リスクコントロール手法

リスクコントロール手法

事業リスクマネジメント学習支 援教材

ティーチングノート

事業リスクマネジメント手法編　 NO. ３

2

リスクコントロールの代表的なパターン（回避、予防、低減、分離等）と、その 　メリット、デメリットについて理解する

具体的なリスクコントロール手段とその特徴を知り、選択のスキルを身につける

リスクコントロールの代表的なパターン（回避、予防、低減、分離等）と、その 　メリット、デメリットについて理解する

具体的なリスクコントロール手段とその特徴を知り、選択のスキルを身につける

　学習にあたって

学習のポイント 学習のポイント

リスクを管理する異なる手法（保持、処理、移転、．．）について理解し、 　どのような時に適用が適当かを説明できる

与えられたシナリオの中で、同定されたリスクを取ったときの対処手段を提案できる

リスクコントロール手法の種類および効果について説明できる

コントロール手法の評価を確認するための測定方法について説明できる

リスクを管理する異なる手法（保持、処理、移転、．．）について理解し、 　どのような時に適用が適当かを説明できる

与えられたシナリオの中で、同定されたリスクを取ったときの対処手段を提案できる

リスクコントロール手法の種類および効果について説明できる

コントロール手法の評価を確認するための測定方法について説明できる

学習するスキル内容 学習するスキル内容

第５章１節です。 第５章１節です。 基本テキストで対応しているのは：

基本テキストで対応しているのは：

3

　　　目　　　次

１．リスクコントロールの概念　　　　 ・・・・・ ３ ２．事業中断リスクのケース ・・・・・ ９ ３．新規事業リスクのケース ・・・・・ １５ ４．情報セキュリティーのケース ・・・・・ ２１ ５．コンプライアンスについて ・・・・・ ２５

