企業活動を維持するためには、さまざまなリスクに対処することが重要です。戦略総務には、リスクマネジメントによって経営を支える役割が求められます。人事労務関連から法務、そして情報セキュリティまで、企業が直面する危機を把握し、対策の準備をします。ここでは、戦略総務が押さえておきたいリスク管理の基礎知識をまとめます。
戦略総務に必要なリスクの管理
総務は幅広い業務を担う部門です。企業によって組織体制が異なりますが、人事、労務、経理のほか、法務や広報なども総務が担うことも。社内の全部署はもちろん、社外の取引先や投資家など多様なステークホルダーへの対応が必要です。戦略総務は、経営戦略と連動して会社全体に働きかける役割を担います。戦略的な業務を進めるにあたって、企業のリスク(危機)関する知識を理解すべきといえるでしょう。危機的な状況を未然に防ぎ、問題が拡大しないようにリスクマネジメントが重要になります。
リスクマネジメントとは何か、どのようなリスクがあるのかという、戦略総務として知っておきたい基礎知識を解説していきます。
リスクマネジメントとは?
リスクマネジメントの本質は「リスクを未然に防ぐこと」にあります。さらにリスクが現実の問題として発生した場合は、その損失を可能な限り最小に抑えなければなりません。リモートワークの浸透、アウトソーシングの拡大など、業務を取り巻く環境の変化にしたがって、企業の直面するリスクが増加し、危険性が高まるようになりました。不祥事が起きた場合に、SNSを通じて情報が拡散するスピードが格段に速くなっています。
トラブルが顕在化したとき、その対応に失敗すると取引先からの信頼度が下がります。結果として企業のブランドを大きく損なう可能性があります。取引を停止したり、売上が大幅に減少したり、企業全体に多大な影響を及ぼします。こうした損失を回避するために、徹底したリスクの管理が求められています。
企業における2種類のリスク
そもそもリスクとは何でしょうか。リスクをとらえる上で前提とすべき考え方は、ビジネスにおいてリスクは必ずしも避けるべき問題ではないという認識です。不確実性の高い時代においては、新たな事業戦略には必ずリスクがともないます。またハイリスクな状況だからこそ大きなチャンスがあるものです。ただし、経営が持続不可能になるようなダメージをともなうリスクは、未然に防ぐ準備をしておくことが必要です。企業経営の視点からリスクの種類を整理すると、意思決定として選択を判断すべきリスクと、回避すべきリスクがあります。それぞれ「投機的リスク」と「純粋リスク」と呼ばれています。
投機的リスク
投機的リスクとは、政治・経済・社会の変化などによってもたらされるリスクです。以下のようなものがあります。
- 国際的な政治、経済の悪化
- 景気や株価の変動
- 法律や制度の改正
- 技術動向、市場や業界の変動
このような変化を踏まえて、企業は次のような戦略的な経営を展開します。
- 新商品やサービスの開発
- 大規模な設備投資
- 資金調達
投機的リスクは、いわゆるビジネスリスクです。自社にとって契機もあることから、リスク前提で経営判断を行うリスクヘッジが求められます。先行者利益(ファースト・ムーバーズ・アドバンテージ)として、変化をいちはやくキャッチしてリスクを承知の上で動き出す企業が、市場の優位性を獲得できるともいわれています。
純粋リスク
純粋リスクとは、損失だけを生じさせるリスクであり、リスクの回避が求められます。次のようなリスクがあります。
- 自然災害やテロ
- セキュリティに関する情報漏えい
- 法令違反
- 取引先や消費者などからのクレーム
- SNSによる風評被害
- 粉飾決済など財務関連の問題
戦略総務では、このような純粋リスクを想定して、事前に具体的な対策の準備をします。社内の各部門と連携して組織体制を整備し、危機が起こったときの対策のシミュレーションを行うことが重要です。
戦略総務が対応すべきリスク
純粋リスクに絞り込んで、総務の各業務に合わせてリスクの詳細をさらに深く考察していきましょう。ただし、それぞれのリスクは関連性が高く、切り離して考えることが困難です。たとえば情報漏洩は、情報システム部門に関連するリスクですが、労務関連の問題が要因になる場合があります。ストレスから責任感やモラルが低下し、うっかりしたミスの発生や故意的な個人情報を持ち出しの問題が生じることがあるからです。
