口コミ

リスク管理の取組み

リスク管理の取組み
----->

リスク管理の取組み

1) 当社は、当社および当社の子会社のリスクに関して、リスクマネジメント担当取締役を定め、対応部門を設けるとともに、リスク・コンプライアンス委員会、労働安全衛生委員会、品質マネジメント委員会、および情報開示委員会等の各委員会を設置し、当社および当社の子会社のリスクおよびコンプライアンスの状況を把握評価し、リスクの発生を未然に防止します。
*委員会体制については → こちら をご覧ください。

3) 当社は、環境、情報セキュリティ、労働安全、品質、コンプライアンス等に係るリスクについては、ISO14001(環境)、JISQ15001(プライバシーマーク)、ISO27001(情報セキュリティ)の各規格に準拠したマネジメントシステムを構築し、分析・計画、実行、審査・レビュー、改善のマネジメントサイクルを維持し、適正に職務執行を行う体制を確立するとともに、各担当部署および各子会社にて規程・マニュアル等を制定し教育・周知徹底を行います。
*情報セキュリティマネジメントについては → こちら をご覧ください。

事業継続計画

労働安全リスクへの対応

アスクルでは、労働安全と労働環境の向上を目的として「労働安全衛生委員会」を設置し、アスクルの物流を担うASKUL LOGIST株式会社を含む全社横断的な労働安全衛生への取り組みを行っております。
アスクルの物流を担う全国の物流・配送各拠点においては、継続的に、日々の安全対策・事故撲滅に取り組むとともに、業務品質の向上に取り組んでいます。


  • 「歩行動線の明確化・安全対策の例」

  • 「歩行動線の明確化・安全対策の例」

  • 「避難経路の確保・明確化の例」
  • リスク管理の取組み
    「教習所での車両追突体験」

  • 「夜間のヘッドライトの見え方の
    確認」

  • 「座学研修のようす」

  • 「教習所風景(群馬県前橋市)」

  • 「フォークリフト全国安全運転競技会」

  • 「物流競技会」

  • 「ドライバーコンテスト」のようす

  • 「競技会実施に当たっての社内ポスター」

こうした各拠点現場における様々な取り組みを通じて、日々の業務の中での継続的な安全意識の啓発、事故の未然防止と安全性の向上を図っています。
アスクルおよびASKUL LOGISTでは引き続き、労働安全衛生への取り組みの強化を進めてまいります。

リスク管理

2008年の世界金融危機以降、より高度で広範なリスク管理が金融機関に求められるなか、銀行・信託銀行・証券をはじめとした多くの子会社を有し、グローバルに事業展開するMUFGにとっても、リスク管理の果たす役割は従来にも増して重要となってきています。
こうした環境下、MUFGでは、リスクカルチャーに立脚したグループ経営管理・統合的リスク管理の態勢強化を基本方針とし、地域・子会社と持株会社との一体運営強化によるリスク・ガバナンス態勢の実効性向上を進めています。
さらに、事業戦略・財務計画を強力に支えるリスク管理を実践するため、「想定外の損失の回避」や「リスクリターンの向上」をめざして「リスクアペタイト・フレームワーク」を導入、運営しております。

MUFGは取締役会の傘下委員会としてリスク委員会を設置しています。
リスク委員会は社外取締役を委員長とし、グループ全体のリスク管理全般に関する重要事項、グループの経営に重大な影響を及ぼすリスク、新たに発生したリスク、および高まりを見せるリスクに関する事項等について審議し、MUFGの有効なリスク管理の高度化に資するべく、取締役会に提言します。
主な活動として経営計画策定におけるリスクアペタイト(割当資本等)、ストレステストのシナリオ・結果のほか、新型コロナウイルス感染症拡大による影響、対応等について確認、審議しました。
加えて、CROは定期的にリスクの状況、リスク領域の取組について取締役会に報告しています。

