カテゴリー: リスクマネジメント

投稿日:

リスクマネジメントのまとめとBCP


1.リスクマネジメントのまとめ

リスクマネジメントはまず目標を認識して、目的達成を阻害するリスクを洗い出すことから始まります。行動しないことにはリスクは発生しません。あるいは、目標に向かう活動にリスクがあり、リスクマネジメントが必要となります。リスクマネジメントの手順のまとめは以下です。

(1) 目的を認識します。
(2) 基本的な手順を確認します。
(3) アクティビティを洗い出します。
(4) リスクの特定を行います。
(5) 定性的リスク分析ではリスクの性質と発生頻度を定性的リスク管理表にします。
(6) 定量的リスク分析では定性的リスク分析で対応が必要となった項目に関してリ
スク発生時のEVM(Expected Monetary Value:期待金額価値)を損失額と発
生確率から算出してリスク管理表に記入します。
(7) リスク管理表を作成してリスク対策案の策定を行い、リスク管理表に記入します。
加えてリスク対策案の発動条件を策定してリスク管理表に記入します。
(8) リスク管理表に記入されたリスク発生の早期検知を行うためにプロジェクトの
進行状況のモニタリング方法を策定します。モニタリングする項目として作業の
生産性、就労時間、ガントチャート上のマイルスストーン達成数、エラー発生
数、手戻り発生数、スタッフへのヒアリングがあります。
(9) リスクの発現を検知するためにモニタリングを行います。
(10) リスク管理表を見直します。

2.BCPとは(事業継続計画)
BCP(Business Continuity Plan)とは企業が緊急事態(自然災害、感染症等)に遭
遇した場合に事業資産の損失を最小限にとどめ、中核となる事業の継続と早期復旧のため
の活動や対策を文書化したものです*1。そこでBCP策定に当たっては、まず中核な事業と事業を支えるサプライヤーや顧客を設定しておくことが必要です。次に中核の事業を復旧、継続するための資源を設定することが必要です。

図1 BCP

*1 中小企業庁BCP策定運用方針https://www.chusho.meti.go.jp/bcp/contents/bcpgl_download.html

投稿日:

リスク発現のシュミュレーション

 リスクの発現確率を正確に知ることは難しいために、リスク発現のシュミュレーションを行うことが考えられます。

1.モンテカルロ法

 シュミュレーションの代表的なものにモンテカル法があります。モンテカルロ法は賭博の町モンテカルロにちなんだ方法で乱数を用いて事象のシュミュレーションや数値解析を行う方法です。以下に示す例では乱数を用いて池の面積を計算することが可能でです。図1では 池の面積=長方形の面積×池に落ちた点数/全体の点数 により池の面積が求められるます。

図1モンテカルロ法

2.ランダムウオーク

ランダムウオークとはランダムに縦横に情報を伝えたり、行動を行いシュミュレーションを行う方法です。そこで、図2に示すようによっぱらいの進む様子のシュミュレーションを考える。本例では、酔っ払いが前後左右進む様子を乱数で与えることにより、酔っ払いの進む行先をシュミュレーションします。酔っ払いが前後左右に進むランダムな動きを模擬するために一様乱数を使用します。一様乱数とはサイコロの目の様に出る目の出現確率が一様である様な乱数のことです。一様乱数の例にサイコロがあり、エクセルには一様乱数を発生させる関数が用意されています。図2のランダムウオークの例では10面サイコロによりシュミュレーションを行います、そこで図3の様にサイコロの目と酔っ払いが進見方に関する変換テーブルを設置します。

図2ランダムウオーク
図3シュミュレーションテーブル

投稿日:

インシデント管理とモニタリング

1.インシデント

 リスクマネジメントの目的は組織や企業の業務や活動を止めないことです。そこで、組織や企業の業務や活動が停止する理由として、トラブルとインシデントがあります。組織の活動そのものが止まる状況がトラブルや事故で、活動そのものは止まらないまでも活動の効率が低下したり、トラブルを回避して活動が停止しなかった場合がインシデントです。インシデントにはトラブル発現が予測されたため、トラブル発現を意識して回避する場合と無意識のうちに回避した場合があります。

