場規模 市場の成長性 応用展開性 市場獲得性 経営者の資質 幹部の資質 経営企画力 販売力 事務管理能力 労使関係の安定性 定性リスク評価 災害・事故 情報 社外対応 法務 その他 環境汚染 機密情報漏洩 販売先・提携先の倒産 金融機関の破綻・倒産 知的所有権の侵害・被侵害 契約の不備による不利益 届出等の不備 18 3.新規事業リスクのケース (6)経営指標分析の評価基準例 経営指標分析・評価基準 収 益 性 健 全 性 効 率 性 成 長 性 満点 出資 投資 評価項目 総資本経常利益率 a 10 15 売上高経常利益率 b 5 10 売上高営業利益率 c 5 5 売上高総利益率 d 5 5 総合 W 25 35 ( a + b + c +d ) 自己資本率 e 5 固定比率 f 5 固定長期適合率 g 5 流動比率 h 5 当座比率 I 5 売上高支払利息比率 j 5 総合 X 30 ( e + f + g + h + I + j) 総資本回転率 k 10 15 従業員1人当たり月平均売上高l 10 15 従業員1人当たり月平均人件費o 10 15 総合 Y 30 45 ( k + l+ m + n + o ) 前期比売上高増加率 p 5 10 前期比総利益増加率 r 10 10 総合 Z 15 20 ( p + q +r ) 100 100 総合評価 (W + X + Y + Z ) ランク 評価 E 1 D 2 C 3 B 4 A 5 出資 投資 出資 投資 出資 投資 出資 投資 19 4.情報セキュリティーのケース (1)マネジメントシステムの全体像 計画→実施→見直し→是正→ •ポリシー策定 •情報資産の洗出・価値評価 •脅威・脆弱性の洗出・評価 •リスクアセスメント •リスク対応 •リスク管理策の策定 •文書化 ISMSの 構築 維持のため の仕組み 参考 BS7799-2 •人的セキュリティ •物理セキュリティ •技術セキュリティ •事業継続計画 •コンプライアンス •啓発・訓練・教育 •インシデント情報 の収集・整理 •監査、等 参考 BS7799-2 (付属書A) ISO/IEC17799 20 4.情報セキュリティーのケース (2)典型的なリスクシナリオの例 先行事象 1.人為的なもの 2.人為的でないもの ①内部(犯罪) ①内因(故障、バグ) ②外部(犯罪、ウィルス等) ②外因(自然災害等) ③過失 事故形態 1.データの消失・破損 2.データの流出 3.機器破壊、故障 4.機器盗難、紛失 5.運用ミスによるシステム停止 リスク分析は、 「資産」「脅威」「脆弱性」 情報資産 1.ハード 2.ソフト(紙、電子媒体) ・サーバー ・経営情報 ・ストレージ装置 ・技術情報 ・回線・通信装置 ・製品情報 ・パソコン... ・物流情報... 企業損失 1.直接的な経済的損失 ①データ、システム復旧費用 ②損害賠償金 等 2.間接的損失 ①事業中断(機会利益喪失) ②取引先等からの信用失墜 等 21 4.情報セキュリティーのケース (3)情報漏洩防止対策の基準例(その1) 機密情報の重要度分類 大分類 中分類 文書名称(例) 1.経営情報 経営方針関連 2.経理情報 内部監査関連 プロジェクト関連 決算関連 中長期経営計画 執行役員会資料 議事録 営業成績管理表 監査報告書 3.顧客固有情報 ・ ・ ・ 主な取扱者 A A A 経理月報 計算書類 会計帳簿 法人税・地方税 ・ ・ ・ 保管期間 A 税金関連 売掛金情報 (与信関連) 個別取引情報 納品書 (単価・支払条件) 基礎情報 業務日報 ・ ・ ・ 重要度 B B A B ・ ・ ・ ・ ・ ・ ・ ・ ・ 22 4.情報セキュリティーのケース (4)情報漏洩防止対策の基準例(その2) 重要度別の管理基準例 重要度 A B C 文書管理規程上 「極秘」と区分 「秘」と区分 「社外秘」と区分 作成時の注意点 <表示> 「極秘」と表示 「秘」と表示 「社外秘」と表示 <閲覧できる者> 1. 限られた従業員 (主担当及び 担当部門責任者) 2. 