リスク管理の全体像

リスクアペタイト・フレームワーク

「リスクアペタイト・フレームワーク」とは、MUFG の事業戦略・財務計画を達成するための「リスクアペタイト」(進んで引き受けようとするリスクの種類と量)を明確化し、経営管理やリスク管理を行う枠組みです。
「リスクアペタイト・フレームワーク」の導入によって、経営計画の透明性が向上し、より多くの収益機会を追求できると同時に、リスクをコントロールした経営が可能となります。

リスク・アペタイト・フレームワークの概要

リスクアペタイト・フレームワークの運営プロセス

MUFGでは、事業戦略・財務計画を策定・実施する にあたり、必要なリスクアペタイトを適正に設定するとともに、リスク量のモニタリング・分析を行っています。リスクアペタイトの設定・管理プロセスは、以下のとおりです。 リスク管理の取組み
リスクアペタイト・フレームワーク運営の実効性確保のために、経営計画策定プロセスの各段階で、割当資本制度、ストレステスト、トップリスク管理などのリスク評価・検証手法を活用します。
さらに、計画策定後も、設定されたリスクアペタイトのモニタリングを通じ、有事に迅速なアクションを取ることが可能な態勢を整えております。

リスク・アペタイトの設定・管理プロセス

統合的リスク管理の手法

MUFGでは、業務遂行から生じるさまざまなリスクを可能な限り統一的な尺度で総合的に把握・認識し、経営の安全性を確保しつつ、株主価値の極大化を追求するために、統合的リスク管理・運営を行っています。統合的リスク管理とは、リスクに見合った収益の安定的計上、資源の適正配分などを実現するための能動的なリスク管理を推進することです。
統合的リスク管理の主要な手法として、(1)割当資本制度、(2) ストレステスト、(3)トップリスク管理を採用しています。

DX推進のカギを握るデジタルリスクマネジメントの実践

日本は、国家戦略として、新たなデジタル技術や多様なデータ活用により経済発展と社会的課題の解決を両立していく「Society5.0」の実現を掲げています。また、経済産業省は2020年に「デジタルガバナンス・コード」を打ち出し、企業におけるデジタルトランスフォーメーション(Digital Transformation; 以下、「DX」という)への自主的取組みを促すとともに、経営者に求められる対応を提示しました。
対応が遅れていた日本企業のDXも、新型コロナウイルス感染症(以下、「COVID-19」という)の影響を受けて加速しつつあり、経営者はさらなる取組みとその成果が求められています。本稿では、DX推進におけるデジタルリスクマネジメントの必要性とその具体的な取組みについて、事例や考察を交えて解説します。
なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。

「Society5.0」の実現に向けて自ら変革する
企業は、デジタル技術による社会および競争環境の変化に対応し、自らを成長・発展させていくために、DX推進に取り組むことが強く求められています。

DX推進を成功させるには
「スピード・柔軟性」と「リスクコントロール(デジタルリスクマネジメント)」をバランスよく両立させることが重要です。そのためには「DXに伴い発生するリスクへの対応(Control for Digital)」と「リスク管理の仕組みのDX(Control by Digital )」の2つの側面からのアプローチが非常に有効です。

各企業でDX推進戦略を確立し、継続してDXおよびデジタルリスクマネジメントに取り組む
特に、DXおよびデジタルリスクマネジメントの基盤とも言えるデジタルガバナンスの整備と、そのための人材の育成・獲得に取り組んでいく必要があります。

経営課題としてのDX推進

1. Society5.0とデジタルガバナンス・コードの実現
日本政府は、平成28年1月「科学技術基本計画」において、目指すべき未来社会の姿として「Society5.0」を提唱しました。「Society5.0」とは、IoT、ロボット、人工知能(AI)、ビックデータ等の技術を活用してサイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決の両立を目指すものです。
「Society5.0」の実現に向けて自ら変革(DX)し新たな成長を実現する企業がある一方で、環境変化・デジタル化に上手く対応できずに既存ビジネスが伸び悩んでしまっている企業も出てきています。このような背景を受けて、経済産業省は「デジタルガバナンス・コード」を取りまとめました。これは、企業がDXへの取組みを自主的・自発的に進めることを促すものです。経営者は、継継的な企業価値の向上・成長のため、目標設定・組織整備・人材確保などを通して率先してDXに取り組むことが求められています。

