【専門家監修】企業のリスク一覧｜企業リスクの対策と管理方法を解説

企業が直面するリスクは多岐にわたり、それぞれに適切な対応が求められます。企業リスクを深く理解し、対策を把握しておきたい担当者もいるでしょう。

そこでこの記事では、BCP&BCMコンサルティングの代表であり、マンダリンオリエンタル東京、沖縄科学技術大学院大学、九州大学などでBCM（事業継続マネジメント）の構築と運用、安全管理とリスク管理に携わってきた福岡 幸二氏が、企業が直面するリスクの一覧、リスクに対する対策、リスクの管理方法について解説します。

企業のリスク一覧

企業のリスクを一覧で紹介します。どのような企業も直面する可能性があるため、正しい知識を身につけましょう。

戦略上のリスク

まずは、戦略面で直面するリスクです。経営戦略や事業計画の前提である事業環境、自由貿易体制の枠組みが変化することで発生します。経営判断を誤ったり、競合企業の参入による変化に対応できない可能性は、どのような企業も抱えているものです。

また、新しい国に進出する場合は、日本で成功した戦略が通用しないこともあります。文化の差を見落としてしまい、大きな損失を招くケースもあるでしょう。

企業の経営戦略には常に多様なリスクが伴うため、詳細な市場分析、および戦略の柔軟な見直しが求められるのです。

リスクといえば自然災害などの損失に焦点を絞ったリスク「純粋リスク」を考えがちだが、企業の成長にとっては利益をもたらす可能性がある「投機的リスク」又は「ビジネスリスク」を綿密に調査・評価して実行する必要があります。マーケットが要求するもの、人の消費動向や地球環境に対する考え方は自国の要因のみならず海外の要因が大きく影響し、長期的に見れば流動的です。したがって企業は商品開発、新たな事業分野への進出、M&A、設備投資などの対策、つまりリスクを取って他社との競合に有利な地位を確保しなければなりません。

財務上のリスク

次に、企業の資金に関連したリスクです。財務上のリスクは企業経営に大きな影響を与え、場合によっては事業の継続が難しくなるおそれもあります。

財務上のリスクとしては、以下のような例が挙げられます。

• 取引先が倒産してしまい、債権回収ができなくなった
• 金利や為替レートなどが大きく変動した
• 投資していた株式が大きく下落した
• 保有する資産や負債の金額が大きく変動した

影響の大きいリスクを定期的に見直し、適切な対処方法を考えるようにしましょう。

自然災害のリスク

企業のリスクには、自然災害によるものも挙げられます。

以下が、代表的な自然災害です。

• 大地震
• 津波
• 台風
• 豪雨
• 感染症によるパンデミック

このような自然災害は発生の予測が困難なうえ、影響が広範囲に及びます。自社の設備が破壊されるだけでなく、被災した取引先が業務を停止することで、サプライチェーンが断絶するおそれもあるでしょう。その結果、事業の復旧に時間を要し、経営へのダメージは膨らみます。

過去の災害を教訓にして、企業として自然災害のリスクに備えることが大切です。

オペレーショナルリスク

オペレーショナルリスクとは、システム不具合、作業ミス、事故などの内的要因によって発生するリスクです。トラブルは企業の信頼性を低下させるため、注意しましょう。

たとえばセキュリティ対策に不具合が起きれば、情報が漏れるかもしれません。人的ミスで機械が停止すると、作業中断による納期遅れのリスクも考えられます。

内的要因のリスクを最小限に抑えるためにも、管理や予防策を講じることが不可欠です。

コンプライアンスリスク

最後に、法令遵守違反などのコンプライアンスリスクです。罰金の支払い義務が生じるほか、顧客からの信用を失うおそれもあります。

パワーハラスメント、セクシャルハラスメントをはじめ各種ハラスメントは人権に関わる許されない行為であり、貴重な人材の損失、企業の社会的評価に悪影響を与えます。

また、知的財産権を侵害したり、横領、粉飾決算や不正を社員や経営層が行うと、ニュースとして取り上げられ、経営に大きなダメージを与えることが想定されます。

一度失った信頼を取り戻すことは困難です。企業は法令遵守を経営の基本とし、コンプライアンスリスクへの対応策を確立しましょう。

企業は、リスクを体系的かつ論理的にコントロールする手法としてリスクマネジメントを行っています。リスクマネジメントにはリスク特定、リスク分析、リスク評価、リスク対応、モニタリング及びレビューのプロセスで構成されています。各プロセスを解説します。

