2020年は、エンタープライズリスクマネジメント(ERM)の必要性を明らかにしました
予測不可能なことは、すべての業界に付きものです。新型コロナウイルス感染症のパンデミックと、それに伴う制限は、予期せぬ危険、危害、展開がビジネスにどのような影響を与え、通常の業務を中断させるかを示す良い例です。エンタープライズ リスク管理は、組織がこのような予期せぬ展開を特定、評価、対処するための計画を作成する一種のビジネス戦略です。
2020 年は、組織が予期せぬ変化に迅速に対応し、ビジネス目標に向かって前進し続けるために、堅牢な ERM 戦略を導入する必要があることを明らかにしました。この記事では、次の点について詳しく見ていきます。
- エンタープライズリスクマネジメント
- ERMフレームワークへのアプローチ
- ERMの利点
エンタープライズリスク管理の詳細
ERM では、組織は業務が直面するリスクを特定し、これらのリスクの重大性や積極的に管理すべきリスクに関する戦略計画を立てる必要があります。その後、戦略をすべての関係者、株主、投資家に伝える必要があります。通常、戦略は年次報告書の一部として伝えられます。ERM は、金融、公衆衛生、航空など、さまざまな業界で採用されています。
リスク管理の考え方は新しいものではありません。組織は何十年もリスクを軽減してきました。リスク要因に対処するために使われる最も一般的な方法は、保険の購入です。財産保険は、火災、盗難、地震などによる会社の財産への物理的損害から生じる損失に対処するために使用されます。医療過誤保険は、訴訟や損害賠償請求から保護します。一方、賠償責任保険は、傷害や損害に対する請求から保護するために訴えられます。これらは、企業の通常業務を危険にさらす可能性のある唯一の要因ではありません。特定の技術や機械の故障、原材料のサプライ チェーンの崩壊、規制やコンプライアンス要件の変更も、リスクをもたらす要因です。
エンタープライズリスク管理フレームワークへのアプローチ
組織が ERM フレームワークを構築するために使用できるアプローチはいくつかあります。これらのアプローチのいくつかを以下に定義します。
1. 回避:
このタイプのアプローチでは、組織は事業運営の基盤となっている活動を停止または撤退することを選択します。たとえば、ある企業は、その地域の政情不安に関連するリスクがあるため、新しい国への進出を断念する場合があります。
2. 削減:
このアプローチを採用している組織は、リスクが現実のものとなる可能性を減らすための対策を実施します。たとえば、組織のデータが侵害されるリスクがある場合、企業はそのデータにアクセスできる人の数を減らすことでそのリスクを軽減できます。
3. 代替措置:
企業は、目的を達成し、潜在的なリスクを最小限に抑えたり回避したりするために、代替手段を選択する場合があります。たとえば、特定のソフトウェアの使用に関連するリスクがある場合、企業はまったく別のシステムを使用することを選択する場合があります。
4. 保険をかける:
前述のように、保険はリスクによって生じる可能性のある損害の一部から企業を保護するために使用できます。
5. 受け入れる:
コスト対利益分析により、リスクを負うことが企業にとって最善の利益であることが示された場合、企業はリスクを負うことを選択する可能性があります。たとえば、ある地域の政治的安定に関連するリスクがあるが、同じ地域の組織が必要とする重要な原材料の供給が十分にある場合などです。このような場合、企業はリスクを受け入れて事業を継続することを選択する可能性があります。
既知の ERM フレームワークには 3 つの種類があります。
- 損害保険数理協会の枠組み
- COSO ERMフレームワーク
- RIMS リスク成熟度モデル
組織が ERM 戦略で何を達成したいかに応じて、適切なフレームワークを選択できます。
ERMの利点
リスク管理はリスクを軽減するだけでなく、機会をつかむことも目的としていることを理解することが重要です。企業は、ERM イニシアチブを作成する際に、リスクのマイナス面だけでなく、潜在的なメリットにも焦点を当てる必要があります。
従来のリスク管理アプローチでは、企業はマイナス面に焦点を当てていました。たとえば、通貨の変動や金利の変化による潜在的な損失を評価および判断していました。また、データ漏洩やサイバー攻撃によって発生する可能性のある混乱を調査していました。チャンスをつかむことについて話すとき、企業はリスクを効果的に管理することの潜在的なプラス面も考慮する必要があります。たとえば、ある国の政治代表者が企業の業界に友好的であることを認識し、その地域への拡大を選択することなどです。
将来的な故障や生産性の低下を防ぐために、企業が物理的資産の移動、改修、または保守を行うことを決定した場合にも、チャンスが生まれる可能性があります。ERM は、効果的な計画を通じて組織が災害を防止し、影響を最小限に抑えるのに役立ちます。
企業は、自社の社会的イメージが非常に価値のある資産であることを認識する必要があります。適切なリスク評価と管理により、組織は自然災害や大規模な設備故障などの予期せぬ事態が発生しても、ポジティブな社会的イメージを維持できます。
エンタープライズリスクマネジメントの3つの基本ステップ
リスク管理は、3 つの簡単なステップに分けられます。業界に関係なく、すべての組織は、効果的な ERM 戦略を作成するために、次の 3 つのステップに従う必要があります。
1. リスクの特定
ERM 戦略を作成するための最初のステップは、組織が内部環境と外部環境の両方からどのようなリスクに直面しているかを特定することです。組織は、リスクをトリガーと影響の 2 つの部分に分けて考える必要があります。トリガーはイベントまたは出来事であり、影響はイベントによって生じる結果です。たとえば、ガス容器の爆発はトリガーです。その結果生じた火災によって生じた損害は影響です。
組織が内部リスクを特定する最良の方法は、チームの専門知識に頼ることです。組織について最もよく知っているのは、そこで働く人々です。企業は、脆弱性や潜在的な問題を特定するために、事業運営に精通した上級メンバーを活用する必要があります。歴史は偉大な教師であり、企業が完了させた類似のプロジェクトや過去の有害事象を調べることも、リスクを特定する良い方法です。企業は、事業運営に対する外部リスクを理解するために、資格のある経験豊富なリスク マネージャーのサービスを利用する必要があります。
2. リスク評価
すべてのリスクが同等というわけではありません。リスクは保証ではありません。トリガー イベントが発生する可能性と、その結果生じる可能性のある影響があります。組織は、直面する最大のリスクは何か、トリガー イベントが発生する可能性はどれくらいか、そのような発生の影響は何かを評価する必要があります。この情報を使用して、どのイベントが発生する可能性が最も高く、どのイベントが最も壊滅的な影響を与えるかに基づいてリスクを優先順位付けする必要があります。その後、企業はこれらのリスクを軽減するためにリソースを計画および配分する必要があります。
3. リスク管理
組織は、最も発生可能性が高く、最も影響が大きいリスクを特定したら、それを管理する必要があります。リスク管理は、安全ポリシー、設備への投資、プロセスの変更などの形を取ることができます。たとえば、特定されたリスクの 1 つが製造施設での火災である場合、そのリスクを管理する最善の方法は、消火設備への投資である可能性があります。