2. リスク対応としてのDX推進
働き方改革における利便性・効率性を目的としたリモートワークはあまり進みませんでしたが、COVID-19というリスクへの対応を目的としてリモートワークが推奨されたことにより、半ば強制的に一部のDX(リモートワーク環境の整備やペーパーレス対応)が推進されました。急ごしらえではあるものの、遅れていた日本企業のDXを一歩進めるきっかけになったことは確かでしょう。

DX推進のためのデジタルリスクマネジメント

1. DX推進から生ずるリスク
「Society5.0」実現に向けて、あるいは外部環境の変化を1つのきっかけとしてDXが進み始めているものの、DXが期待どおりに進んでいる企業は決して多くありません。「新たな技術を活用した」「前例のない」取組みが多いこと、またビジネス環境や外部環境の目まぐるしい変化に対応しなければならないことから、多くのDX推進ではスピードと柔軟性が重視されます。一方で、これらを重視しすぎるあまり、通常の取組みであれば組み込まれているはずのコントロール(牽制や承認のための体制・プロセス、記録の取得など)が置き去りにされてしまっているケースが散見されます。コントロールの欠如は、重大事故や不正の発生、あるいはこれらの発見遅延につながりかねません。
急ごしらえのリモートワーク対応においては、「例外」「緊急対応」と称して、これまで会議体・対面・紙ベースで実施されていた確認・承認・記録というコントロールが「デジタル化」されるのではなく「省略」されてしまっているケースも見られます。また、リモートワークに伴う情報持ち出しやBYOD(業務への個人端末利用)がなし崩しに行われ、情報漏えいやコンプライアンス違反のリスクが増大しているケースも見られます。

2. デジタルリスクマネジメントの必要性と2つの側面
DX推進を成功させるためには、スピード・柔軟性を重視しつつ、バランスよくコントロールを組み込むことが不可欠です。KPMGでは、DX推進のためのリスク管理の取組みをデジタルリスクマネジメントと定義しています。デジタルリスクマネジメントには大きく2つの側面があります(図表1参照)。

【図表1】Control for Digital/Control by Digital

(1) Control for Digital
前述したような、DX推進に伴い発生するリスクをコントロールするための仕組みです。DX推進に必要なスピード・柔軟性を可能な限り阻害しないようバランスを考慮した制度設計(体制・プロセス・ルール)を行うこと、組織規模や実態に合わせた取組みとすることが重要です。一般的にトライ・アンド・エラーを繰り返すことが多いDX推進プロジェクトでは、現場の判断が重視され、大小さまざまな変更が頻繁に発生します。スピードと柔軟性を尊重しつつ、リスクの早期発見・早期対応を実現するリスクマネジメントの仕組みが求められることになります。

(2) Control by Digital
デジタルリスクマネジメントのもう1つの側面は、リスクに対しデータやデジタル技術を用いて最適なコントロールを実現する取組みです。リスクマネジメント活動のDXとも言えるでしょう。たとえば、データ・プラットフォームを構築し、社内外のさまざまなデータを自動的に収集・分析・可視化することができれば、リスク管理部門や品質管理部門が膨大なデータの中から「不正の兆候」や「不備につながる異常値」を発見することが容易になると期待できます。また、業務におけるさまざまな申請・承認プロセスのデジタル化による正確な記録取得の実現は、不正防止や内部統制強化に資すると考えます。
企業におけるDX推進を成功に導くためには、両側面からのデジタルリスクマネジメントへの取組みが非常に有用であると考えます。

デジタルリスクマネジメントの構成要素と具体的な取組み

【図表2】デジタルリスクマネジメントの構成要素

  • DXの推進により生じるさまざまなリスクを管理・監督し、リスクの多寡に応じて必要な統制を整備・運用すること
  • DX推進と並走するもの、あるいは、DXの一部として必要な仕組み