2.モニタリング

 リスク管理表に記入されたリスク発現の早期検知を行うために業務の進行状況をモニタリングすることが必要となります。リスク管理表にはリスクとトリガが記述されます。トリガとは当該リスクの発現が予期される状況のことで、例えばトリガにはコンピュータのハードディスクの故障が予見される場合の異音や行程遅れが予見される場合の作業遅れがあります。そこで、リスク発現の早期検知を行うためにモニタリングにより、トリガの発現を観察することが必要となります。そして、モニタリングを行う項目として作業の生産性、就労時間、ガントチャート上のマイルスストーン達成数、エラー発生数、手戻り発生数、スタッフへのヒアリングがあります。しかし、モニタリング対象を数値化することは難しく、モニタリングは担当スタッフへのヒアリングが主となり、人は不確実であるため、モニタリングの精度向上が課題となります。以下にモニタリングを含む、リスクマネジメントの例を示します。

(リスクマネジメントの例)

 ある工場では年間の償却費が1台1000万円の機械を導入している。機械の故障率は0.1件/月であり、機械が故障すると3日間程、修理と調整にかかる。機械が故障した場合の損害は1日当たり50万円である。ただし、機械の保守に入ると2日で機械故障は復旧する、保守費は1年間で20万円である。ただし機械故障は年間に最大1回とする。

図1 モニタリングの例
投稿日:

リスクマネジメントループ

 リスクとはある目的を達成の活動中に存在する障害のことでISO31000では目的に対する不確かさをリスクと定義している。リスクを目標に至るまでの障害と考えた場合にはリスクが大きければ目標を達成できる可能性が低くなり、リスクが少なければ目標を達成できる可能性が高まる。従って初めて行う活動では目標を達成できないリスクが大きく、逆に何度か同じ活動を行っている場合にはリスクは小さいと考えられる。しかしこれはリスクを損害が発生する危険性と考えた場合で実際には目標に向かってプラスとなる事象も存在する。従ってリスクマネジメントとは目標に向かってプラスとなる事象については発生確率を高め、マイナスとなり要素については発生確率を減少させるように制御することである。ISO31000ではリスクマネジメントのプロセスとリスクマネジメントの活動の枠組みについて規定している。枠組みを一般的にはリスクマネジメントシステムと呼ぶ。

リスクマネジメントのループを以下に示す。JISQ2001のリスクマネジメントシステムにはフレームワークに内部監査、教育訓練、文書管理、運用管理を加えている。リスクマネジメントの原則(principles)は体系的組織的であり、タイムリーであること等を含む。

投稿日:

リスク管理表と対策の立案

 まず、リスク発生確率、影響度マトリクスを作成した後にリスク評価を行い、対応が必要なリスクをリスク管理表にまとめます。リスク管理表にはリスク名称、リスク発現時の損害額、発生確率、トリガ、リスク発現時の対応策を記入します。トリガとはリスクの発現が予想される場合のモニタリングすべき状況変化や項目です。リスクの発現時にはリスク管理表の記述に従い、リスク対応行動が行われます。しかし、リスク対応行動の発動には資源が必要です。資源とは経営資源である、人、お金、物や設備です。そこで、大規模なリスク対応策の発動は経営的な意思決定を伴います。特に国内ではリスクマネジメントリーダと業務活動リーダが同じであることがあるため、トリガ観察に伴う対応行動の発動が遅れることがあります。意志決定支援システムであるとも言える。特定され評価分析されたリスクは対応が必要なものであり、対応策と完了時期を明確にする必要がある。この時対応策は時間と費用で評価され、第2、第3の案も考慮して検討するべきである。当然、リスク対応は限定された経営資源の中で経営目標に沿った形で実施することとなる。リスクの回避には別のルートを検討することが必要である。

また、リスクの対策案は実行の敷居が低いことが必要である。時間的、費用的に敷居の高い対策は実施が困難であり、効果的ではない。

投稿日:

定量的リスク分析とリスク評価

リスクを評価するに際して、定性的リスク分析に続いて、定量的リスク分析を行います。定量的リスク分析では、リスクの定量的評価を行い、対応の必要性と優先順位を付けを行います。リスクの定量的評価は期待損害額で示します。期待損害額はリスク発現時のEVM(Expected Monetary Value:期待金額価値)により示します。期待損害額はリスク発現時の損害額×発生確率で計算します。そして、期待損害額と発生確率から図1に示す、発生確率、影響度マトリクスに配置して対応の可否を検討します。マトリクス上の第2象限にあるリスクは対応が必要となります。対応方法は予防措置、発生時対策と受容があります。受容は想定範囲内のリスクであり、個別に対策を計画しないリスクです。の低減を行い、マトリクスの第4象限にリスクを移動することが基本的な対応となります。そして対応が必要なリスクをリスク管理表にまとめます。また、リスクの評価軸として人、物、利益、信用も考えられます。状況によっては賠償と環境への影響も考えられます。

図1 発生確率、影響度マトリクス

以下にリスク対応の首里を示します。

(マイナスリスク)

  • 回避   プロジェクト計画を変更してリスクを回避する。
  • 転嫁  保険を掛ける等を行い、発生時の影響を転嫁する。
  • 軽減  発生度と影響を受容のレベルまで下げる。
  • 受容  積極的には何もしない。

(プラスリスク)

  • 活用  工期短縮やコストダウン等の好機がより発生するように不確実性を除去する。
  • 共有  ジョイントベンチャーやパートーのように好機を共有して、より発生するように活動をおこなう。
  • 強化  好機の発生確率や影響度を更に大きいものにする。
  • 受容  積極的には何もしない。

図2と図3にリスク評価の例を示します。通常はプラスのリスクが評価項目として上がることはありません。

図2リスク評価の例
図3 プラスのリスクとマイナスのリスク
投稿日:

リスクにはプラスのリスクあり

ISO31000では目的に対する不確かさをリスクと定義しており、リスクにはプラスのリスクとマイナスのリスクがあります。しかし、一般的にリスクとはマイナスのリスクを指し、マイナスのリスクとは組織がある目標達成に向かう活動を阻害する要因のことを指します。一方、プラスのリスクとは目標に向かう活動がより効率的に進む要因の事であり、例えば、企業がアライアンスを組み、顧客情報の共有を行い、よりビジネスチャンスをつかむ機会を増やすことがあります。あるいは情報と経験を持つ商社を利用して、性能の高い部品を予算より低く調達することがあります。そこで優秀なマネージャはプラスのリスクを利用することにより、予備費を確保することが可能となります。以下にISO31000で示す、プラスとマイナスのリスクに対するリスク対応の7つの活動を示します。

(マイナスのリスクに対する活動)
回避(avoiding the risk)
軽減(removing the risk source)
転嫁(changing the consequences)
受容(retaining the risk)

(プラスのリスクに対する活動)
強化(taking or increasing the risk)
活用(changing the likelihood)
共有(sharing the risk)
受容(retaining the risk)

*1changing the likelihood 起こりやすさを変える
*2changing the consequences 結果を変える

投稿日:

リスクの洗い出しと定性的リスク分析

リスクマネジメントは企業活動を計画通りに進めるための手法であり、企業活動をノンストップで進めるための手法です。企業活動を計画通り進めるためには、活動を止めないことがポイントです。そこで、リスクマネジメントでは、まず、リスクの洗い出しを行い、次に、洗い出されたリスクが発現することにより発生する損害と発生確率から期待損害額を計算します。リスクの洗い出しでは問題のありそうな事項をステークホルダによるブレーンストーミングにより洗い出しをします。リスクの洗い出しはリスク特定とも呼ばれ、リスクマネジメントの基本です。洗い出されないリスクは対応ができないので、リスクの洗い出しはリスクマネジメントの最も重要な手順の1つです。リスクの洗い出しもれが無いようにチェックリストに基づきリスクを確認するのは有効はな方法です。企業では契約書をチェックリストに基づいてチェックすることをフロントローディングと呼び、リスクの洗い出しもれを防ぐ有効な手法です。以下に代表的なリスクの洗い出し方法を示します。洗いされたリスクを表1に示すリスク影響度、発生マトリクス状に配置することにより、対策の必要性を検討します。

  • ブレーンストーミング法

数人が集まって、あるテーマについてアイデアを出し合ってアイデアをまとめて行く方法で、他人のアイデアを批判しないことがポイントである。

  • デルファイ法

デルファイ法とはデルフォイ(Apoll)の神託にちなんだ予測の手法である。デルファイ法は各分野の専門家にアンケートによって意見を求め、結果を再びアンケートとして回答者に送り、数回のアンケートの反復を行なって専門家の意見を調べて予測を行う。

