戦略リスクマネジメント支援 戦略リスクマネジメント支援 戦略リスクマネジメント支援
ガバナンス・リスク・ESG観点を踏まえた中・長期経営計画策定支援
多くの企業で、中・長期経営計画を策定する際に、売上・利益などの定量的な観点に注視してしまい、社会構造変化・景気循環・技術革新・環境変化等、長周期・低確率のリスクや、ミッションや長期ビジョンに影響を与える重要リスクへの考慮が不足するケースがあります。KPMGでは、戦略策定の専門家とリスクマネジメントの専門家がタッグを組み、さまざまな知見を結集して、内在する不確実性を踏まえた中長期計画の策定を支援します。また、検討した内容の有価証券報告書やIR資料などへの事業リスクの開示向けたアドバイスも行います。
新規事業・サービス開発時のリスクレビュー・対応検討支援
新事業の開発・推進に携わる関係者は、新事業を推進する中で、様々な課題に直面します。
製品・サービスの内容や要素技術、市場や規制環境などに不確実性がある一方、リソースに制約がある中で、開発・推進の局面ごとに、効率的・安定的にリスクを捉え、新事業を支えるためのスキームの立案・運用を支援します。
海外進出・組織再編・撤退に対するリスク評価支援
新興国への進出や、事業投資判断、及びその後のモニタリングにおける、リスク観点での分析等を支援します。また、事業撤退・組織再編などにかかわるリスクの洗い出し・評価から、それを踏まえた再編アプローチの検討、実際の再編にかかわる実行計画の立案等を支援します。
グローバルサプライチェーンリスクマネジメント支援
日系グローバル企業の海外進出が広がる中、地域特性や事業・商品等の重要性、リスク状況を踏まえたグループ会社全体の組織・事業を考慮した「最適なサプライチェーンの構築と運用」が重要となります。KPMGは、グローバルサプライチェーンの脆弱性特定や強靭化に向けた対策の検討から実行までをワンストップで支援します。
サードパーティーリスクマネジメント(TPRM)支援
昨今の社会的要請や各国での法整備の進展により、ESGの視点を織り込んだサードパーティリスク管理の必要性が高まっています。ESG/SDGsの視点からのサードパーティ管理については、どの部署が主管なのか明確ではない、管理対象のサードパーティが多い等の理由から、十分に行えていないケースが大半です。KPMGでは、ESG時代に求められるサードパーティリスク管理の在り方について、現状評価を行うとともに、改善点を検討します。また、デジタルを活用し、効率的な管理体制・プロセスの構築を支援するとともに、データを活用した実効的な管理の在り方の検討を支援します。
グループガバナンス再構築支援
経営戦略を確実に実行するために、重要リスクへの対応と、突発的な危機事象への備えを整備し、不確実性の時代でのレジリエンス強化を目指すことは投資家や取引先などの各ステークホルダーに対する要求に答えるために重要な要素となります。中期経営計画を達成するために必要な「ガバナンス体制(取締役の構成、機関設計)」、「グループ会社管理体制」、「リスク管理・コンプライアンス体制」、「組織体制(業務執行体制)」、「モニタリング体制」について、問題点の洗い出しから対策の検討、実行までをワンストップで支援します。
地政学リスク対応支援サービス
COVID-19の世界経済への影響も大きく、今後はワクチンの分配状況、経済復興の速度次第で先進国市場と新興国市場の間に格差が生まれ、さまざまな政治リスクへと発展する可能性があります。
米国の大統領交代による中国との対立関係の行く末の懸念、気候変動に対する意識の高まり、など世界情勢を見据えながら事業や投資活動を実施していく日本企業にとって、地政学の視点は今や欠かせないものとなっています。各国のKPMGネットワークと連携しながら、日本企業にとってインパクトの大きな地政学リスクを中心に、最新の動向や影響を踏まえ、事業に対する影響の評価、シナリオ分析などの手法を用いて、地政学リスクによる損失の軽減や未然防止に向けた効果的・効率的な対策立案と実行を支援します。
事業ポートフォリオリスクマネジメント支援
企業に対して、”事業戦略”も含めた会社全体のリスク・機会に関する開示を求める機運が昨今高まっています。対投資家を意識した情報開示が増えれば増えるほど、企業のリスクテイクに関するスタンスに対する、投資家的視点による評価は厳しくなることが予想されます。KPMGでは、投資家がポートフォリオの構築・運用において、論的支柱としている、“現代ポートフォリオ理論”を概念的に援用し、三つの領域(「(1)将来シナリオ分析による市場環境変化の整理」、「(2)事業の機会・リスク評価」、 「(3)リスク許容度を踏まえたポートフォリオ調整判断」)における支援を行います。