1. デジタルガバナンス
デジタルガバナンスは、DXおよびデジタルリスクマネジメントを推進するための組織体制・プロセスを整備・高度化する取組みを指します。
これからDXに取り組もうとする企業、あるいは高度化を目指す企業は、まず自社のデジタルガバナンスを確認・評価していただくことを推奨します。デジタルガバナンスは、DXおよびデジタルリスクマネジメントを支える基盤と言えるものであり、他の構成要素に取り組む場合も、デジタルガバナンスをセットで検討することが必要となるからです。全社的な組織体制・プロセスを考える場合、個々のDX推進プロジェクトの体制・プロセスを考える場合のいずれにおいても、経営者・リスク管理部門・ビジネス部門・システム部門それぞれがかかわること、役割と責任を明確にすることが求められます(図表3参照)。

【図表3】デジタルガバナンスの評価項目例

リスク管理の取組み リスク管理の取組み
ビジョン デジタル化のビジョンと事業機会・リスク認識等の共有
リスク評価 デジタル化に伴うリスク評価と対応計画の策定
デジタル活用環境 データおよびITソリューションの利活用環境や開発・運用体制およびプロセス、リスクコントロールの整備状況
デジタル人材育成 デジタル化のリスクに対する内部統制・セキュリティ・プライバシー・各種法規制等の知見やその人材育成
成果指標 デジタル化の目標、リスク指標、組織目標や人事考課等への考慮、コーポレート系部署のデジタル化目標
ガバナンス経営層のリーダーシップと担当組織(2線・3線)の機能配置

2. データマネジメント
データマネジメントは、データ分析やデータ品質管理のための環境整備、データ活用を進めるためのデータカタログ(収集・分析に活用する社内外のデータの属性や形式等を定義したもの)の整備、そしてこれらを実行するためのデータ管理体制の整備やデータ分析人材の育成等の取組みを指します。
これまでのリスクマネジメント活動では、リスク管理部門や内部監査部門が情報収集と現状把握に多くの時間を費やしてきました。現場部門と日程調整をし、ヒアリングを行い、活動記録を査閲する。サンプリングに基づき全体の統制状況を推測し、リスクを検討し、報告書としてまとめるといった作業です。
データ・プラットフォームおよびデータ分析技術を活用したリスクマネジメント活動においては、社内外の各種データを自動的に集約・集計することで、効率的・継続的な情報収集と現状把握の実現を志向します。データ処理結果を高頻度(日次・週次など)で更新・可視化することで、予実の乖離や異常値の発生有無を継続的にモニタリングし、迅速に認識できるようになります。トライ・アンド・エラーを繰り返し、頻繁に状況確認・見直し・方向転換が生じるDX推進プロジェクトにおいて、情報収集と現状把握の負荷を軽減し迅速化できることは、後続フェーズであるリスク評価への着手および意思決定の迅速化につながり、非常に有用であると考えます。
また、データ収集・分析プロセスが自動化され、時間・場所・人的リソースの制約から解放されることで、サンプリングではなく全件データに基づくリスク分析・評価が可能になります。これは、迅速かつ適切な意思決定につながると期待されます(図表4参照)。

【図表4】データ・プラットフォームの活用例

3. インターナルコントロール
インターナルコントロールは、リモートワークやペーパレスへの対応に伴う内部統制の再整備や、内部統制制度のデジタル化・自動化への取組みを指します。
前述のとおり、COVID-19への対応としてリモートワーク導入やペーパレス対応を駆け足で進めた企業が多い中で、リモートワークの実態を把握できていない、新たなリスクを認識できていない、あるいは「一時的な対応」としてリスクに目をつぶっているケースが散見されます。一方で、長期的な対応を見越して、あるいは今後も発生するであろう「従業員の出社不可」というリスクに備えて、リモートワークを新しい働き方として取り入れ、情報セキュリティルールの見直しに取り組む企業や、申請・承認プロセスの電子化(ワークフローシステムや電子署名ツールの導入など)に移行している企業も増えています。またペーパレス対応(文書のデジタル化)に加えて、文書管理システムを導入すること(文書管理のDX)で、文書の作成・承認・変更・削除といったライフサイクル管理を実現している企業もあります。

