再検討を要するリスクマネジメント(5)
次に、内的なリスクファクターについて備えるにはどうすべきか、考えてみましょう。
内的なリスクファクターは、経営に関するリスク、事業に関するリスク、業務に関するリスクとありますが、いずれにしても、想定されるリスクファクターが起きた場合にどのようなシナリオで対処するのか、そのシナリオを描いてみることが肝要です。
この時、リスクファクターが発生した時にとる対応、発生直後から多少経過してからとる(短期的な)対応、そして中長期的な対応と、3段階にわたって対応シナリオを想定すべきでしょう。そうでないと、その場は対応できても、結局はジリ貧に陥って事業が継続できなくなることが往々にして起こります。特に経営者が高齢であったり、後継者がいなかったりする場合に起こりがちです。
では、どのようなリスクファクターについて想定シナリオを用意すべきでしょうか。経営に関するリスクといってもいくつも想定できますし、業務に関するリスクとなると、自然災害や労働災害からサイバー攻撃への対処まで多種多様です。
まず最初に検討すべきは、最も集中しているところ(=最大の弱点)はどこか、という点です。
たとえば、経営者が重要顧客との商談から全社員の勤怠管理まで全てを取り仕切っている組織では、その体制そのものが経営に関するリスクです。もし、今、この瞬間にその経営者にもしものことがあったら、組織は機能を停止します。これが経営者の後継者不在のリスクです。誰が何を担当すれば当座は凌げるのか、仮に当座は凌げても、年単位で事業を継続していけるのか、実に心許ないものです。
経営に関するリスクでよくある過度な集中によるリスクといえば、特定の事業に偏った構造があります。いわゆる一本足打法の経営です。この場合、当然ながら、その事業が何らかの要因で不振に陥れば、一気に会社が傾くことになります。もちろん、創業間もないベンチャーなどでは、事業が単一ということは必然ですが、同じ事業であってもせめて国内と海外とか個人向けと法人向けとか、何らかのセグメント分けによって事業を複数化することは必要と思われます。
事業に関するリスクについても過度な集中によるリスクを第一に検討すべきです。たとえば、顧客や仕入れ先の偏りがよく見られるリスクです。生産拠点が1ヶ所しかないとか、物流の委託先が1社というのも同様です。ITネットワークをひとつのサーバーに頼るのも極めてリスクが高い体制ですし、ITはひとりの担当者に任せきりというのも同じことです。効率化や経営資源の調達能力不足と、過度な集中によるハイリスクとのバランスをいかに取るかが問われるのです。
業務に関するリスクは、日常の仕事において、いまこの作業ができなくなったらどうするか、代替的な手段はあるか、そのためのコストは許容可能なものか、といった課題に対応するものです。要員、手段(方法)、資金(経費)などについてある程度の余裕をもっておくのが理想ではありますが、その分、効率が悪くなります。
一方、リスクマネジメントのルーティーンというか日常の業務というか、当然に対応しておくべきこともあります。
防災訓練ひとつをとっても、単に法規制上、定期的な訓練が義務付けられているからしかたなく行うというスタンスではなく、訓練を機会に現状の問題点を洗い出してみるとか、消防当局の指導を受けるのであれば(毎年でなくても数年に一度でも良いから)防災上の課題を指摘してもらい、その対応策を提案してもらうことで、簡易なリスクコンサルティングを受けるくらいのスタンスが求められます。
年に1度の防災訓練を行うにしても、今年は事務所火災、来年は豪雨または津波に対する垂直避難、その次は大規模な停電に対処するために真っ暗な中でどのように行動するのか実地に訓練してみて、その次は地震への備えで起震車で震度7を体験してみるといった、いわば災害のシミュレーションを繰り返すことも必要かもしれません。路面店や移動販売などの店舗型のビジネスに従事しているのであれば、暴走車が店に突っ込んできた場合の対応を訓練するとか、事務所にスタッフが寄り集まることが常態化している職場(コールセンターや会議や打ち合わせが多い会社など)では新たな感染症が発生した際の対処法を実地に検証してみるなど、テーマはいろいろあるはずです。
このように、経営レベルから現場まで、組織としてリスクマネジメントの方法論を学習することは大事です。そして、そのプロセスでマネジメントのありかたそのものを見直していくことも忘れてはなりません。毎年定期的に自社の経営やビジネスに影響を及ぼしそうなリスクファクターを洗い直し、その結果を経営全体や事業戦略に反映させていくマネジメント(注2)を組織的に身につけることが理想的です。
リスク管理担当の部署や社員(CROなど)だけがリスクマネジメントを意識するのではなく、経営陣や事業責任者、一般のマネージャーや現場の社員や外部スタッフに至るまで、自分たちの仕事を通じて経営(事業、業務)のリスクを顧みて、いつかリスクが現実化したときに対処する方法を実地にシミュレーションしておくことが望ましいことは改めて述べるまでもないでしょう。
経営資源に限りがある中小企業やベンチャーであれば、公的機関等の支援を受けながら、リスクマネジメントを進める体制を整備するという方法(注3)もあります。技術的に容易ではないと思われがちなサイバーセキュリティについても、それに特化した支援制度(注4)もあります。
要は、企業規模の大小とか経営資源の多寡に囚われず、自社の集中ポイントを見極めて、そのリスクファクターをはっきりさせた上でコスト面でも実現可能な対処法をとればいいのです。
【注2】
メガトレンドにおけるリスクファクターをビジネスにおける予測として活用する一例として、次の論考があります。
『ビジネス予測はほぼ確実に的中しないが、それでもなお価値がある~競争優位につなげる6つの方法~』(「ダイヤモンド・ハーバードビジネスレビュー」HPに2022年4月1日付けで掲載されています。)
【注3】
一例として、都内の中小企業向けに東京都中小企業振興公社が行っている「BCP実践促進助成事業」があります。この制度では、一定の要件を満たしたBCP(ビジネス・コンティンジェンシー・プラン)に基づいて購入・整備する物品や設備について、1500万円を上限として、その費用の2分の1(中小企業を対象)または3分の2(小規模事業者を対象)を助成します。具体的には、自家発電装置や蓄電池、従業員の安否確認システム、データバックアップ用のサーバーやクラウドサービス、制震・免震ラックや飛散防止フィルム、転倒防止装置、非常食・簡易トイレ・毛布・小型浄水器、土嚢や止水板、マスクや消毒液などが助成の対象となります。
【注4】
注3と同様に、都内の中小企業向けに東京都中小企業振興公社が行っている「サイバーセキュリティ対策促進助成金」では、IPA(独立行政法人 情報処理推進機構)が実施しているセキュリティアクションの第2段階を宣言している中小企業及び中小企業団体に対して、1500万円を上限として、その費用の2分の1を助成します。対象となるシステムやサービスは、統合型アプライアンス(UTM等)、ネットワーク脅威対策製品(FW、VPN、不正侵入検知システム等)、コンテンツセキュリティ対策製品(ウィルス対策、スパム対策等)、アクセス管理製品(シングル・サイン・オン、本人認証等)、システムセキュリティ管理製品(アクセスログ管理等)、暗号化製品(ファイルの暗号化等)、サーバー(最新のOS搭載かつセキュリティ対策が施されたものに限る)、標的型メール訓練となっています。
作成・編集:経営支援チーム(2022年4月5日)