リスクマネジメントと聞いて何を思い浮かべるでしょうか。多くの方が、約束の時間に遅れないように余裕を持って家を出る、という経験をしたことがあるかと思います。これもリスクマネジメントの一つであり、電車が遅延して約束に遅れるかもしれない、といった不安からくる行動です。例えばその約束が先方との会議であった場合どうでしょうか。最悪の場合、信用を失って今後の取引が縮小してしまうかもしれません。このようにリスクとは、「いつどこで起きるか分からないマイナスの影響」のことであり、この不確実なものに対して予め対策を打っておくことがリスクマネジメントなのです。今回は、そのリスクマネジメントを学ぶうえで基盤となる考え方についてお伝えします。リスクマネジメントはあくまで目的達成のための手段リスクマネジメントの本質は、「目的の達成要件に対して発生するリスクを抑えることで、目的を達成し易くすること」にあります。つまりリスクマネジメントについて考える際は、前提として以下の点を考慮する必要があります。目的は何か目的を達成するために必要なもの(達成要件)は何か例えば「特定の顧客に新しいプロジェクトを提案して受注する」という目的があった場合に、達成要件、リスク、対策をそれぞれ以下と仮置きします。達成要件:提案前のヒアリング活動リスク:ヒアリング内容が不十分対策:ヒアリングシートを作成し事前に社内レビューを行う少し見方を変えると、「ヒアリングシートを作成し事前に社内レビューを行う」ことは、「特定の顧客に新しいプロジェクトを提案して受注する」という目的を達成するために必要な作業なのです。このように、リスクマネジメントというのは目的達成を促進するものであり、より合理的に目的達成に近づくことができます。しかしながら、目的や達成要件といった前提部分の認識が誤っていると、いくら対策を実施しても不十分なものとなってしまうため、事前に関係者間で認識を合わせておくことが重要となります。組織大枠の話をすると、企業活動にはそれぞれ目的があり、それを実現させるための戦略を打ち出しているはずです。具体的な戦略は企業の置かれている環境によって異なるため、まずは自社を取り巻く環境の分析を行うことで、目的や達成要件を明確化させることができるでしょう。リスクマネジメントにゴールはない前段でリスクマネジメントは目的達成の手段と述べました。では目的を達成したらこれ以上何もしなくてよいのでしょうか? 世の中のニュースに目を向けてみると、リスクマネジメントを行っていたであろうにも関わらず事故を起こしている企業はいくつもあります。これらの企業は、リスクマネジメントを策定したところまでは良かったのですが、その後の見直しや改善といった「運用」が疎かになっていたと考えられます。運用が疎かになると、全員がしっかりリスクマネジメントを行っているから大丈夫だろう、全てのリスクに対応できているから大丈夫だろう(想定外のことは無いだろう)という認識が広がってしまい、結果として事故に繋がってしまいます。この様な事態に陥らないために、リスクマネジメントにもPDCAの考え方を持ち込むことが大切です。「リスクの洗い出し→対策実施」というのは、PlanとDoの部分までしか完了していないため、残りのCheckとActionにも注力する必要があります。効果測定を行う際の観点として分かりやすいのは、事故の発生件数が減少したかどうかでしょう。事故発生率が低く確認が難しい場合は、テストを行って事故を再現するという手もあります。また誰が効果測定を行うのか、という点にも注意が必要です。当事者で効果測定を行うと、抜け漏れや不正が発生する可能性があるため、独立公平性を保った第三者が行うのが一般的です。PDCAを回すことで実施状況や実施体制が適切かどうかを定期的に確認し、不備がある場合はアップデートを図っていく、ということもリスクマネジメントを行っていくうえで重要なポイントです。全てのリスクに対応しようとしない企業活動に潜むリスクは、個人情報漏洩の様な自社の活動が危ぶまれる程のリスクから、マネージャーの休職で一部業務フローを変更する程度のリスクまで大小あります。これ以外にも、実際の現場でリスクを洗い出そうとすると膨大な量のリスクが出てきます。しかしながら大抵の企業は時間も予算も限られているため、それら一つ一つを確認して対策を講じていくことは現実的ではありません。対応が必要なリスク、対応不要のリスクを判断するためには、予め社内で共通の基準を設けておくことが必要になってきます。仮にリスクを点数でレベル分けした場合、その点数によって対応可否を決めるのです。一般的には、極めて発生頻度の低いリスクや、発生しても影響が軽微なものを対策不要とすることが多いです。この様なリスクは普段の業務では特段気にしなくても問題ないでしょう。ここで忘れてはいけないのが、企業を取り巻く状況は常に変わっているということです。昨年までは対応不要だったが今年から要対応になった、というケースは頻繁に起こります。前述の通りリスクマネジメントはPDCAを回すことがとても重要です。対応不要と判断した場合でも、定期的な確認を行い、必要であれば対策を講じていくべきです。