海外FXの始め方とは

リスクマネジメントとは

リスクマネジメントとは
RBSの例(Wiki より)

リスクマネジメント

一定規模以上の財務負担をともなうプロジェクトの投資決定には、 4 段階からなる Decision Gate ( DG )プロセスを適用しています。 DG プロセスは、 TECOP ( Technical 、 Economical 、 Commercial 、 Organizational 、 Political-Societal )それぞれの側面から事業に関するリスクや機会を抽出し、対応策などについての評価に関するレビュー( DGR : Decision Gate Review )を実施しています。

  • DGR-1:戦略との適合性を確認のうえ、外部環境認識を踏まえたリスクと機会の特定
  • DGR-2:考えうるすべての代替案を創出し、それらの実行可能性、リスクと機会を評価
  • DGR-3:複数の案から、案件の価値を最大化する最良の案を選択
  • DGR-4:最終投資意思決定を行うための詳細を検討

実施段階の事業リスク管理

安全対策・緊急時の事業継続

国内外で業務に従事する従業員の安全対策に加え、緊急事態発生時にも事業を継続するための全社的な方針や付帯する事項を討議する「 HSSE 委員会」を設置しています。また、全社的な方針にもとづく体制や各種マニュアルの整備に加え、平時からの対策や従業員の意識啓蒙などを行っています。

海外安全対策

なお、海外安全・危機管理要領や関連する重要事項の制定や審議は、 HSSE 委員会で実施しています。また、 HSE 統括部および関係部室長をメンバーとする海外安全対策専門部会が、海外安全に関する情報収集や出張の可否判断を行っています。

海外緊急時対応訓練と情報発信

  • 海外各拠点と本社間の緊急連絡訓練
  • 海外有事を想定したシミュレーションやワークショップを含む海外有事対応訓練

緊急時対応

本社および事業所などの主要拠点では、緊急事態を想定した訓練を年 1 回以上実施しています。また、その結果を踏まえながら、緊急対策規程や関連要領、各種マニュアルの整備や改善を適宜行っています。

事業継続計画( BCP )

大地震などの災害や感染症の流行など、社会生活に大きな影響を及ぼすような緊急事態発生時の事業継続を想定した、事業継続計画( BCP : Business Continuity Plan )を策定しています。

BCPと付随する各種要領、各種マニュアルは、 2011 年の東日本大震災や、 2018 年の北海道胆振東部地震、 2021 年の福島県沖地震など、実際に経験した当社事業場などの被害・被災経験を踏まえ、適宜改善を図っています。

大規模な感染症流行時の対応

情報セキュリティ

この体制のもと、情報の分類・管理体制の整備や、「個人情報保護方針」および「個人情報取扱ガイドライン」の策定と、これらを踏まえた IT 環境の整備・運用を行っています。

【MBA・ビジネス用語】リスクマネジメントとは? これからの時代に対応できるスキルを身に付けよう!

【MBA・ビジネス用語】リスクマネジメントとは? これからの時代に対応できるスキルを身に付けよう!



執筆:mbaSwitch編集部


https://www2.ohmae.ac.jp/Dynamic_LP.html

1.リスクマネジメントとは?

リスクマネジメントとは?


ビジネスにおける「リスクマネジメント」とは、企業の価値を維持・増大するために、リスクを組織的にマネジメントし、損失の低減や回避を図ることです。

マイナスだけのリスク
損失などのマイナスだけを受け、利益などのプラスが得られないリスクです。自然災害や人為的ミスなどから生じる、財産や利益の損失、損害賠償のリスクなどが該当します。

マイナスとプラスのリスク
損失を受けることと利益を得ること、つまりマイナスとプラスの両方の要因となり得るリスクです。たとえば、政治や経済情勢の変動から経営環境が変化した際に発生するリスクなどがあります。

リスクヘッジとの違い

危機管理との違い

リスクアセスメントとの違い

2.リスクマネジメントはなぜ必要?

