リスク管理プログラム
企業にとってリスクとは負債のようなもの、つまり、許容範囲に限りのある企業資産の一種と見なすとわかりやすいでしょう。最大の ROI が得られるエリアに支出を集中することが望ましいように、バランスの取れた企業リスクポートフォリオでは、最大の「リターン」つまりメリットを得ることを目標とします。たとえば、クラウド運用では、インシデントが増加し、顧客の不満が大きくなる可能性があるため、リスクは高くなり、メリットはそれほど大きくありません。一方、自社製品の新規利用を試すことができれば、大きなメリットが得られます。このため、前者を最小限に抑えれば、後者を増加させることができます。当然、リスクをゼロにするための労力には非常にコストがかかり (ほとんどはほぼ不可能)、投資する価値はほとんどありません。99.9% リスク管理 以上になると、ほぼ実現不可能になります。これが、リスクポートフォリオのバランスをとることのもう 1 つの要素です。
機能本位の ERM プログラムの利用とは、次を意味します。
- 適切な商慣行と見なされる。これは、アトラシアンの主要リスク、およびそれに対してどうすべきかを総合的な視点で見たものです。このようなリスクに対して、想定していた方法で対処できていることを定期的に確認することができます。骨折したときは医師の診断を受け、回復まで安静にするように、ERM はエグゼクティブが抱えるリスク、およびリスク管理戦略の妥当性を暗黙的な視点から確認します。場合によっては、このプロセスで対処すべき新たなリスクが検出されることもあります。
- 現行および将来の法令遵守義務を果たす必要がある。アトラシアンはその認定資格によって顧客の信頼を得ることによって収益を増加し、営業での摩擦を抑えています。SOX、SOC 2、および ISO27001 では ERM プログラムを保持し、エグゼクティブと一緒に主要なリスク、リスク管理戦略を定期的に確認し、監督組織に報告することが求められています。規制の厳しい業界へ進出し、HIPAA、FedRAMP リスク管理 などの認定資格を得るとさらに信頼性が高まり、ERM プログラムも再評価されるようになります。
- 成熟度の証明。アトラシアンの成長に伴い、運用効率を高めて不明確さ (リスク) を排除するためには、実践しているプラクティスを公式化する必要があります。運用効率が向上すれば、規模の拡大も見込めます。つまり、想定外のものを減らし、実際の企業の健全性が、自分たちが肌で感じているとおりかどうかを確認する必要があるのです。
どのように実施するのか?
- 特定のリスク評価には、さまざまなものがあります。詐欺や複数のセキュリティリスク評価、ビジネス影響評価 (BC/DR プログラムの一部)、各事業部門評価 (情報セキュリティやファイナンスなど) の各種運用リスク評価など
- インシデント、「終了したコール」、大規模/重要プロジェクトや成果物の事後分析など、認識されたリスク
- 社内および社外の監査および評価
- 景気低迷、業界の動向、競合などのグローバルなトレンドと市場に関する外部分析
- 顧客、ビジネスパートナー、サプライヤーからのフィードバックとデータ
- エンタープライズおよび個々の事業部のビジネス目標と OKR
- アトラシアン関係者との拡張インタビュー
どのように全体像に位置付けられるか?