オープンイノベーション(OI)活用に関するリスク管理支援 リスクマネジメント
国内大手企業による、事業戦略策定の際にオープンイノベーションを用いて事業戦略を検討する傾向が増加しています。一方でオープンイノベーションの推進には外部リソースを取り組むことが想定され、従来の事業戦略の策定時に検討するリスク以外も考慮する必要があります(例:協業企業の不祥事・倒産、コンプラ違反など)。
KPMGでは、戦略&リスクチームが協働することによって事業戦略の検討フェーズ~事業化の検討フェーズまでを一気通貫で支援します。特に推進体制の構築支援では検討・実行(協業パートナとの仲介役)にかかわる支援を行い、OI推進に伴って検討すべき、リスクの評価・対応策の検討をすることによりOIの実現可能性を向上させることが可能となります。
リスクマネジメントとは|企業で取り組む必要性やプロセスについて
----->
リスクマネジメントとは?その目的や、危機管理との違い
企業経営において起こり得る様々なリスクを想定し、事前に回避策や低減策を取る「トラブルの発生を防ぐ仕組み」 リスクマネジメント
リスクマネジメントの必要性は高まっている
リスクマネジメントのプロセス
リスクの種類
*1 ISO31000(Riskmanagement-Principles and Guidelines:リスクマネジメントー原則及び指針)
<内部要因>
財務リスク、コンプライアンスリスク、オペレーションリスク、戦略リスクなど
例)コンプライアンスリスク
取引先である大手企業の新製品について、公表前に知った情報に基づき取引先の株式を購入した
<外部要因>
市場・社会の変化、法改正、テクノロジーの進化、自然災害など
例)災害リスク
大規模災害の発生で通信インフラが遮断され、業務継続が困難になった
リスクマネジメントのPDCA
| P | 方針の決定、リスクの認識・評価・順位づけ、対応策の立案 |
|---|---|
| D | 対応策の実施 |
| C | 対応策モニタリング |
| A | 対応策の評価・改善 |
リスクマネジメントのPDCAの要は「Plan」にあり
PDCAの中でも、適切なリスクマネジメントを行うために要となるのがPのプロセスです。
なかでも 「リスクの認識」 が極めて重要。なぜなら、認識できていないことにより洗い出せなかったリスクは管理する術がなく、リスクが顕在化したときに適切な対応策を検討することができないからです。それでは、どのようにプロセスを進めていけばよいかを3ステップでご紹介します。
Step1.リスクの洗い出し
このステップでは、リスクを可能な限りすべて洗い出します。洗い出しをする際のポイントは、日ごろの常識や思い込みを捨てること。「無理やりにもリスクを発見する」という意識で棚卸をしてみてください。 「ありえない・あってはならない・あたりまえ・あいまいさ」の4つの「あ」 を排除することも、リスクを認識するポイントだと、リスクマネジメント協会では提唱されています。
Step 2.リスクの評価・順位づけ
Step1で洗い出したリスクを、発生可能性と影響度の2軸で定量化します。定量化によってリスクの重大さが可視化されることで、洗い出したリスクを客観的に評価・順位づけできるようになります。
Step 3.対応策の立案
リスクを評価したうえで、対応策を検討します。「リスク対応の分類」に照らしながら検討してみましょう。
【リスク対応の分類】
- (1)リスク回避:リスクを生じさせる要因そのものを取り除く対応方法
- (2)リスク移転:リスクを組織外に「移転」する対応方法
- (3)リスク低減:リスクの発生可能性を下げる、もしくはリスクが顕在化した際の影響の大きさを小さくする、
またはそれら両方の対策を取る対応方法 - (4)リスク保有:リスクを許容し、特別な対策を取らずに受け入れる対応方法
ここまで、リスクを可能な限りすべて洗い出し、対応策を立案することが重要であるとお伝えしました。リスクマネジメントPDCAサイクルを適切に回すためには、リスク認識・対応策の立案を行う「Plan」に8割の時間を割くべきと言われるほどですが、その後の 「Do」「Check」「Action」 がなければ「Plan」を立てた意味がありません。対応策を実行(Do)した上で、「リスクが実際に軽減したかどうか」「新たなリスクが発生していないか」「リスクの影響度は変化していないか」といった視点で見直しを行い(Check)、対応策の改善・評価(Action)を繰り返し行うことが重要です。
リスクマネジメント