リスク特定

リスク特定は、リスクマネジメントプロセスでは最初のプロセスに該当します。純粋リスク又は安全分野では好ましくない結果を想定しているので、用語としてハザードの特定が用いられています。企業が直面するリスクは、その規模や事業内容によって異なります。自社が直面するおそれのある問題点を見つけ出し、精査する取り組みが求められます。

リスク特定には自社又は同業他社の過去のデータのほか、世界のマーケット事情や国際政治の動静などの自組織内外の状況との関係でリスクを特定するため、専門家の意見やステークホルダーのニーズなどを含むこともあります。企業のリスク一覧で記載した投機的リスクや純粋リスクを参考にして、自社特有のリスクを洗い出します。その際には、各部門の責任者にリスクのアンケート調査を実施したり、リスク洗出しの会議を開催したりして包括的にリスクを特定します。各リスク分野の専門家を招いてリスク特定を行うことも効果的です。

この段階で特定されなかったリスクは、その後のリスクマネジメントプロセスの対象から外されてしまうので、包括的にリスク特定を行うことが重要です。

リスク分析

リスク分析はリスク対応の判断材料となる証拠を提供するプロセスです。リスク分析は好ましい結果又は好ましくない結果と起こりやすさの2つの要素で構成されています。安全分野の用語では危害のひどさ(severity)と危害の発生する確率(probability)に該当します。

リスク分析には3つの方法があります。定性的方法、半定量的方法、定量的方法です。

定性的方法

定性的方法とは、リスクイベントの結果を計測するスケールとして、とても大きい・大きい・中程度・小さい・とても小さいなどと形容詞を用いて分類し、起こりやすさのスケールとして、頻繁に発生・よく発生・あまり発生しない・まれに発生などと表現する方法です。対象とする事象に関し、長期間にわたる客観的なデータが得られないときなどに用いられ、専門家の意見を参照する必要があります。

定量的方法

定量的方法とは、定性的方法で用いるような形容詞は用いられず、結果と起こりやすさを過去のデータ、統計などに照らして数字を用いて表現する方法です。事象についての過去のデータが蓄積されかつ信頼できるデータであることが不可欠です。定量的方法は、分析されるシステムや事象に関する情報が不十分であるため、データの不足、数値では表現できない人的要因の影響など不確定要素が多く含まれることから安全分野では望ましくないとされています。

半定量的方法

半定量的方法は、定性的方法と定量的方法を組み合わせた手法であり、結果又は起こりやすさのスケールで、信頼できる数値データが得られるスケールではそのデータを用い、データが不足しているスケールでは定性的方法で用いる用語を使用します。リスク分析の手法としては半定量的方法と定性的方法が一般的に使用されています。

リスク分析をどの程度の精度まで行うか、またどの手法が適切であるかに対する回答はありませんが、リスク対応の判断の目安になる必要があります。

リスク評価

リスク評価は、リスク分析の結果に基づき組織としてどのリスクへの対応が必要か、対応すべき事象の優先順位を決める意思決定をサポートすることを目的としています。リスク評価のツールとして、横軸に結果（ひどさ）スケールと縦軸に起こりやすさ（確率）スケールを組み合わせたリスクマトリックスが使用できます。

リスクマトリックスとALARPの原則

リスクマトリックスは、各々リスクレベルを示すALARPの原則（As low as reasonably practicable可能な限り合理的な範囲で低い）とともに用いられます。リスクレベルは以下の4つのカテゴリーに分けられます。

1. リスクは、特別な事情を除いて正当化できない。
2. リスクは、利益がリスクを大幅に上回る場合にのみ許容可能である。
3. リスクは、利益がリスクを上回る場合に許容可能である。
4. リスクは広く受け入れられている。