このため、リスク評価レポートは通常、運用および戦略の計画に組み込まれ、投資とリソース割り当てに役立てられます。ただし、これは単独に機能するものではなく、内部監査の年間計画にも組み込まれます。ERM プログラムは、年度末のレポートにも適用できるようタイミングを合わせています。また、6 月と 12 月の年 2 回、監査委員会の要求に応じて新情報を提供しています。
これはビジネスと企業の健全性の別のチェックポイントとしても使用され、物事をどうとらえているかを証明または反証することにも活用されます。目標と目的に対する整合性の要点でもあります。
リスクが適切に管理されていることについて、顧客から信頼を得る必要があります。さまざまなリスクを適切に管理する上で、特に大きなメリットを伴わないものを、暗黙的にも明示的にも受け入れるにはリスクが高すぎることに注目する必要があります。これが、リスクと市場投入までの時間の管理が企業の発展において重要な役割を果たす複雑な環境の中で、アトラシアンをリーンかつアジャイルに保つための戦略なのです。
リスクマネジメント
当社グループは、「1 経営方針、経営環境及び対処すべき課題等」に記載のとおり、新中期経営計画「Second Stage 2021」を策定しており、経営戦略に基づいた2022年3月期の連結業績予想については、当社ホームページ上にて公表しております。しかしながら、当該中期経営計画は、eコマースの拡大など顧客需要の拡大、宅配便事業における平均単価・宅配個数、人件費・外注費など、様々な前提に基づくものであり、前提が想定どおりとならない場合等には、当該計画における目標を達成できず、その結果、当社グループの事業、財政状態及び経営成績に影響を及ぼす可能性があります。
(15)今後の設備投資について
2規制、コンプライアンスに関するリスク
(リスク管理 1)事業上の重要な許認可等
[主要な事業上の許認可等]
許認可事業 | 法律 | 監督官庁 | 許認可等の内容 | 有効期限 | 許認可等の取消事由 | セグメント | リスク管理
---|---|---|---|---|---|---|
一般貨物自動車運送事業 | 貨物自動車運送事業法国 | 国土交通省 | 許可 | なし | 同法第33条 | デリバリー事業 ロジスティクス事業 |
第一種貨物利用運送事業 | 貨物利用運送事業法 | 国土交通省 | 登録 | なし | 同法第16条 | デリバリー事業 ロジスティクス事業 |
第二種貨物利用運送事業 | 貨物利用運送事業法 | 国土交通省 | 許可 | なし | 同法第33条 | デリバリー事業 ロジスティクス事業 |
倉庫業 | 倉庫業法 | 国土交通省 | 登録 | なし | 同法第21条 | デリバリー事業 ロジスティクス事業 |
通関業 | 通関業法 | 財務省 | 許可 | なし | 同法第11条 | ロジスティクス事業 |
宅地建物取引業 | 宅地建物取引業法 | 国土交通省 | 免許 | 2021年8月23日 | 同法第66条 | 不動産事業 |
第二種金融商品取引業 | 金融商品取引法 | 金融庁 | 登録 | なし | 同法第52条 | 不動産事業 |
指定自動車整備事業 | 道路運送車両法 | 国土交通省 | 指定 | なし | 同法第93条 | その他 |
自動車分解整備事業 | 道路運送車両法 | 国土交通省 | 認証 | なし | 同法第93条 | その他 |
労働者派遣事業 | 労働者派遣法 | 厚生労働省 | 許可 | 2024年6月30日 | 同法第14条 | その他 |
(2)労務関連法令
(3)リスク管理 環境規制
3情報セキュリティ、システムに関するリスク
(1)情報漏えい
当社グループは、役職員情報のみならず、事業運営の過程において集荷先・配達先情報や顧客企業担当者情報等の多数の個人情報を取得しております。また、企業顧客向けサービスにおいては、顧客企業の営業秘密を保有する場合があります。こうした機密情報を保護するため、データに関するパスワード管理・アクセス制限及びハードコピーに関する施錠管理の徹底に加え、従業員に対して情報セキュリティ教育による啓発を継続的に行う等、情報の厳重な管理に努めております。さらに、外部からのサイバー攻撃に備え、インターネット出入口対策を講じる等情報セキュリティ対策を強化するとともに、当社グループ内にサイバー攻撃専門の対応組織SGH-CSIRT(SG Holdings Computer Security Incident Response Team)を設置し、日本コンピュータセキュリティインシデント対応チーム協議会に加盟する等、情報セキュリティ対策の高度化に取り組んでおります。しかしながら、今後システムトラブル若しくは不正アクセスの発生、又は当社グループ従業員の故意・過失若しくはコンピューターウィルス等により、情報の漏えい又は喪失等が生じた場合は、当社グループの社会的信用の低下につながるとともに、損害賠償請求や情報セキュリティ対策に要する追加費用の発生等によって、当社グループの事業、財政状態及び経営成績に影響を及ぼす可能性があります。
リスクマネジメント
当社グループ全社を対象とする危機管理体制を確立しています。危機事象が発生した際の迅速な初動対応とエスカレーションを可能とするため危機管理に関する規程やハンドブックを展開し、本社、事業部門、現場といった階層での対策本部をいつでも起動できる体制を整えています。また、平時のリスクマネジメントの体制に加え、IAT (Issue Assessment Team)を設置し、被害状況等が適時に経営層に伝わる仕組みを整えることで、本社危機管理対策本部における迅速な意思決定を促します。