リスクマネジメントはなぜ必要?

規制緩和の進展

リスクの多様化

説明責任の増大

経営管理の在り方の変化

3.リスクマネジメントとは リスクマネジメントのプロセスとフレームワーク

リスクマネジメントのプロセスとフレームワーク

リスクマネジメントのプロセス

①特定
まずは、ブレーンストーミングなどのフレームワークを活用し、想定されるリスクをできる限りたくさん挙げます。そして、想定リスクをシートなどにリストアップします。

②分析
洗い出したリスクについて一つひとつ分析します。リスクが顕在化した場合の「影響の大きさ」と「発生確率」を予測し、各リスクの重大性を比較しましょう。

③評価
各リスクの分析結果を一覧にします。「影響の大きさ」をx軸、「発生確率」をy軸にとり、各リスクをマップ上にプロットし可視化することで、誰が見ても重大なリスクを把握できます。この2軸以外の条件も踏まえながら、優先度の高さを評価します。

④対応
優先度が高いと評価したリスクについて、具体的な対応策を出していきます。代表的な対応策には、「低減」「移転」「許容」「回避」の4つがあります。

リスクマネジメントの手法・フレームワーク

エンタープライズリスクマネジメント(ERM)
企業運営で起こり得るさまざまなリスクに対して組織全体で管理しようとする、危機管理の手法のひとつです。「全社的リスクマネジメント」「統合リスクマネジメント」とも呼ばれます。

リスクマネジメントフレームワーク(RMF)
セキュリティ関連のリスクマネジメントのフレームワークです。RMFはアメリカで開発され、ITシステムの安全確保や認可・管理を行うために、全連邦政府機関が従うべきプロセスです。

2018年12月に米国技術標準研究所(NIST)から、RMFを定めた文書「SP800-37 Revision 2」が改訂版として公開されています。

https://www2.ohmae.ac.jp/Dynamic_LP.html


リスクアペタイトフレームワーク(RAF)
リーマンショック後に、銀行におけるリスク管理の新しいフレームワークとして世界的に注目されるようになりました。従来の銀行とは異なり、リスクと収益を一体化して事業を運営する考え方が特徴です。

リスクマネジメント

当社グループ全社を対象とする危機管理体制を確立しています。危機事象が発生した際の迅速な初動対応とエスカレーションを可能とするため危機管理に関する規程やハンドブックを展開し、本社、事業部門、現場といった階層での対策本部をいつでも起動できる体制を整えています。また、平時のリスクマネジメントの体制に加え、IAT (Issue Assessment Team)を設置し、被害状況等が適時に経営層に伝わる仕組みを整えることで、本社危機管理対策本部における迅速な意思決定を促します。

当社グループではサイバーセキュリティの重要性を理解し、サイバー攻撃などによる被害を最小化するためにLIXIL-CSIRT(LIXIL Computer Security Incident Response Team)を設置し、運用しています。コンピュータやネットワークを常時監視することで問題を早期発見し、発生時の影響分析や原因解析を行うことにより、迅速な対応に努めています。

危機管理フロー(概略)

リスク管理体制図

LIXILではサイバーセキュリティの重要性を理解し、サイバー攻撃などによる被害を最小化するためにLIXIL-CSIRT(LIXIL Computer Security Incident Response Team)を設立、運用しています。コンピュータやネットワークを常時監視することで問題の早期発見をし、発生時の影響分析や原因解析を行って迅速な対応に努めています。

情報セキュリティ

マネジメント体制 LIXILは、保有する全ての情報資産の保護および適切な管理を行うため、情報セキュリティ管理状況の把握と、リスク分析に応じて必要なセキュリティ対策を迅速に実施できる体制を維持しています。
また、万が一、問題が発生した場合には被害を最小限にとどめるとともに、問題の原因を突き止めたうえで再発防止と改善を行う体制を整えています。