・チェックシート法(チェックリスト法)

データ収集や状況確認において、項目や図などが既に記入されたシートで記録、チェック、点検等に用いられる。リスクの洗い出しでは過去の事例を元に確認項目が記入されており、今回の状況を確認するために利用される。

・戦訓録法

戦訓録は不具合レポートや不適合報告とも呼ばれ、過去の失敗事例を記録したものである。プロジェクトの開始に当たっては戦訓録を点検して過去の事例を繰り返さないことが必要である。しかし過去と今回の状況が異なることが多く、簡単に適応できないことが多く、人の知恵を必要とする。

  • アンケート法

組織内やステークホルダにアンケートを回して部署内の意見を収集してリスクを検討する。

多数決法

メンバーの多数決によりリスクを特定する。

・ロールプレーイング法

実際の状況の想定とシナリオの作成を行い、シナリオに沿って活動を行い、実際に問題がないか、シナリオ通り活動を進めることができるかどうかを確認する方法。

図1 影響度発生確率マトリクス
投稿日:

リスクマネジメントと内部統制

 内部統制とは図1に示す様にリスクマネジメントシステム+ 法の順守体制 のことであり、企業の目標到達を不確実にする要素を制御することです。そして内部統制はリスクマネジメントの一部です。また内部統制とは事業機会に関連するリスクと事業活動の遂行に関連するリスクに対応する体制であるとも言えます。一方、コーポレートガバナンス(企業統制)とは、取締役による企業の私物化防止を目的にしており、企業統治とも呼ばれます。危機管理はリスクマネジメントに含まれ、危機発生時の対応手順であり、危機管理は緊急事態発生時に被害を最小限に抑えることを目的としています。しかし危機の発生は予測できないため、通常のモニタリングは難しいため、通常、リスクマネジメントは障害の発生を予測して状況をモニタリング可能な項目について考えることが必要です。また、内部統制は企業や行政機関などにおいて、業務が目標に向かって適正かつ効率的に遂行されるように組織を統制するための仕組みのことであり、組織内での不正・違法行為・ミスの発生を防止し、組織が有効に運営されるように、業務に関する規則・基準・プロセスを規定・運用することが要求されます。そして内部統制やリスクの評価を継続的に行うことが必要です。最近では情報システムの構築などITへの対応も求められています。内部統制は1990年代に米国で内部統制の重要性が提唱されるようになり、主として投資家保護のため財務報告の適正化を目指して法制化され、内部統制の一部にコンプライアンスがあります。

図1 内部統制とリスクマネジメントの関係

コンプライアンスとは組織内での不正・違法行為・ミスの発生を防止することを目標としており、以下の2つの要素を含みます。

(1)法令遵守。特に、企業がルールに従って公正・公平に業務を遂行すること。

(2)社会貢献

企業内の不正行為や情報漏洩が発生すると企業、組織の社会的信用失い、損失が発生します。コンプライアンス違反の例として以下があります。

  • 所得隠し、所得申告もれ(税法違反)
  • 下請けに対する値引き要求や支払条件の押しつけ(下請け法違反)
  • 不当労働の強要(労働基準法違反)
  • 業務上知り得た情報の私的公開や利用(インサイダー取引規制違反)
  • 情報漏洩(個人情報保護法違反)
投稿日:

リスクと事故発生のメカニズム

 事故は一般的にエラーが重なることにより発生します。つまり、事故発生のメカニズムは多重エラーであり、多重エラーを排除することにより、事故発生を防ぐことができます。例えば、図1に示す様に蛇口のサーモによる温度上限機能を止めると、1つエラーが入ることになり、不注意に蛇口を開けるとやけどを起こします。それぞれのエラーには背景があり、1つの事故の背景には多くのインシデントが存在します。そこで時間的軸に沿って適切なインシデントの対策又は教育がなされることにより障害の発生を防ぐことが可能とります。インシデント対策や教育によりインシデントの連続をリセットすることが可能となり、事故を防ぐことができます。しかし環境等の要因により再び障害発生の方向にインシデントが発生する可能性があります。また行動や活動中には多くのインシデントと障害の発生可能性があり、複合的な障害と複合的な障害対策が必要となります。

図1やけど