気候変動をはじめとする環境課題や産業構造の変化、労働人口の減少など、サステナビリティに関する社会動向から新たなESGに関するリスクが顕在化することが考えられます。当社グループではこれらESGリスクにも経営上の重要課題として向き合います。とりわけ、エネルギーを多用する事業の性質上、気候変動への対策は重要であり、経営上のリスク・機会要因として捉えています。
この認識のもと、TCFD(気候関連財務情報開示タスクフォース)提言に沿って気候変動によるリスク・機会の分析を行い、対応策を検討しました。
これらの結果を、経営や事業、環境の各部門で認識し、適切な対応に努めています。
情報セキュリティ
旭化成グループ情報セキュリティポリシー
- 1. 法令遵守
私たちは、情報セキュリティに関連する法令・社内規程類を遵守します。 - 2. 体制整備
私たちは、組織的に情報セキュリティを確保するため、情報セキュリティに関する体制を整備します。 - 3. 対策実施
私たちは、情報セキュリティ事故を未然に防ぐため、情報資産に応じた適切な情報セキュリティ対策を実施します。万一、事故が発生した場合は、迅速かつ的確に対応し、被害の最小化と再発防止に努めます。 - 4. 従業員教育
私たちは、全従業員が情報セキュリティの重要性を認識し、情報資産を正しく利用するため、全従業員に対して情報セキュリティ教育を実施します。 - 5. 継続的改善
私たちは、継続的に情報セキュリティを確保するため、情報セキュリティに関する取り組みを点検し、必要に応じて改善します。
情報セキュリティに関する受付窓口
個人情報の保護
情報セキュリティハンドブック
EU一般データ保護規則(GDPR)への対応
2018年5月施行のEUにおける「一般データ保護規則(General Data Protection Regulation : GDPR)」に対応するため、新たに「グループ個人情報管理細則」を定め、必要な基準と体制を整備しています。
内部監査人向け「リスクマネジメント入門」と「監査」のポイント
災害、事件や不祥事等によって企業活動に影響を受けるのを避けて通る事はできません。
今まで、地震や台風等により企業活動に影響があった会社も多かったのではないかと思います。 リスクマネジメント リスクマネジメント
自然災害は完全にコントロールすることは難しいですが、何もしないというわけにもいきません。
特に東日本大震災後、BCPを策定する会社が増えました。
BCPとは事業継続計画 (Business Continuity Plan)の頭文字を取った言葉です。
企業が、ある危機的状況下に置かれた場合でも、重要な業務が継続できる方策を用意し、生き延びることができるようにしておくための戦略 のことですが、危機的状況とはテロや、システム障害や不祥事といったものから災害も含まれます。 リスクマネジメント
特に災害はいつどこで起こるかわかりません。日本中で地震が起こるリスクがあり、予測の技術も確立されていません。また、被害が出るような大きな台風や大雨等も毎年のように発生しています。 会社としてこれらのリスクに立ち向かわなければなりません。
リスクに立ち向かうためには、BCPのように 「リスク」をできる限りコントロールして、被害を抑えるような対応をとる必要があります。
これを「リスクマネジメントと呼びます。内部監査部門としては会社が「リスクマネジメント」を行っているか監査することになりますが、「リスクマネジメント」を理解しなければ監査はできませんので、まず、リスクマネジメントの流れを確認しましょう。
リスクマネジメントの流れ(特定・分析)
では、具体的に内部監査部門としては何をすべきかですが、上記の「リスクマネジメント」を会社として行っているか注目すべきです。監査するためには「リスクマネジメント」の進め方を理解しておくべきです。
今回は災害という切り口で具体的に「リスクマネジメント」をどのように進めるのか見てみましょう。
■特定
リスクマネジメント まずリスクの特定が必要です。リスクの特定とは、リスクを発見する作業 となります。
会社にとって起こる可能性が0%の災害リスクは考慮する必要はありませんが、今までの自社での災害に伴う影響や、他社で発生した事例、拠点の場所の発生可能性等色々な情報・色々な部署からの情報をもとに 発生可能性のある災害リスクを一旦、すべて項目化 していきます。
■分析
リスクの特定で洗い出された各種リスクを、その「影響の大きさ」と「発生確率」の両面から分析・算定します。
分析・算定方法は、一般的には「影響の大きさ」×「発生確率」という計算式で算出します。