リスク分析の結果をリスクマトリックスにプロットし、ALARPの原則でリスクレベルを分類するとリスクの優先順位とリスクの対応方法が決定します。

回避する又は受け入れることができない領域は1、リスク低減を行って受け入れ可能な領域は2と3、リスクを保有する領域は4です。

リスクマトリックスは、特定されたリスクイベントが所属する組織にとって受け入れ可能かそれとも回避すべきかなどを示し、この意思決定は組織内で協議され、合意されるべきものです。

組織を取り巻く環境、安全要件や社会的要求は、社会環境が複雑になり、安全に係る技術の発展とともに、多くの産業で寛大なものからより厳格なものに変化してきています。言い換えれば、企業にとって受け入れ可能かどうかの基準は、時間とともに変化する可能性があります。したがって、組織は自分の組織内のみならず周囲の環境の変化の情報を入手し、その時代が求める物の趨勢、方向性に敏感になることが望まれます。

リスク対応

リスク評価でリスクの優先順位とリスクの対応方法が明らかになったのち、リスクイベントの結果（ひどさ）または起こりやすさ（確率）、あるいはその両方を変える可能性のあるオプションを選択すること、リスクを回避すること、及びリスクを保有することです。

投機的リスクでは、好ましい影響を大きくする、又は起こりやすさを大きくすることが含まれています。

リスクの回避

一つ目は、リスクの回避です。新たな事業所や拠点を展開する際、対象となる土地が毎年洪水などの自然災害を被っている状態であれば、進出を回避します。また、世界戦略で海外拠点を設ける時、対象となる国や地域が紛争、内戦状況が継続しこれらの問題が解決される見通しがない時には、新設を回避するなどが事例です。

リスクの受容

二つ目は、特定のリスクを意図的に受け入れる対策です。リスクが極めて低い場合や、リスクを避けるためにかかるコストより損失のほうが小さい場合などは、リスクとして分類しつつも、とくに対策は取らずその状態を受け入れます。

たとえば小売店が割賦販売やローンなどの信用販売を取り入れれば、顧客からの遅延支払いや不払いのリスクが生じるでしょう。しかしながら、信用販売によって販売拡大が期待できるため、小売店はこのリスクを意図的に受け入れています。

リスクの受容が企業を発展させる場合もありますが、もしトラブルが起こると、発生した損害は企業の負担となります。本当に許容していいリスクなのかを、よく検討するようにしましょう。

リスクの軽減

三つ目として、リスクの影響を最小限に抑える対策が挙げられます。リスクを完全に排除することは難しいものの、リスクを軽減させることで、企業へのダメージを減らすことができます。リスクの軽減は、リスクの危険性を下げる取り組みと、被害を最小限にする取り組みの2種類です。

代表的なリスクの軽減の取り組みを例に挙げるとすれば、BCP（事業継続計画）です。自然災害が発生した際、どのようなプロセスで復旧するかの計画を立てておくことで、事業への被害を抑えるというものです。

不測の事態に対応できるよう、日頃からリスクの軽減に取り組む姿勢が大切です。

リスクの移転

最後に、リスクの移転について解説します。リスクの移転とは、予想されるリスクを第三者に移し、自らの負担をなくしたり減らしたりする戦略です。発生する頻度自体は少ないものの、発生すると大きな被害が出るリスクに対して有効です。

火災保険に加入することで損失を保険会社へと移したり、データをクラウドに移行したりする取り組みが該当します。

リスクの移転は潜在的な損失を抑え、事業の安定性を保つでしょう。

モニタリング及びレビュー

モニタリング及びレビューの意義

モニタリング及びレビューは、運用時に、リスクアセスメントのプロセスを経て採用したリスク対応の措置、リスクコントロールの効果が維持されているか又は新たなリスクが生じていないかなどについて、定期的に運用状況を検査することです。また検査の結果、必要な場合には再度リスクアセスメントを行って、対象となったリスクを低減し運用を再開することです。

企業のリスクマネジメント委員会が、定期的に会議を開いてリスクの優先順位やリスクレベル、リスク対応の状況を再確認し、課題や問題点があれば改善することもモニタリング及びレビューのプロセスに含まれます。