６．まとめ ・・・・・ ２９

本ノートについて：

本ティーチングノートは、平成１５年１２月に開催された

「事業リスク評価・管理人材育成システム開発事業」実証プログラムにおける 株式会社インターリスク総研　府川均氏のご講義

「リスクコントロール手法」

の内容を学習支援用教材に再編集したものです。挿入されております 図表等も原則として講師に提供していただいたものです。

4

１．リスクコントロールの概念

（１）リスク処理（リスク対策）の手法

　 ^{・　リスクの回避}

　　・　損害の予防 　　・　損害の低減 　　・　リスクの分離 　　・　リスクの移転

リスクコントロール

　・　リスクの保有 　

　・　リスクの転嫁

リスクファイナンシング

事前策 事後策

機能的分類 時間的分類

新たな対策を講じるべきリスクへの

対処

5

１．リスクコントロールの概念

（２）リスクの回避

リスクの回避

　　　　　～リスクの発生そのものを回避する～

・「リスクにさらされている人、モノ、事業等に一切関係し ない」

「リスクとの関係がなくなるようリスクそのものを排除、 除去する」

・リスクの回避ができないものや、リスクを積極的にとるべ きものもある

　　　　年間の純利益 100 億円　 VS 　 10 ％確率で 1,000 億円のロス

・回避策を講じると、別のリスクが発生することも

6

１．リスクコントロールの概念

（３）損害の予防

損害の予防

　　　　　～リスクが発生する可能性を低減す

る～

・損害が発生する「可能性（発生頻度）」を少なくすること

・個々のリスクの「損害発生プロセス」の理解が必要 　　　→リスク共通の視点は、

　　　　　　　①組織的対策

　　　　　　　②設備的対策（フェイルセーフ、フールプル ーフ）

　　　　　　　③スタッフのマインド 　　　　　　　④社会・外部環境　など

・事例データベースによるリスク感性の向上

7

１．リスクコントロールの概念

（４）損害の低減

損害の低減

　　　　　～リスクによる損失を低減・極小化す

る～

・リスクの回避を行わない限り、リスクをゼロにする（発生 可能性をゼロにする）ことは不可能

　　　→万一リスクが顕在化した（事故が発生した）際に、 損失をできる

　　　　限り小規模に止めるための「損害規模」の低減策

・「事前策」と「事後策」の双方の検討

・但し、事前策と事後策は表裏一体

・「危機管理」は、損害の低減を体系立てて行うマネジメン ト手法

8

１．リスクコントロールの概念

（５）リスクの分離

リスクの分離

　　　　　～リスクを２以上のユニットに分け

る～

・「１つのバスケットに２つの卵を入れない」

・「リスクの区分」と「純粋バックアップ」

　　例）病院で、常時６台の救急車がフル稼働する必要があ るとき、　　　　　　①７台保有し、常時使用する　　　　　　　→ リスクの区分

　　　　　　②６台をフル稼働させ、１台はストック　 →純 粋バックアップ

・一定のコストを有する点に留意

　　　→「リスクの集約」「リスクの中和」も

9

１．リスクコントロールの概念

（６）リスクの移転

リスクの移転

　　　　　～他社との契約を通じてリスクそのものを移

転する～

のものを他者に移転するもの

・似た概念として、経済的損失を他社に転嫁する「リスクの転 嫁」もあり

・代表的なものとして「リース契約」「業務の外部委託」など

・いずれも、契約上で責任関係を明確にする必要あり

Ａ

Ｂ Ｃ

Ｄ

　^規模

頻 度

低 小 高

大

　^{低減 分離､}

　^{低減 分離､}

予 防

予

防 　^{回避 移､}

転

Ａ：リスクコントロール

Ｂ：リスクコントロール（低減・分離 中心）、　及び保険を中心としたリス ク転嫁

Ｃ：リスクコントロール（予防中心）

、及び　　保有と保険の組み合わせ Ｄ：保有中心

Ａ：リスクコントロール

Ｂ：リスクコントロール（低減・分離 中心）、　及び保険を中心としたリス ク転嫁

Ｃ：リスクコントロール（予防中心）

、及び　　保有と保険の組み合わせ Ｄ：保有中心

10

２．事業中断リスクのケース

（１）最近のトレンド

企業経営のキーワード

・企業の社会的責任（ＣＳＲ）

・持続的な価値創造（ Sustainabilit y ）

・経営破綻リスク情報の開示

　　　→ Going Concern 規定　　　など

巨大リスクの顕在化

・災害、テロ

・情報システム障害

・取引先の事故、原材料供給の途絶　 など

「緊急時対応計画（ＣＰ）」から 　　　　「事業継続計画（ＢＣ Ｍ）」へ

11

２．事業中断リスクのケース

（２）事業継続計画の開発

事業継続計画開発の要素

• 事業復旧を計画運用する組織

• 復旧のための場所

• 代替の通信回線等

• データやレコードのバックアップと復旧

• 保存場所