「影響の大きさ」としては、その災害が発生した場合の会社の損失額、一方「発生確率」は年間発生する回数を掛け合わせることにより、算出することができます。
「影響の大きさ」が小さければ問題が小さいとは一概に言えません。「影響の大きさ」が小さくても「発生回数」が年に何回も発生する可能性があるのであれば問題が大きいと言えます。
例えば、台風が来て発生する損害が小さい場合であっても日本中に拠点があると、被害が出る可能性が高まり、発生回数が増えます。その場合、問題が大きいとなる場合もあります。
このように、会社が営んでいる事業、規模、拠点数によっても大きく異なることになりますので、しっかりとした分析が必要です。
リスクマネジメントの流れ(評価・対応)
■評価
分析の次は「リスク評価」 となります。
もし、分析した順番で「リスクの対応」をした場合、優先すべき項目が後回しになり、問題が大きくなる可能性があります。
そうならないため、 リスクマネジメントの本来の目的である「リスク対応」に進む前に大事なリスクを絞り込み、優先順位を付けて処理する必要があります。
「リスク評価」の具体的な方法としては、表に分析結果を入れ、優先順位が決めれるように「見える化」 します。
以下の表が一例です。このような表を利用し評価を行い優先順位を明確にします。
■対応
「リスク分析」から得た「リスク評価」を基に、正しい対応方法を定めて実施することを「リスク対応」 といいます。
具体的な対応策はいくつかありますが、一番多いのは 「リスクの軽減」 です。
影響度や発生可能性の軽減のための対策を行います。リスクを0にすることはできませんが、軽減することは可能です。例えば、レンタルサーバ提供サービスを事業としている会社がデータセンターを建設する場合、振動に弱いサーバーのために、できるだけ地震の発生が少ない土地に建設するということも「リスクの軽減」ということになります。
他にも対応策として 「リスクの移転」 というものがあります。保有するリスクを外部に委託、または保険等によって、委託先やサプライヤーにリスクを移転させるということです。
このように、 リスクマネジメントは リスクを特定・分析・評価・対応する一連の流れのことを言います。
今回は災害という切り口で見ましたが、他の要素についても基本的に同じ流れになります。
リスクマネジメントについての監査方法
リスクマネジメントは、継続的に行うことが重要です。リスクはその時々で変化していきますので継続して行わないと、無意味なものになる可能性もあります。
災害で大きな損害を被った事例のその後を見ると、対策が風化していた、見直しがされておらず問題が大きくなったといった指摘が多く聞かれます。
そのような事態にならないように、 内部監査部門としては、会社としてリスクマネジメントがうまく機能しているか監査する必要 があります。
上記の リスクマネジメントに必要な「特定」「分析」「評価」「対応」が適切に実施されているかを確認 しなければなりません。
「リスクマネジメント」は一部の人間がすることではなく、会社全体で対応すべきであり会社として「特定」「分析」「評価」「対応」したという証跡も残すべきです。
リスクマネジメントの監査の具体的な項目としては、以下になります。
・リスクマネジメント体制の確認
監査例:社長をトップとした部署横断する「リスクマネジメント委員会」等の設置の確認。
リスクマネジメントに関する規程の整備状況の確認
・リスクマネジメントを行っていることがわかる資料の確認
監査例:リスク評価資料の確認。リスクマネジメント委員会の議事録の作成状況と内容の確認。
・「特定」「分析」「評価」の後の「対応」の確認
監査例:リスクマネジメントの対応策が現場に周知されているか。また、その対応策の実施状況の確認。
現場でのリスクマネジメントに対する意識の浸透度の確認。
・リスクマネジメントの継続的実施の確認
監査例:定期的なリスク評価資料の更新の有無。(新たなリスクの検討・現在認識しているリスクの再評価等)
今回は災害を例に「リスクマネジメント」の流れの解説と「リスクマネジメント」の監査ポイントをお伝えいたしました。
増々、企業は「リスクマネジメント」を行うことが求められています。そして、内部監査部門としては会社全体にかかわり監査しづらいテーマでありますが、「リスクマネジメント」について理解できれば監査はできると思いますのでぜひ参考にしていただき、監査につなげていただきたいと思います。
リスクマネジメントとは
「リスク」をできる限りコントロールして、被害を抑えるような対応をとること
「リスクマネジメント」の流れとしては「リスクの特定」→「リスクの分析」→「リスクの評価」→「リスクの対応」