4. コンプライアンス
DXにおけるコンプライアンスは、データ利活用に伴う各種法令・規制への対応や、データ不正利用防止のための取組みを指します。
市場動向調査やマーケティング活動において、ビッグデータの活用やカスタマージャーニー分析は非常に有用ですが、顧客データの利活用にあたっては一般データ保護規則(GDPR)や個人情報の保護に関する法律をはじめとする各国プライバシー関連規制に留意する必要があります。また、ペーパレス対応の一環として国税関係帳簿書類のデータ保存を進めるにあたっては、電子帳簿保存法の要件を満たさなければなりません。企業は、コンプライアンス管理体制の中に、データ利活用に関する法令・規制の特定・改定状況のモニタリング・遵守すべき要件の周知徹底を組み込むことが求められます。

5. テクノロジーマネジメント
テクノロジーマネジメントは、サイバーセキュリティ対策全般や、新興技術の導入・活用に際してのリスク対策を指します。
たとえば、旧来のサイバーセキュリティ対策は「社外の第三者を想定した社内/社外の境界線におけるセキュリティ対策(ファイアウォールや侵入検知システム)」が重視されていました。DXの一環としてリモートワーク(モバイル端末やBYODからのリモートアクセス)やクラウドサービスの利用が促進されたことを一因として、社内/社外の境界線が曖昧になり、「ゼロトラストでのセキュリティ対策」がより強く求められるようになっています。
また、RPA導入による作業自動化は業務効率向上・生産性向上に役立ちますが、同時にRPA導入による内部統制上のリスク(たとえば、デジタルレイバーにアクセスを許可するデータ範囲や作業データの格納場所の設定不備による情報漏えい、RPA設計者の異動・退職等に伴う業務のブラックボックス化など)もあります。これらを認識し、対策を立てておくことが必要です。
新しい技術の導入・活用が多いDXの取組みにおいては、利便性/効率性の向上を目的としたテクノロジーの活用と、それにより生じるリスクへの対応の両立が不可欠です。

リスクマネジメント

azbil グループは、経営に重大な影響を与える可能性があるリスクを、部門の責任者などで構成された「総合リスク管理部会」において網羅的に洗い出しています。その上で、リスク管理担当役員を統括責任者とする「総合リスク委員会」で、特に対策が必要とみられるリスクを「azbil グループ重要リスク」に選定し、取締役会において審議・決定しています。
決定した重要リスクについては、経営会議及びazbil グループCSR 推進会議において、対策についてPDCA を回す体制を構築し、進捗状況をモニタリングするとともに、取締役会へ結果報告等を実施しています。
グループ各社では、上記に加えて各社固有の重要リスクについても取締役会で決定し、リスク軽減に向けた施策を実施しています。

azbil グループのリスクマネジメント

今後起こりうるリスク事象の影響を最小化すべく、年度ごとにリスクを慎重に見直し、「重要リスク」を選定、対策についてPDCA を回す体制を構築。進捗状況をCSR 活動の枠組みの中でモニタリングしています。
また、緊急事態・事象における「危機管理」への対応として発生した危機事象の影響を最小化すべく、「緊急重大事象管理」による対応の仕組みを強化・構築しています。更に、「事業継続管理」として具体的な各種のBCP 計画なども策定し、継続して体制強化に努めています。

リスクマネジメント

事業等のリスク

azbilグループの経営成績及び財政状態等に影響を及ぼす可能性のあるリスクは、以下のとおりです。これらのリスクについては、総合リスク委員会及び取締役会にて審議し、総合的に管理するとともに、関連部門においてリスク軽減策を講じています。文中における将来に関する事項は、2020 年度末現在において当社が判断したものです。また、これらは第99 期有価証券報告書の「事業等のリスク」に記載しており、各リスク事象の対処や評価の詳細については、同報告書をご参照ください。