• 復旧活動

• 作業及び手順　　　など

・事業継続計画は、経営層によって承認されたものであることが必 要。

・その前提となる事業インパクト分析の実施、復旧に関する基本戦 略の決定、

　資金計画　についても経営層の承認・決定が必要。

・その他、

12

２．事業中断リスクのケース

（３）事業インパクト分析

目的は、「事業継続にあたってのボトルネック

の特定」

（ここがストップしたら事業継続に著しい悪影響が出るポイント）

Step _{１：事業の分類}

Step _{２：事業の重要性評価}

Step ３：重要性の高い事業の特定、フロー化

Step ４：事業の裏に潜むリスク要因の抽出、

　　　　　　　重点対応ポ

イントの特定

13

２．事業中断リスクのケース

（４）予防策

予防策のポイント

・前提となるリスク事象の処理策の検討・実施 　　　例）火災・爆発リスク

　　　　　－出火・爆発要素の管理

　　　　　　　（可燃物、危険物・可燃性ガス、電気設備、溶接溶 断、煙草、

　　　　　　　外部犯罪等）

　　　　　－延焼拡大要素の低減（防火区画、延焼媒体、施設間距 離）

　　　　　－消火能力の確保（自動・手動消火設備）

　　　　　－防災・安全状況（消防体制、防火・避難訓練）　など 　　地震リスク

　　　　　－施設耐震性強化 　　　　　－設備の固定

　　　　　－高積禁止措置の徹底、ガラスの飛散防止

　　　　　－重要な記録の洗い出しと保存、バックアップ　など

14

２．事業中断リスクのケース

（５）事業継続フェーズ

事業継続の各フェーズにおけるポイント 業務再開フェーズ

　　・最優先業務の再開

　　・緊急性は、「財務的影響度」「ブランドイメージ失 墜」「シェア

　　　喪失」「顧客との関係悪化」等の観点から判断

業務回復フェーズ

　　・次に優先順位の高い業務の再開

　　・この段階ではまだ臨時的な体制・施設での業務遂行

全面復旧フェーズ

　　・全業務の再開

　　・被災前より優れた拠点構築を目指す場合もある

必要な人、物、 金、情報の確保

15

３．新規事業リスクのケース

（１）事例企業（Ａ社）のリスク認識

• 新規事業は企業の継続的な発展に不可欠なもの。

• しかし、新規事業は既存事業に比べて、不確実性が高い。

• 従って、新規事業の検討段階において適切なリスク評価を行 い、また、継続的なモニタリングを行うことが重要。

• 一方、新規事業はその核となる技術の専門性や秘匿性などを 有するため、誰にでもその目利きができるものではない。

• 従って、新たな管理ルールの創設により、評価の客観化・標 準化を行い、リスクの軽減を図る。

16

３．新規事業リスクのケース

（２）新規事業の定義と損失形態

「新規事業」とは

– 通常のビジネスモデルで展開可能な新規商材の取扱い等は対 象外。

– 新規のアイディア・技術をもとにした新たなビジネス・モ デルの開発や、既存の事業形態とは異なる事業形態への進出 を指す。

出資の場合 投資の場合

機会損失 資金 _{○ ○}

人材 _{× ○}

投入資金の喪失 _{○ ○}

賠償責任 株主責任 _{○ △}

業務上の責任 _{× ○}

知的財産権侵害 _{× ○}

雇用者責任 _{× ○}

既存事業への影響 _{△ △}

社会的信用 対株主 _{○ ○}

対一般消費者・社会一般 _{△ ○}

○ ：影響あり △ ：影響がある可能性がある× ：影響なし

新規事業に内在する損失形態

17

３．新規事業リスクのケース

（３）リスク管理体制

管理体制・仕組みの現状と課題

• 新規事業を持ち込まれた各事業部で検討

• 各事業部での検討の後、ＣＥＯ・ＣＯＯの内諾を得て社内稟議

• 出資金額の上限金額はなく、個別に判断

• 出資後の進捗状況報告のルールはなく、ラインでの報告は都 度実施

• 撤退判断の基準が不明確

① 担当者・事業部により検討の仕方に差がある。

② 評価部門によるチェック機能が存在していない

。

③ 進捗状況の検証・撤退の統一基準がない。

18

３．新規事業リスクのケース

（４）事業評価ステップ

Step 1: 事業プランの策定

Step 2: 新規事業推進部門での検討

Step 3: 新規事業評価部門でのチェック

　　　　　→事業リスク、定性リスク評価 　　　　　→ＮＰＶによる投資回収年の確認 　　　　　→経営指標分析

Step 4: 稟議

Step 5: 新規事業検証（モニタリング）

　　　　　→評価部門の定期的モニタリング

　　　　　→著しく悪化している場合には撤退・継続を判 断

Step 6: 撤退

19

３．新規事業リスクのケース

（５）事業評価チェックリスト

実現性 技術的実現性 災害・事故 環境汚染

市場的実現性 情報 機密情報漏洩

競争優位性 技術的競合性 社外対応 販売先・提携先の倒産