当社グループではサイバーセキュリティの重要性を理解し、サイバー攻撃などによる被害を最小化するためにLIXIL-CSIRT(LIXIL Computer Security Incident Response Team)を設置し、運用しています。コンピュータやネットワークを常時監視することで問題を早期発見し、発生時の影響分析や原因解析を行うことにより、迅速な対応に努めています。
危機管理フロー(概略)
LIXILではサイバーセキュリティの重要性を理解し、サイバー攻撃などによる被害を最小化するためにLIXIL-CSIRT(LIXIL Computer Security Incident Response Team)を設立、運用しています。コンピュータやネットワークを常時監視することで問題の早期発見をし、発生時の影響分析や原因解析を行って迅速な対応に努めています。
情報セキュリティ
マネジメント体制 LIXILは、保有する全ての情報資産の保護および適切な管理を行うため、情報セキュリティ管理状況の把握と、リスク分析に応じて必要なセキュリティ対策を迅速に実施できる体制を維持しています。
また、万が一、問題が発生した場合には被害を最小限にとどめるとともに、問題の原因を突き止めたうえで再発防止と改善を行う体制を整えています。
情報セキュリティ委員会 LIXILでは、情報セキュリティに関する基本的事項を決議する機関として、情報セキュリティ委員会を設置しています。CDOを委員長とし、各部門代表者で構成されており、情報セキュリティ対応方針の決定及び承認、セキュリティ対策状況の報告を定期的に実施しています。
副作用・適正使用/RMP(医薬品リスク管理計画)
「医薬品リスク管理計画」(Risk Management Plan:以下、RMP)は、個々の医薬品について安全性上の検討課題を特定し、使用成績調査、市販直後調査等による調査・情報収集や、医療関係者の皆様への追加の情報提供などの医薬品のリスクを低減するための取組みを、医薬品ごとに文書化したものです。
医薬品の開発段階、承認審査時から製造販売後の全ての期間において、ベネフィットとリスクの評価・見直しが行われ、これまで以上により明確な見通しを持った製造販売後の安全対策の実施が可能となることを目的としております。 また、医療関係者の皆様と市販後のリスク管理の内容を広く共有することで、市販後の安全対策の一層の充実強化が図られることが期待されます。
製品名 | RMP(医薬品リスク管理計画) | 医療関係者向け 資材 1) | 患者向け資材 1) | 市販直後 調査結果 | 副作用関連 | その他 |
---|---|---|---|---|---|---|
アイセントレス ® 錠400mg | ||||||
アイセントレス ® 錠600mg | ![]() | リスク管理 |||||
アトーゼット ® 配合錠LD・HD | ![]() | ![]() | ![]() | |||
エレルサ リスク管理 ® 錠50mg/ グラジナ ® 錠50mg | ![]() ![]() | ![]() | ||||
ガーダシル ® リスク管理 水性懸濁筋注シリンジ | ![]() | ![]() | ![]() | ![]() ![]() | HPVワクチンに関する副反応について | ![]() |
カンサイダス ® 点滴静注用50mg・70mg | ![]() | |||||
キイトルーダ ® 点滴静注100mg | ![]() | ![]() | ![]() | ![]() | irAE | |
ザバクサ ® 配合点滴静注用 | ![]() | ![]() ![]() | ||||
ジーンプラバ ® 点滴静注625mg | ![]() | ![]() | ||||
シベクトロ ® 錠200mg | ![]() | リスク管理 ![]() | ||||
シベクトロ ® 点滴静注用200mg | ![]() | ![]() | ||||
シルガード ® 9水性懸濁筋注シリンジ | ![]() | ![]() | ![]() | ![]() | HPVワクチンに関する副反応について | ![]() |
スージャヌ ® 配合錠 | ![]() | ![]() | ![]() | |||
ノクサフィル ® 錠100mg | ![]() | ![]() | リスク管理 ![]() | |||
ノクサフィル ® 点滴静注300mg | ![]() | ![]() | ![]() | |||
ピフェルトロ ® 錠100mg | ![]() | ![]() | ||||
プレバイミス ® 錠240mg | ![]() | ![]() | ![]() | ![]() | ||
プレバイミス ® 点滴静注240mg | ![]() | ![]() | ![]() | ![]() | ||
ペグイントロン ® 皮下注用50μg/0.5mL用 | ![]() | ![]() | ![]() | |||
ベルソムラ ® 錠10mg・15mg・20mg | ![]() | ![]() | ![]() | ![]() | ||
ラゲブリオ ® カプセル200mg | ![]() | ![]() ![]() | ![]() | ![]() | ||
リベルサス ® 錠3mg・7mg・14mg | ![]() | |||||
リムパーザ ® 錠100mg | ![]() | |||||
リムパーザ ® 錠150mg | ![]() | |||||
レカルブリオ ® 配合点滴静注用 | ![]() | ![]() | ||||
レベトール ® カプセル200mg | ![]() | ![]() | ||||
レンビマ ® リスク管理 カプセル4mg(肝細胞癌用) | ![]() | |||||
ロスーゼット ® 配合錠LD・HD | ![]() | ![]() |
Copyright © 2022 Merck & Co., Inc., Rahway, NJ, USA and its affiliates. All rights reserved.