情報セキュリティ委員会組織図

情報セキュリティ委員会 LIXILでは、情報セキュリティに関する基本的事項を決議する機関として、情報セキュリティ委員会を設置しています。CDOを委員長とし、各部門代表者で構成されており、情報セキュリティ対応方針の決定及び承認、セキュリティ対策状況の報告を定期的に実施しています。

リスクマネジメント

リスクマネジメント体制図

リスクマネジメント体制図

リスク管理のさらなる実効性強化に向けて

リスクマネジメントPDCAサイクルの図

リスクマネジメントPDCAサイクル

BCP(事業継続計画)

緊急体制の整備

安定的な部品調達

製造基盤の強化

COVID-19に関する取り組み

当社グループでは、COVID-19による感染症について、HD 代表取締役 取締役社長を本部長とするグループ災害対策本部を本社内に立ち上げ、また国内外拠点に現地対策本部を、さらに事業会社各社に復旧対策本部を設置し、社員関係者の健康状態の確認、職場の感染リスク低減のための在宅勤務の推進(制度の変更やVPNなどのITインフラの充実と整備)、生産部門のシフト勤務、職場分割施策の実施、顧客へのオンラインサポートなど、事業継続への対応を進めています。また、COVID-19ワクチンの職域接種を、グループ社員とその家族、派遣社員、協力企業社員、サプライヤー等を対象に実施しました。

ITセキュリティの強化

昨今、頻発・巧妙化するサイバー攻撃などのITセキュリティリスクを重要な経営課題の一つとして位置づけ、ITセキュリティ対策を継続的に強化しています。ITセキュリティの推進については、HD経営戦略担当役員が責任者となり、グループ全体のITセキュリティ関連規定やガイドライン、中長期にわたるITロードマップを策定、各グループ会社の責任者と連携し、グループ全体のITセキュリティ体制をグローバルレベルで構築しています。
ITセキュリティのリスク環境、攻撃手法が日々変化することを受け、PCおよびサーバーのマルウェアの挙動を検知対処するEDR ※1 を導入。外部内部を問わない攻撃検知対策としてSOC ※2 の導入など対策強化を進めています。加えて関連規定やガイドラインを定期的に見直し、すべての役員、従業員、派遣社員などを対象に最新情報に基づいたITセキュリティ教育を毎年実施するなど、ITリテラシーの向上に努めています。
ITセキュリティにかかるインシデント報告を受けてリスクの検知や対策を迅速に対応できるよう社内に専門窓口〈社内シーサート〉を設けています。また、活動レベルを上げるため、日本シーサート協議会 ※3 (NCA)へ加盟しました。
社内のネットワークインフラを24時間365日監視するなど、安全安心のもと持続的に事業を遂行できるよう対策を図っています。

※1 Endpoint Detection and Response:パソコンやサーバーにおける不審な挙動を検知し、迅速な対応を支援するソリューション
※2 Security Operation Center:サイバー攻撃の検出・分析を行い対応策のアドバイスなどを行う専門組織
※3 コンピューターセキュリティにかかわるインシデント(セキュリティを脅かす事象)に対処するため、予兆情報などを収集・共有し、共通の問題を解決することを目的として設立された協議会

リスク・マネジメント計画書とは何か?PMBOKの用語を解説

つまり、「計算機センターの火災」という同じトラブルに見舞われても、 成功したプロジェクトのプロマネは発生したトラブルを受け止め、プロジェクトを正常に戻す活動を行ったのに対し、失敗したプロジェクトのプロマネは発生したトラブルを嘆くばかり だとワインバーグは指摘しています。
ワインバーグが見た成功したプロジェクトのプロマネのように、 トラブルが発生しても動じずに対処するには、あらかじめトラブル発生のリスクを把握し、その対処法を講じておくこと です。
その活動がリスク・マネジメントであり、その活動の方針を定めるのがリスク・マネジメント計画書です。
そのため、このリスク・マネジメント計画書はトラブルからプロジェクトを守る大切な資料であると言えるでしょう。