市場的競合性 金融機関の破綻・倒産

優位持続性 技術的優位持続性 法務 知的所有権の侵害・被侵害

市場的優位持続性 契約の不備による不利益

市場性 市場規模 その他 届出等の不備

市場の成長性 応用展開性 市場獲得性 人材 経営者の資質

幹部の資質 経営企画力 販売力

事務管理能力 労使関係の安定性

新規事業評価部門でのチェックリスト

事業リスク評価 定性リスク評価

20

３．新規事業リスクのケース

（６）経営指標分析の評価基準例

ランク E D C B A

出資 投資 評価 1 2 3 4 5

総資本経常利益率 a 10 15

売上高経常利益率 b 5 10

売上高営業利益率 c 5 5

売上高総利益率 ^{d 5 5}

総合 W 25 35 出資

( a + b + c +d ) _投資

自己資本率 e 5 -

固定比率 ^{f 5 -}

固定長期適合率 g 5 -

流動比率 ^{h 5 -}

当座比率 I 5 -

売上高支払利息比率 ^{j 5 -}

総合 X 30 - 出資

( e + f + g + h + I + j ) _投資

総資本回転率 ^{k 10 15}

従業員１人当たり月平均売上高l 10 15 従業員１人当たり月平均人件費o ^{10 15}

総合 Y 30 45 出資

( k + l + m + n + o ) _投資

前期比売上高増加率 p 5 10

前期比総利益増加率 ^{r 10 10}

総合 Z 15 20 出資

( p + q +r ) _投資

100 100 満点

経営指標分析・評価基準

効率 性

成長 性

( W + X + Y + Z )総合評価 評価項目

収益 性

健全 性

21

４．情報セキュリティーのケース

（１）マネジメントシステムの全体像

維持のため の仕組み

•_{啓発・訓練・教育}

•_{インシデント情報} の収集・整理

•_監査、等

維持のため の仕組み

•_{啓発・訓練・教育}

•_{インシデント情報} の収集・整理

•_監査、等

•_{ポリシー策定}

•情報資産の洗出・価値評価

•脅威・脆弱性の洗出・評価

•_{リスクアセスメント}

•_{リスク対応}

•_{リスク管理策の策定}

•_文書化

ＢＳ7799-2

ISMS_の 構築

参考

ＢＳ7799-2 (_{付属書Ａ)} ＩＳＯ/ＩＥＣ17799

•_{人的セキュリティ}

•_{物理セキュリティ}

•_{技術セキュリティ}

•_{事業継続計画}

•_{コンプライアンス}

参考 ＢＳ7799-2 (_{付属書Ａ)} ＩＳＯ/ＩＥＣ17799

•_{人的セキュリティ}

•_{物理セキュリティ}

•_{技術セキュリティ}

•_{事業継続計画}

•_{コンプライアンス}

参考

→ → → →

計画 実施 見直し 是正

22

４．情報セキュリティーのケース

（２）典型的なリスクシナリオの例　

先行事象

１．人為的なもの　　　　　　２．人為的で ないもの

　①内部（犯罪）　　　　　 　　①内因（故 障、バグ）　　　

　②外部（犯罪、ｳｨﾙｽ等）　 ②外因（自然災 害等）

　③過失

事故形態 １．データの消失・破損 ２．データの流出

３．機器破壊、故障 ４．機器盗難、紛失

５．運用ミスによるシステム停 止

企業損失 １．直接的な経済的損失

　　①データ、システム復旧費用 　

　　②損害賠償金　等 ２．間接的損失

　　①事業中断（機会利益喪失） 　　②取引先等からの信用失墜　 等

情報資産

１．ハード　　　　　　　２．ソフト（紙

、電子媒体）

　・サーバー　　　　　 　・経営情報　 　　

　・ストレージ装置　　 ・技術情報 　・回線・通信装置　　 ・製品情報 　・パソコン．．．　　　　・物流情 報．．．

情報資産

１．ハード　　　　　　　２．ソフト（紙

、電子媒体）

　・サーバー　　　　　 　・経営情報　 　　

　・ストレージ装置　　 ・技術情報 　・回線・通信装置　　 ・製品情報 　・パソコン．．．　　　　・物流情 報．．．

リスク分析は、

　　「資産」「脅威」

「脆弱性」

23

４．情報セキュリティーのケース

（３）情報漏洩防止対策の基準例（その１）

大分類 中分類 文書名称（例） 主な取扱者 重要度 保管期間 経営方針関連 中長期経営計画

執行役員会資料 議事録

営業成績管理表

　Ａ

内部監査関連 監査報告書 Ａ

１．経営情報

ﾌﾟﾛｼﾞｪｸﾄ関連 　Ａ

決算関連 経理月報

計算書類 会計帳簿

Ａ ２．経理情報

税金関連 法人税・地方税 　Ｂ

売掛金情報

　　（与信関連） ^Ｂ

個別取引情報

（単価・支払条件） ^{納品書 　Ａ}

３．顧客固有情報

基礎情報 業務日報 Ｂ

・

・

・

・

・

・

・

・

・

・

・

・

・

・

・

・

・

・