リスクマネジメントの流れ
①特定
会社で発生するリスクを発見し、一覧化する。
②分析
洗い出された各種リスクを、その「影響の大きさ」と「発生確率」の両面から分析・算定する。
③評価
「リスク対応」に進む前に大事なリスクを絞り込み、優先順位を付ける。
④対応
「リスク分析」から得た「リスク評価」を基に、正しい対応方法を定めて実施する。
リスクマネジメントに対する監査ポイント
・リスクマネジメント体制の確認
・リスクマネジメントを行っていることがわかる資料の確認
・「特定」「分析」「評価」の後の「対応」の確認
・リスクマネジメントの継続的実施の確認
企業は「リスクマネジメントを行うことが求められている。
そして、内部監査部門としては会社全体にかかわり監査しづらいテーマだが、「リスクマネジメント」について理解できれば監査は可能である。
リスクマネジメント
大きな災害や事故で被害を受けても重要業務を中断しないこと、万が一、中断しても可能な限り短い期間で再開することは、企業としての重要な責任です。この認識のもと、コニカミノルタは、ワールドワイドに、かつサプライチェーン ※ を含めた視点から、この課題に取り組んでいます。
コニカミノルタでは、具体的な行動計画などをまとめた「事業継続計画(BCP:Business Continuity Plan)」を主要事業である情報機器事業、被災時のニーズの高い医療機器をはじめとして各事業部門・子会社が策定するとともに、災害発生直後に被害状況などを情報収集してBCP発動の要否を判断する「初動体制」を整備しています。
具体的には、日本における大規模な地震発生時にもお客様にご迷惑をかけないよう、消耗品、製品の供給をできるだけ継続すること、また既存のお客様へのサポート業務を継続することを基本的な方針としています。そのために、主要な消耗品の生産拠点を分散するほか、調達先についてもリスク評価を行い、リスクの大きい基幹部品については、代替手段や在庫の確保を進め、事業継続体制のレベルアップに努めています。また、コールセンターは東日本地域と西日本地域で相互にバックアップする仕組みとし、どちらかが被災した場合にもサポート対応を継続できるようにしております。その他にも、新型インフルエンザなどの感染症流行時の対応にも取り組んでいます。さらに、こうしたBCMの質を高めていくために、さまざまな訓練を実施しています。
発生したクライシスへの対応とBCMの強化
2011年3月11日に発生した東日本大震災では、グループの主要拠点に大きな被害はなく、本格的なBCPの発動には至りませんでしたが、発災後1カ月間は毎朝、コニカミノルタ(株)の代表執行役社長が主催する地震対策会議を実施し、グループの視点での情報収集および適宜、適切な指示、統一的な情報発信を継続しました。その後、いつどこで起こるかわからない大災害に備えて、現場の実践力向上の取り組みを推進しています。
具体的には、グループ全拠点の初動対応マニュアルを、混乱期や、夜間休日にも確実に動けるよう見直し、実践訓練で有効性を検証、マニュアルをさらに改善するPDCAを回しています。
大規模地震の発生時には、東京都千代田区丸の内の本社が災害対策本部となり、代表執行役社長を本部長として7つの班が、迅速な初動対応にあたる体制を構築しています。この体制の検証のため、年に1回、経営トップを含め、本社の災害対策本部と、被災想定の各拠点とを結び、災害対策本部が速やかに被災状況を把握、対応を判断、意思決定するグループ一斉防災訓練を実施しており、2020年11月には、首都直下地震が発生したと想定して、関西に対策本部を立ち上げる訓練を行いました。
また、災害時の情報共有ツールとして、国内コニカミノルタグループ全拠点の被災状況をマップ化し、被害全容を把握できる「緊急時情報データベースシステム」、従業員と家族の安否を集約する「安否確認システム」を整備しており、夜間休日などの緊急時の情報共有ツールとしての社内SNS活用も整備、これら防災ICTにより、初動段階からBCP段階の円滑な対応をサポートしています。2018年6月に発生した大阪北部地震では、実際にこれらICTツールを活用、初動の情報共有に有効であることを確認できました。
このほか、2013年4月に施行された東京都条例に基づき、防災備品の拡充、帰宅困難者対策の強化などにも対応しています。
2020年1月からは、新型コロナウイルスの感染拡大を受け、中国の生産拠点を中心として危機管理体制を構築して全社的な対応を開始。その後、3月は欧米販社・生産会社、4月以降は日本拠点と対象を広げ、従業員対応、事業継続対応を行いました。
コメント