【ヨミ】リスクマネジメント リスク管理 リスクマネジメント
リスクマネジメントとは、「事前に測定できる好ましくないリスク」を想定し、いかに実効性のある対応をしていくか、そのプロセス全体を指します。近年は経営を取り巻く環境の変化が激しく、リスクとなる要因が多様化かつ複雑化しています。その結果、リスクが想定される特定の部署が単独で対応することが困難になっています。そこで、リスクマネジメントの実効性を高めるため、リスクに対して全社的な視点に立ち、最適な方法で管理を行い、リスクを回避していくこと。また、適切な対応を実践していくことによって企業価値を高めていくリスクマネジメントのあり方が、今まさに求められています。
事業継続を脅かすリスクが増大している
ビジネス社会では、事業を継続して行うことが企業としての大前提です。事業継続は、企業の社会的責任と言えるでしょう。この大前提を脅かすものが、リスクなのです。実際、企業はかつてないほど多くのリスクに取り囲まれています。製品の事故、顧客からの苦情、偽装問題、情報漏えい、コンプライアンス違反、自然災害など、リスクとなる要因を挙げるときりがありません。また、原材料や石油価格の高騰、環境問題など新たな社会規制、事業のグローバル化やM&Aなど、経営を取り巻く環境は不確実性が非常に高くなっており(※)、企業が直面するリスクは一段と巨大化、かつ多様化しています。
現代では、避けることのできない重要な経営課題に
事業内容や従業員規模にかかわらず、リスクマネジメントが後手に回った結果、消滅していった企業は少なくありません。また、リスクマネジメントを怠った経営者が、巨額の賠償を命じられるケースも増えています。経営者の「過去からの業界慣行に従った」「今までと同じ判断を下した」といった言い訳は、もはや通用しません。厳しい判決が下されるのも、経営者には会社法の下、企業が直面するリスクに対する管理や内部統制の構築を行う義務があるからです。当然、これらを怠った場合の代償は大きく、投資家や顧客、取引先、金融機関、地域社会、従業員など、影響が及ぶ範囲は多岐に渡ります。つまり現代社会では、リスクをしっかりと管理できない会社は、生き残ることが難しいと言えます。このように企業におけるリスクマネジメントは、避けることのできない重要な経営課題であることが分かります。
3. リスクマネジメント導入のフレームワーク
何をリスクマネジメントするのか
1.自社のリスクを知る
・最初に、自社はどのようなリスクを抱えているのか、的確に知る必要があります。自社のリスクを知るにはまず、過去事例を詳しく調べること。さらに、社内アンケートやホットライン(報告制度)、モニタリング、監査などの手法を用いて、リスクを明確化します。
・過去事例などを調べていく際、その目的はあくまで再発防止にあることを忘れてはなりません。関係者には、責任追及ではないことを事前に説明し、協力を得るようにします。
3.管理対象の明確化
・洗い出したリスクに対し、何をどこまで管理するのか、管理する対象を明確にします。ここでは何を基準とし、優先順位を付けていくのかを考える必要があります。例えば、下図に示したような経営や人事管理に対する「影響度」と、発生する「頻度」による二つの評価軸で、管理する対象を分類する「リスクマップ」を作成、ターゲットを絞り込むといったアプローチが考えられます。法改正が頻繁に行われている現在、人事ならではのリスクを意識することが大切です。
4.管理方法の明確化
・管理する対象がはっきりしたら、目的を達成するためにどうリスクをマネジメントしていけばいいのか、「全社的な視点で一元管理する」「各事業部門が事業計画として連携し管理する」など、管理方法を具体的に定め、明確化します。
【リスクマップの例(経営・人事管理に対するリスク)】
頻度多 | 頻度少 | |
影響大 | 景気変動、市場ニーズの変化 為替・株価変動、税制改革、労働法制改革・変更 労働力人口の減少、少子高齢化 人材流出(離職)、人材獲得(採用)困難 など | 地震・津波、戦争・内乱 リスク管理 火災事故、水災洪水 不良債権、訴訟 リストラ、人員整理 情報漏えい など | リスク管理