機密情報の重要度分類

24

４．情報セキュリティーのケース

（４）情報漏洩防止対策の基準例（その２） 

重要度 Ａ Ｂ Ｃ

文書管理規程上 「極秘」と区分 「秘」と区分 「社外秘」と区分 作成時の注意点

　＜表示＞ 「極秘」と表示 「秘」と表示 「社外秘」と表示 　＜閲覧できる者＞ １． 限られた従業員

（主担当及び

　　　担当部門責任者） ２． 権限をもつ役員 　（執行役員など）

知る必要のある従業員 全従業員

使用上の注意点

　＜机上での取扱＞ 机上放置厳禁 机上放置注意

（裏を向けて置く等） ^－

　＜携行・持出し＞ 携行禁止 携行時注意 社外持出禁止

　＜コピー＞ 原則禁止 限定的に実施

（管理体制整備）

－

　＜電子ﾒｰﾙの利用＞

＜社内便の利用＞

「親展」扱 原則 TO のみ（CC ×は ）

原則禁止

「親展」扱 受領証の準備

－

－

　＜社外への郵便＞ 原則禁止 書留必須 注意

保管上の注意点 施錠必須 施錠有が望ましい 現場単位にて管理 廃棄時の注意点 責任者の立会のもと

　　シュレッダー処理

シュレッダー処理 廃棄箱

重要度別の管理基準例

情報管理責任者 のもと遵守徹底

25

５．コンプライアンスについて

（１）コンプライアンスの定義

語　源

　　「コンプライアンス」「Ｃｏｍｐｌｉａｎｃｅ」　＝　「（要求・命令など に対する）応諾・追従」

企業経営における「コンプライアンス」の定義

　　「企業が株主の利益の最大化を追求し、あるいは顧客等に製品やサ ービスを提供する過程で行う様々な事業活動が、社会一般に求められ る『ルール』に準拠していること」

　対象とする主なルールとは．．．

　　　　独占禁止法、証券取引法、商法、労働基準法、製造物責任法、刑法、民法

、

　　　　男女雇用機会均等法、知的財産権関連法、各事業法、 　　　　就業規則を始めとする社内規程．．．

26

５．コンプライアンスについて

（２）取組み手順

＜取組のステップ＞

ＳＴＥＰ１．経営トップの意思決定

ＳＴＥＰ２．プロジェクトチームの編成と基盤整備 ＳＴＥＰ３．コンプライアンス体制構築の検討 ＳＴＥＰ４．コンプライアンスマニュアル策定

ＳＴＥＰ５．コンプライアンスプログラム策定 ＳＴＥＰ６．周知徹底

ＳＴＥＰ７．検証・見直し

＜ビジョン＞

○長期的な視野に立った年間 　取組計画に基づき、施策を 　着実に推進

○全役職員が取組の必要性・ 　重要性を理解

　（リーガルマインドが醸成）

○不祥事等が発覚した際に、 予め定められた対応手順に 　沿い的確な対応が可能

＜ビジョン＞

○長期的な視野に立った年間 　取組計画に基づき、施策を 　着実に推進

○全役職員が取組の必要性・ 　重要性を理解

　（リーガルマインドが醸成）

○不祥事等が発覚した際に、 予め定められた対応手順に 　沿い的確な対応が可能 組織

ルールしくみ 教育^ひと

27

５．コンプライアンスについて

（３）組織体制の例 

　・コンプライアンス委員会

　・コンプライアンス統括部（委員会事務局） 　・コンプライアンス・オフィサー

　・１次チェック、２次チェック、３次チェックの仕組み 　・危機発生時の対応体制

28

５．コンプライアンスについて

（４）取り組みの例

① しくみ、規則

１）役職員行動規範

　　人権尊重、公正取引、環境保護、国際ルール遵守、情報管理、インサイ ダー取引禁止、社会常識を踏まえた贈答・接待、反社会的勢力への毅然と した対応、

　　社員の基本的心構え．．．

２）企業倫理ヘルプライン（スピークアップ制度、内部通報制度）

　　窓口：コンプライアンス推進部（委員会事務局）／社外弁護士いずれも 　　手段：ＴＥＬ、ＦＡＸ、Ｅメール、その他可

３）社内専用ホームページ

　　役職員行動規範、ガイドブック、コンプラ関連資料、ケーススタディ、 Ｑ＆Ａ等を掲載

② ひと・教育

１）役職員行動規範の周知徹底

　冊子＆ポケット簡易版を全役員、正社員、嘱託、派遣社員に配布 ２）各種社内セミナー実施

　○社内定期教育研修プログラムへの組み込み 　○個別セミナーの実施

29

６．まとめ

（１）リスクコントロールに必要な要素

① 体制の構築

② 目指すべきゴールの明確化

③ フェーズ別スケジュール策定・進捗管理

④ トップの関与

⑤ 分析・評価に基づく優先順位の設定

⑥ 管理ルールの再構築

⑦ リスク情報の伝達・管理・共有化・社外開示

⑧ 現業部門への徹底、マインド向上

⑨ セルフ監査、監査部門監査

⑩ 危機管理システムの再構築

（２）企業リスクの一般特性と基本対応スタンス

① 外来型リスクと内部要因型リスク

② 組織ぐるみの不正行為・隠蔽は社会的非難の格好の対象に

③ 悪しき慣行

④ 管理職の方々が自ら当事者能力を

⑤ リスクが顕在化する前の予兆

⑥ 何を優先するか／まず何をするか

⑦ ヒトによるリスクの土壌