権限をもつ役員 (執行役員など) 知る必要のある従業員 全従業員 使用上の注意点 <机上での取扱> 机上放置厳禁 机上放置注意 (裏を向けて置く等) - <携行・持出し> 携行禁止 携行時注意 社外持出禁止 <コピー> 原則禁止 限定的に実施 (管理体制整備) - 「親展」扱 原則 TO のみ(CC は×) 原則禁止 原則禁止 「親展」扱 - 受領証の準備 書留必須 - 注意 施錠必須 施錠有が望ましい 現場単位にて管理 シュレッダー処理 廃棄箱 <電子メールの利用> <社内便の利用> <社外への郵便> 保管上の注意点 廃棄時の注意点 責任者の立会のもと シュレッダー処理 情報管理責任者 のもと遵守徹底 23 5.コンプライアンスについて (1)コンプライアンスの定義 語 源 「コンプライアンス」「Compliance」 = 「(要求・命令などに対する)応諾・追従」 企業経営における「コンプライアンス」の定義 「企業が株主の利益の最大化を追求し、あるいは顧客等に製品やサービス を提供する過程で行う様々な事業活動が、社会一般に求められる『ルー ル』に準拠していること」 対象とする主なルールとは... 独占禁止法、証券取引法、商法、労働基準法、製造物責任法、刑法、民法、 男女雇用機会均等法、知的財産権関連法、各事業法、 就業規則を始めとする社内規程... 24 5.コンプライアンスについて (2)取組み手順 組織 しくみ ルール ひと 教育 <取組のステップ> STEP1.経営トップの意思決定 STEP2.プロジェクトチームの編成と基盤整備 STEP3.コンプライアンス体制構築の検討 STEP4.コンプライアンスマニュアル策定 STEP5.コンプライアンスプログラム策定 STEP6.周知徹底 STEP7.検証・見直し <ビジョン> <ビジョン> ○長期的な視野に立った年間 ○長期的な視野に立った年間 取組計画に基づき、施策を 取組計画に基づき、施策を 着実に推進 着実に推進 ○全役職員が取組の必要性・ ○全役職員が取組の必要性・ 重要性を理解 重要性を理解 (リーガルマインドが醸成) (リーガルマインドが醸成) ○不祥事等が発覚した際に、 ○不祥事等が発覚した際に、 予め定められた対応手順に 予め定められた対応手順に 沿い的確な対応が可能 沿い的確な対応が可能 25 5.コンプライアンスについて (3)組織体制の例 ・コンプライアンス委員会 ・コンプライアンス統括部(委員会事務局) ・コンプライアンス・オフィサー ・1次チェック、2次チェック、3次チェックの仕組み ・危機発生時の対応体制 26 5.コンプライアンスについて (4)取り組みの例 ①しくみ、規則 1)役職員行動規範 人権尊重、公正取引、環境保護、国際ルール遵守、情報管理、インサイダー取引 禁止、社会常識を踏まえた贈答・接待、反社会的勢力への毅然とした対応、 社員の基本的心構え... 2)企業倫理ヘルプライン(スピークアップ制度、内部通報制度) 窓口:コンプライアンス推進部(委員会事務局)/社外弁護士いずれも可 手段:TEL、FAX、Eメール、その他 3)社内専用ホームページ 役職員行動規範、ガイドブック、コンプラ関連資料、ケーススタディ、Q&A等を掲載 ②ひと・教育 1)役職員行動規範の周知徹底 冊子&ポケット簡易版を全役員、正社員、嘱託、派遣社員に配布 2)各種社内セミナー実施 ○社内定期教育研修プログラムへの組み込み ○個別セミナーの実施 27 6.まとめ (1)リスクコントロールに必要な要素 ①体制の構築 ②目指すべきゴールの明確化 ③フェーズ別スケジュール策定・進捗管理 ④トップの関与 ⑤分析・評価に基づく優先順位の設定 ⑥管理ルールの再構築 ⑦リスク情報の伝達・管理・共有化・社外開示 ⑧現業部門への徹底、マインド向上 ⑨セルフ監査、監査部門監査 ⑩危機管理システムの再構築 (2)企業リスクの一般特性と基本対応スタンス ①外来型リスクと内部要因型リスク ②組織ぐるみの不正行為・隠蔽は社会的非難の格好の対象に ③悪しき慣行 ④管理職の方々が自ら当事者能力を ⑤リスクが顕在化する前の予兆 ⑥何を優先するか/まず何をするか ⑦ヒトによるリスクの土壌 28
© Copyright 2024 ExpyDoc
