1. はじめに
昨今、日本では大型台風や巨大地震による被害やサイバー攻撃による情報漏えいなど、自然災害や犯罪による被害が相次いでおり、中小企業が事業活動を営む上でこれらのリスクに適切に対処することが求められています。
また、新型コロナウイルス感染症の流行により在宅勤務が増加していることや、2022年4月のパワハラ防止法(※1)の中小企業への義務化等、事業環境の変化によりサイバーリスク・労務リスク等の新たなリスクも増加していると考えられています。
しかしながら、中小企業のリスク認識はまだ十分ではないと言われています。
例えば、『サイバー攻撃などは大企業などが狙われるもので、中小企業はターゲットにならない』という思い込みが多いことから十分な対策が行われていないケースが多くありますが、実際には中小企業ほどサイバー攻撃の対象とされやすいのが実態です。具体的には、セキュリティ対策が不十分な中小企業のパソコンをウイルスに感染させたあとに、取引先の大企業等に攻撃を仕掛けるという「踏み台攻撃」というサイバー攻撃が多くなっています。このようなケースで取引先に損害を与えてしまった場合、自社にも賠償責任が発生することに加え、最悪の場合、取引が停止されるという自体に陥ってしまうこともありえます。
このように、「リスク」というものは数多く存在しています。
事業活動を行う上での「ヒト」、「モノ」、「カネ」、「情報」という重要な会社の資源を、万が一の事故から守るための計画を立てることをリスクマネジメントといいます。
リスクマネジメントはすぐに効果が見えるものではないため、後回しにされがちですが、万が一の際、少しでも早く解決することが求められるため、日頃からリスクマネジメントの内容を実践し、事業環境の変化に合わせて見直していくことが大切になります。
2. リスクの処理手段について
それでは、具体的にリスクマネジメントの計画をどのように立てていくかについてご説明します。
リスクマネジメントは、リスクの処理手段によって、リスク・コントロールとリスク・ファイナンシングに分けることができます。リスク・コントロールとは、事前予防を行い、事故の防止や軽減を目的とした各種手段のことをさします。一方で、リスク・ファイナンシングとは、事故が発生した際の損害に対して、資金を用意しておくことをさします。
リスク・コントロールは大きく2つの方法があります。
1つめは「リスクの回避」です。リスクの回避とは、そもそも事故が起こらないように危ないことはしないということになります。例えば、飲食店が火災を発生させないために、火を使用する料理の提供を控えるというのがリスクの回避です。しかしながら、リスクの回避は別のリスクが発生してしまうことや、リスクを恐れるあまり最終的には何もできなくなってしまうという可能性を含んでいます。
2つめは「リスクの軽減」です。リスクの軽減とは、事故が起きないように予防策を立てることと、事故が発生してしまった場合に、損害の拡大を防止する対策(防御対策)を立てることをさします。ここでも飲食店の火災の例を考えてみましょう。火災を防止するために厨房の使用マニュアルを整備することが予防策と言えます。また、火災が起きた時に備えて消火器やスプリンクラーを整備することで被害の拡大を防げます。これらの対策を行うことが、防御対策と言えます。
リスク・コントロールは比較的コストをかけずにリスク処理を行えるというメリットはありますが、効果が見えにくいことや、新規事業等、経験のない事柄に対してはリスク量が不明で対策が立てづらいという欠点があります
次にリスク・ファイナンシングについて説明します。
一般にリスク・コントロールをしてもリスクは残っており、事故が起きてしまった場合に、資金を調達する方法をリスク・ファイナンシングといいます。リスク・ファイナンシングにも大きく2つの手法があります。
1つめは「リスクの保有」です。リスクの保有とは、事故が起きた際に自己資金によって補填を行うことをさします。事前に資金を積み立てることで、実際に損失が発生した際の資金とすることや、資金が足りない場合は借り入れなどにより対応することになります。先ほどの飲食店の火災の例で考えると、将来火災が発生することに備えて、毎月積立金を準備することがリスクの保有の手段となります。リスクの保有は事故が生じない限り、費用がかからないというメリットがありますが、大きく以下の3点で問題があるといわれています。