人事・労務関連のリスク
人事・労務関連のリスクとしては、まず長時間労働によるリスクがあります。長時間労働によって心身の健康を損ない、最悪の場合には過労死などに至ります。高所など危険な場所の作業をともなう業務では、就業中の事故もリスクです。次に、パワーハラスメント、セクシャルハラスメント、モラルハラスメントなどに関するトラブルも大きなリスクです。訴訟問題に発展した場合などを想定しなければなりません。働き方の多様化にしたがって、育児期間中のマタニティハラスメントが問題化するようにもなりました。
労務関連では、残業代の未払い、不当解雇などの問題もあります。このような問題は全社員のモチベーションを下げ、離職率を高める原因になります。対外的な企業イメージを低下させるため、管理すべき大きなリスクです。
法務・経理関連のリスク
法務関連のリスクとしては、まず内部統制やコンプライアンス(compliance、法令遵守)に関するリスクがあります。メーカーでは製造物責任(PL)法のほか、特許や意匠・商品登録などの知的財産権、著作権などに関する侵害のリスク管理が求められます。経理のリスクとしては、横領や粉飾決算が起きないように、監査やチェックなどによる健全な財務処理が求められます。
リスク管理を進めるにあたって、まず企業倫理や行動指針を明確に示し、守るべきルールを徹底します。法律の改正を理解しておくとともに、就業規則、契約書などのドキュメント管理を徹底します。社内研修を行って、それぞれの社員に対する啓蒙を行います。また、長時間労働やハラスメントの法的リスクの把握も重要です。
広報関連のリスク
広報関連では、商品やサービスに関する不具合やクレームのほか、サイバー攻撃や情報漏洩、経営陣の不祥事、大幅な株価の下落などのリスクに対応しなければなりません。SNSによる「炎上」の問題では社員であっても企業名、部署、個人名が特定されて、一気に批判が拡大することがあります。このような時代的な背景から、危機管理広報が求められるようになりました。危機管理広報とは、トラブルが生じたとき危機を最小限に抑えるための広報活動を指します。問題発生とともに即座に事実確認を行い、スピーディーに情報を開示します。メディアトレーニングを行い、あらゆる問題が置きたときを想定したシミュレーションが大切です。
リスクマネジメント関連の用語
リスク対策は、さまざまな視点から考えることが重要です。リスクを総合的に管理することが、BCP(事業継続計画)につながります。そこでリスクマネジメントの全体像を押さえるために、関連用語を簡単に解説していきましょう。用語の背景にある考え方を知っておくと、戦略総務としてどのような管理に取り組むべきか明確になるはずです。
リスクアセスメント
アセスメントは「評価、査定」を意味します。したがって、リスクアセスメントは、リスクを特定して分析と評価をすることです。職場における安全性を確認し、労災防止のための評価を行います。建設業界のような危険がともなう業務では、下請けの会社を含めて安全性の確保を優先します。IT関連では、情報セキュリティの分野でリスクアセスメントを行います。リスクマネジメントの前段階であり、リスクの正しい評価によって有効な対策の準備をすることができます。
クライシスマネジメント(危機管理)
リスクマネジメントは問題を未然に防ぐことを重視していますが、クライシスマネジメント(危機管理)は、リスクが実際にトラブルとして生じた後の対策です。必ず障害や問題が発生することを前提として、発生した後にどれだけ迅速に通常の状態に復帰できるかどうかを検討します。自然災害やテロなどを前提としたDR(Disaster Recovery)はクライシスマネジメントのひとつといえます。どの時点まで遡ってデータを復旧するか(RPO、Recovery Point Objective)、いつまでに普及するか(RTO、Recovery Time Objective)、どの程度まで復旧するか(RLO、Recovery Level Objective)の3つの指標を明確にしておくことが大切です。