リスク・マネジメント計画書の構成

リスク戦略

役割と責任

タイミング

リスク区分

リスク区分では、特定されたリスクをグループ化するための手法を記述していきます。
リスク区分の手法として最もポピュラーな方法は階層構造図を用いたリスク・ブレークダウン・ストラクチャー(以下、RBSと略記)です。
プロジェクトマネジメントでは、プロジェクトの活動内容を階層的にまとめたワーク・ブレークダウン・ストラクチャー(以下、WBSと略記)が有名ですが、RBSはそのリスク・マネジメント版です。
RBSでは階層的にリスクをカテゴリー分けし、記載していきます。
例えば、「ステークホルダーに関するもの」、「プロジェクトマネジメントに関するもの」などに分けていきます。

RBSの例

RBSの例(Wiki より)

ステークホルダーのリスク選好

ステークホルダーのリスク選好とは、リスクに対するステークホルダーの許容の範囲を表すものであり、リスクを測定する際のしきい値となります。
リスクに対処するには多くの場合、追加の費用を支払ってその影響を緩和させたり、リスクを取り除いたりします。
例えば、「デザイナーが突然体調不良で休んでしまう」というリスクに対処するには、「デザイナーを追加で確保しておく」という対処が考えられます。しかし、この場合はデザイナーのコストも追加で1人分増えてしまうことになります。
こうしたリスクに対して、「ぜひともデザイナーを追加で用意したい」と考えるステークホルダーもいれば、「体調不良なんてそこまであることじゃないし、わざわざ追加費用をかけてもデザイナーを確保する必要はない」と考える人もいます。
また、体調不良で休みをとるといっても、どの程度の期間であれば対処すべきなのかも、人によってかわってきます。
こうしてリスクへの感度は人によって変わるため、ステークホルダーのリスク選好として、何がどのようになったらリスクに対処するのかをまとめていきます。
そして、この時のステークホルダーの意思決定の判断材料になるのが、次に見るリスクの発生確率と影響度の定義、そして発生確率・影響度マトリックスです。

リスクの発生確率と影響度の定義と発生確率・影響度マトリックス

リスクというのは、一般的な指標があるわけではなく、プロジェクトやステークホルダーのリスク選好に応じて変わってきます。
そのため、 プロジェクトごとに「リスクとは何か?」を定義していかなければなりません。
それがリスクの発生確率と影響度の定義です。
例えば下の表1のように、「スケジュールが当初の予定より5%~10%の延長を引き起こすならば、影響度中とする」など、影響度の指標を定義していきます。

表1:リスクの影響度の定義の例
(出典)鈴木安而『図解入門よくわかる 最新PMBOK第6版の基本』秀和システム、2018年、243頁を参考に作成。 リスクマネジメントとは
極めて低い
(0.05)
低い
(0.1)

(0.2)
高い
(0.4)
極めて高い
(0.8)
コストコスト増
1%未満
コスト増
1%~10%
コスト増
10%~20%
コスト増
20%~40%
コスト増
40%以上
スケジュール期間延長
1%未満
期間延長
1%~5%
期間延長
5%~10%
期間延長
10%~20%
期間延長
20%以上
品質軽微な品質劣化限定した用途にのみ影響品質低下にスポンサーの承認が必要品質低下をスポンサーが許容しないプロジェクトの最終成果物は実用に耐えない

こうした内容を踏まえ、リスクの発生確率と影響度を格子状にまとめたものが、下の参考画像1のような発生確率・影響度マトリックスです。

発生確率・影響度マトリックスの図

参考画像1

こうした発生確率・影響度マトリックスを作成し、発生確率も影響度も高いリスクから対応していくなど、リスク・マネジメントの方針を固めていきます。
この発生確率・影響度マトリックスについては、過去の記事もご参照ください。

関連記事

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次
閉じる