リスク特定からモニタリング及びレビューまでのプロセスで実施されたことや判断材料になった証拠は、継続的な改善のため記録として保存することが重要です。

その他、リスクマネジメントプロセスの中で一般的に留意すべき点を５つ紹介します。

経営陣が陣頭に立つ

経営陣が積極的に社内のリスク管理を担いましょう。トップが積極的にリスク管理をすることで、組織全体にリスク意識を浸透させ、企業の信頼向上につながるためです。

たとえば、経営陣が情報漏洩リスクの重要性を理解していると、情報セキュリティに予算や人員を回せます。その結果、情報がより強固な形で保護され、セキュリティ対策が強化されるのです。

専任の部署を立ち上げる

経営陣と近い部署に専任の部署を立ち上げ、リスクを管理する方法です。専任部署がリスク対応のプロセスを一元的に担当することで、専門性や連続性が高まります。

専任部署には、リスクの未然防止策や、従業員へのリスクマネジメント教育などを実施するといいでしょう。緊急事態発生時には、経営者や関係部署と協力しながら適切にリスクを管理します。

ただし、専任部署にすべて任せるのではなく、組織全体でリスクの情報を共有することも大切です。

企業リスクを総合的に管理したいと考えている経営者は、専任部署の立ち上げを検討してください。

危機管理マニュアルを作成する

緊急事態に対応する方法が明記された危機管理マニュアルを作成しましょう。マニュアルがあれば、不測の事態でも迅速に対応でき、被害を最小限に抑えられるでしょう。

危機管理マニュアルのほか、BCMS（事業継続マネジメントシステム）の構築がおすすめです。自然災害やテロなどが発生した際、どのように復旧するのかを考えるきっかけとなるでしょう。

また、危機管理マニュアルやBCM（事業継続マネジメント）を従業員にも共有し、企業を取り巻くリスクや、緊急事態発生時における従業員の行動を明確にしておきます。

作成したマニュアルを活かし、いざというときに備えましょう。

従業員へ周知徹底する

従業員とリスクを共有するよう取り組みましょう。従業員が業務で直面するリスクを認識すると、適切な対処が可能となります。具体的には、危機管理セミナーを継続的に実施したり、シミュレーショントレーニングで訓練したりしてリスク管理の教育をします。

大切なのは、危機に対してどのように判断し、行動すべきかを具体的に伝えることです。

組織一丸となってリスクに対応しましょう。

定期的な見直しを実施する

対策ができていないリスクは、定期的に対策の進捗を確認します。そして状況に応じて、柔軟に措置を講じましょう。定期的な見直し以外にも、外部環境や事業環境の変化に伴うタイミングでも見直しを行うことが大切です。

リスクは定期的に見直し、状況にあわせて対策を変えていきます。市場や技術はめまぐるしく変化するため、新たなリスクが発生する危険性が高いのです。対策を適宜更新し、変化するリスク環境に対応できるよう努めましょう。

災害のリスクに対応するポイント

災害の多い日本において、企業は災害リスクに対して適切な対応が求められます。災害のリスクに関しては、以下2点のポイントを押さえましょう。

まずは、迅速な初動対応ができるよう備えておくことです。避難訓練を行ったり、BCP（事業継続計画）を作成したりして、適切に対応しましょう。とくに初動対応では、従業員の安否確認をいかに早く行えるかがポイントです。安否確認には、トヨクモの『安否確認サービス2』の導入がおすすめです。

また、災害のリスクを回避するよう準備しておきましょう。大きな自然災害ですと、自社だけではカバーが困難でしょう。そのためにも保険に加入したり、クラウドサービスを利用したりする方法がおすすめです。

リスクに備えた対策を用意しよう

企業がリスクに対応するためには、どのようなリスクがあるのかを一覧で把握し、適切な対策や管理を実施することが不可欠です。

リスクに対応するためには、平時から対策を取るといいでしょう。自然災害時には、従業員の安否確認が事業継続を左右します。トヨクモの『安否確認サービス2』を活用し、リスクを最小限に抑えましょう。