第一に、適切なリスク分析を行い、事故の発生確率や損害額を見積もることは困難であることです。
第二に、予想を上回るような大規模な損害が発生した場合に、資金的に対処不能となる可能性があることです。
第三に、事故が発生する時期の予測が困難であり、積立開始直後に事故が発生した場合に十分な積立金が用意できない可能性があることです。
2つめは「リスク転嫁」です。リスク転嫁とは保険会社等の金融機関に一定の金銭を支払うことで、リスクが生じた際の損失を金融機関に補填してもらうことをさします。リスク転嫁により、リスクが減少する事はありませんが、事故発生時の影響を他者に移転することができます。代表的な例として、損害保険が考えられます。例えば、多くの中小企業は所有する物件に火災保険をかけていると言われていますが、これは中小企業が損害保険会社に火災保険料を支払うことで、事故発生時の損失を保険会社に転嫁しているということになります。保険によるリスク転嫁は、保険料の負担が発生しますが、いつどの程度の損害が発生するか不明なリスクに対して金銭的な備えをすることが可能になります。これにより、中小企業はリスクが顕在化した際の損失の影響を軽減することができ、安定した事業活動を行うことが可能になります。
3. リスクマネジメントのプロセスについて
ここまで、リスクの処理手段について記述を行いましたが、具体的にそれぞれのリスクに対して、どの手段を適用するか判断を行うことが、リスクマネジメントのプロセスとなります。一般的なプロセスの策定ステップは3段階となります。
第一ステップは、ハザードの調査です。ハザードとは、事故を発生させるような状況や要因のことを言います。例えば、飲食店で揚げ物をしている際に従業員が目を離している状況は、火災発生のハザードとなります。ハザードの調査では、企業が抱える全てのリスクを洗い出す事が必要になります。ここで出てきたリスクに対して今後対策を考えていくことになるので、最も重要なステップであると言えます。また、企業が抱えるリスクの洗い出しは経営層だけでなく、現場で実務を担っている従業員の視点も必要なため、従業員とも対話の時間を作り、自社がどのようなリスクを抱えているのか徹底的に洗い出すことが必要です。
第二ステップは、リスクの分析・評価を行うことです。第一ステップで洗い出したそれぞれのリスクに対して、そのリスクがどれほど大きな影響を会社に与えるか判断をします。
第三ステップはこれらの評価したリスクに対して、どのようなリスク処理手段を用いるか決定するというステップです。このステップで重要なことは費用対効果を勘案して、最大限のメリットを得られる手段を選択することです。
代表的な考え方として、以下のようなマトリクスが用いられます。
リスクの発生頻度が低く損害額が大きいリスクに対しては、保険によるリスクの転嫁が有効とされています。リスクの発生頻度が低く、損害額も小さいリスクに対しては保有が合理的な手段とされています。
一方で、事故の発生頻度が高いリスクに対しては、リスクの回避や軽減を行うことが合理的な手段とされています。但し、リスクの回避・軽減は一定程度コントロールが可能なものの損害額・発生頻度をゼロにすることは実際には難しいことに注意が必要です。リスクの回避・軽減を行い損害額・発生頻度を引き下げたうえで、リスクを転嫁・保有するのかを選択することが現実的な選択肢となります。
ここまで、リスクマネジメントの方法を記載しましたが、実際にこれらのリスクマネジメントを個社で行うことは実務上困難であると思われます。そのため、実際は損害保険会社等の金融機関や保険代理店を相談相手として、自社のリスクマネジメントについてじっくりと考える時間を作ることが、安定した事業活動を営むうえで大切となってきます。
来月のコラムでは、実際にリスク転嫁の手段として保険を選択した際に、どのような保険が存在するか説明します。様々な保険の種類を知ることで、自社にとって最適なリスクマネジメント構築のお力になれば幸いです。
(※1)労働施策の総合的な推進並びに労働者の雇用の安定及び職業生活の充実等に関する法律