レピュテーションマネジメント
レピュテーション(reputation)は、日本語に訳すと「評判、評価」です。SNSの登場によって、トラブルの情報が拡散して炎上するケースが多くなりました。企業や製品・サービスに関するネガティブな噂など、いわゆる風評被害を防ぐ管理がレピュテーションマネジメントです。個人情報漏洩や不祥事など企業に原因が発覚した問題のほか。内部告発によってコンプライアンス違反などが明るみになることもあります。同業他社の業績悪化による憶測や、まったく根拠のない噂などの場合もあるので注意が必要です。情報を監視して、拡散する前に事実を発信したり、法的な措置を取ったり対策をしなければなりません。
情報セキュリティマネジメント
情報セキュリティマネジメントは、ウィルス対策を含めて不正アクセスや情報の改ざん、情報漏洩を防ぎ、企業全体の情報を体系的に管理することです。ISMS認証(情報セキュリティシステム認証)では、情報セキュリティの3要素として、情報の機密性・完全性・可用性を挙げています。ランサムウェアなどによる悪質な攻撃は、情報システムに大きな被害を与えるため業務の遂行を妨げます。取引先に影響を及ぼす可能性があるため、経営問題として重視すべきです。セキュリティシステムだけでは完全に防ぐことができないことから、社員に対する教育も必要になります。
企業のリスクマネジメント4つの対処
さまざまなリスク管理の方法を取り上げましたが、最後に企業のリスクを回避する4つの対処について解説します。リスクに対する企業姿勢やスタンスの取り方です。
回避あるいは予防
第一に、リスクになる原因を取り除くこと、リスクになる問題自体を回避すること、あるいは思い切ってやめてしまうことです。たとえば大きなトラブルが発生しそうなイベントや広告は中止する、重要な書類にはダウンロードや閲覧ができないように制限をかけるなどが考えられます。しかし、実際のビジネス上の多くの施策は必要不可欠であり、やめる選択肢がない状況にあるといえるでしょう。極端な例を挙げると、製造業ではリスクがあったとしても工場が必要です。簡単に工場の廃止はできません。したがって、リスクを想定した上で予防策が求められます。
軽減・低減
リスクは必ずあるものとして、問題の発生後に影響を最小限に抑える対策を立てます。リスクがもたらす影響としては、コストの増加、スケジュールの延期、パフォーマンスの低下が考えられます。このような影響を、いかに軽減・低減できるかがポイントです。SNSの炎上では、初期段階で問題を解消することによって拡散を抑えることが可能な場合があります。迅速かつ適切な対処をすることで炎上を軽減できます。
移転
リスクから生じたダメージを企業自体が被るのではなく、外部に移転する対処方法です。たとえば損害に対する保険などがあります。セキュリティやSNSの管理においては、専門家にアウトソーシングするのも有効な対策といえるでしょう。また、情報システムにおけるデータの消失リスクに関していえば、複数のストレージを使ってバックアップを多重化することにより、リスクを回避して可用性を高められます。
リスクの保有・受容
リスクの保有・受容とは、リスクに対処しないことです。損害が小さいリスクであれば、積極的な対策を講じない選択肢もあります。経営判断としてリスクを受け入れることも対策のひとつといえるでしょう。さまざまなリスクが考えられる場合は、対処すべき問題と対処しなくてもよい問題を分けることによって優先的に取り組むべきトラブルに集中できます。
まとめ
戦略総務は、社内で生じるリスク、社外からもたらされるリスクなど、あらゆる危機を未然に防ぐ対策が求められます。重大なリスクから生じたダメージは企業の存続に関わるため、リスクマネジメントは大切なミッションといえるでしょう。リスクは何気ない日常業務にも潜んでいます。あらかじめリスクを予測しておくことで、もしもの場合にも冷静に対処できるはずです。
毎月の給与計算に関するミスの軽減には、徹底したチェックとともに給与自動計算システムの導入も検討すべき対策のひとつです。戦略総務の実現に向けて、株式会社Fleekdriveでは給与自動計算などの機能を備えた「Fleeksorm」を提供しています。お気軽にお問い合わせください。