リスクマネジメントとは|企業で取り組む必要性やプロセスについて

リスクマネジメントとは|企業で取り組む必要性やプロセスについて|人材育成コラム_3

リスクマネジメントとは企業で取り組む必要性やプロセスについて|人材育成コラム_4

----->

リスクマネジメントとは?その目的や、危機管理との違い


企業経営において起こり得る様々なリスクを想定し、事前に回避策や低減策を取る「トラブルの発生を防ぐ仕組み」

リスクマネジメントの必要性は高まっている

リスクマネジメントのプロセス

リスクの種類

*1 ISO31000(Riskmanagement-Principles and Guidelines:リスクマネジメントー原則及び指針)

<内部要因>
財務リスク、コンプライアンスリスク、オペレーションリスク、戦略リスクなど
例)コンプライアンスリスク
取引先である大手企業の新製品について、公表前に知った情報に基づき取引先の株式を購入した

<外部要因> リスク管理の取組み
市場・社会の変化、法改正、テクノロジーの進化、自然災害など
例)災害リスク
大規模災害の発生で通信インフラが遮断され、業務継続が困難になった

リスクマネジメントのPDCA

リスク管理の取組み
P 方針の決定、リスクの認識・評価・順位づけ、対応策の立案
D 対応策の実施
C 対応策モニタリング
A 対応策の評価・改善

リスクマネジメントのPDCAの要は「Plan」にあり

PDCAの中でも、適切なリスクマネジメントを行うために要となるのがPのプロセスです。
なかでも 「リスクの認識」 が極めて重要。なぜなら、認識できていないことにより洗い出せなかったリスクは管理する術がなく、リスクが顕在化したときに適切な対応策を検討することができないからです。それでは、どのようにプロセスを進めていけばよいかを3ステップでご紹介します。

Step1.リスクの洗い出し
このステップでは、リスクを可能な限りすべて洗い出します。洗い出しをする際のポイントは、日ごろの常識や思い込みを捨てること。「無理やりにもリスクを発見する」という意識で棚卸をしてみてください。 「ありえない・あってはならない・あたりまえ・あいまいさ」の4つの「あ」 を排除することも、リスクを認識するポイントだと、リスクマネジメント協会では提唱されています。

Step 2.リスクの評価・順位づけ
Step1で洗い出したリスクを、発生可能性と影響度の2軸で定量化します。定量化によってリスクの重大さが可視化されることで、洗い出したリスクを客観的に評価・順位づけできるようになります。

Step 3.対応策の立案
リスクを評価したうえで、対応策を検討します。「リスク対応の分類」に照らしながら検討してみましょう。

【リスク対応の分類】

  • (1)リスク回避:リスクを生じさせる要因そのものを取り除く対応方法
  • (2)リスク移転:リスクを組織外に「移転」する対応方法
  • (3)リスク低減:リスクの発生可能性を下げる、もしくはリスクが顕在化した際の影響の大きさを小さくする、
    またはそれら両方の対策を取る対応方法
  • (4)リスク保有:リスクを許容し、特別な対策を取らずに受け入れる対応方法

ここまで、リスクを可能な限りすべて洗い出し、対応策を立案することが重要であるとお伝えしました。リスクマネジメントPDCAサイクルを適切に回すためには、リスク認識・対応策の立案を行う「Plan」に8割の時間を割くべきと言われるほどですが、その後の 「Do」「Check」「Action」 がなければ「Plan」を立てた意味がありません。対応策を実行(Do)した上で、「リスクが実際に軽減したかどうか」「新たなリスクが発生していないか」「リスクの影響度は変化していないか」といった視点で見直しを行い(Check)、対応策の改善・評価(Action)を繰り返し行うことが重要です。

関連記事

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次
閉じる