影響小 | 人事制度改革、組織改革 労働災害、ハラスメント リスク管理 システム障害・トラブル 業務の非効率化、生産性低下 など | 社内不祥事・不正 盗難事故 人身事故 雇用差別 など |
コンプライアンス違反から生じる影響 業務上のリスクについて社会保険労務士などの専門家に意見を仰ぎたい場合は、『日本の人事部』の運営する『人事のQ&A』の利用をおすすめします。
「PDCAサイクル」に基づいて実施する
1. Plan:基本方針・計画の策定
・最初が、基本方針・計画の策定。経営トップの考え方を従業員に対して明確に伝え、会社の向かうべき方向を周知徹底します。基本方針が明確であることは、社外のステークホルダーに対して大きな意味を持ちます。
・具体的な計画を策定するには、直面する(予想される)さまざまなリスクに対して、どこから対応していくのか優先順位を決め、計画を立てるようにします。
・優先順位を付ける際は、まずリスクを洗い出した上で、それらを一定の基準で評価していきます。優先順位の高いリスクに対して戦略、目標と対策、期限をそれぞれ設けます。
2. Do:対策の実施
・リスク対策を進めていくには、リスクを細分化し、現場で行動を起こせるアクションプランへとブレークダウンする必要があります。
・実施に当たっては、社内外の専門家を交え、リスクに関連する業務を担当する専門のスタッフや事業部門が主導し、対応することが効果的です。
3. Check:モニタリング リスク管理
・活動が形がい化していないか、実効性が伴っているか、モニタリングを並行して行うことが重要です。モニタリングには、「自己評価」と「リスクマネジメント監査」の2種類があります。
・自己評価は遂行する側が行うため、リスク管理に対する当事者意識や責任感を高めることができますが、モニタリングの客観性が阻害される可能性があります。
・リスクマネジメント監査は、第三者が経営者の代わりとなって、リスクマネジメントの仕組み全体を客観的にチェックするものです。自己評価の結果も含め、確認した内容を、経営者に直接報告します。
4. Action:修正・改善
・経営を取り巻く環境が激しく変化する昨今、リスクマネジメントにおいても見直しは必須です。そこで経営トップはモニタリングの結果を確認し、自社のリスクマネジメントの取り組みが期待通りに実践されているか、レビューを行います。
・さらにタイミングを見計らって、モニタリングで発見された問題点の是正・改善を行います。
リスクマネジメント体制と求められる役割
1. 経営者(CEO)
・経営者は、基本方針を決定し、最終責任を負う立場を担います。経営者が果たす役割として大切なのは、自社でリスクマネジメントを遂行する意志を、社内外に強く示すこと。そして、下図のような「リスクマネジメントの実施体制」を構築し、基本方針通りに進められているかどうか、レビューを行うことです。
2. リスクマネジメント担当責任者(CRO)
・CROは、リスクマネジメントに関わる全ての業務を統括する役割を担います。基本計画や実施に関する指示や承認を行うと同時に、経営判断を下すための報告や提案を行います。
・CROを置くことによって、社内のリスクを経営のトップレベルで把握し、全てのリスクに対してトップダウンで関与していくことができます。
3. リスクマネジメント委員会
・活動が形がい化していないか、実効性が伴っているか、モニタリングを並行して行うことが重要です。モニタリングには、「自己評価」と「リスクマネジメント監査」の2種類があります。
・CROとともに、リスクマネジメント委員会を置くことで、リスクマネジメントに特化した話し合いが頻繁に行われ、スピーディーで的確な意思決定が期待できます。
・委員会を設置することが難しい場合、経営会議の中で別途リスクマネジメントに関する議論を行い、同様の機能を持たせるようにします。
4. リスク管理部署
・CRO、リスクマネジメント委員会の下に置かれる、リスク管理のための専門部署です。各部門で実施されているリスク管理の取りまとめを行います。一元管理の実効性を保つためには、専門部署の設置は不可欠と言えます。
・リスクマネジャーを置き、各部門のリスク管理責任者と密に連絡を取っていく中で、情報提供やリスクに対する教育・意識づけなどの働きかけを行います。
5. 各部門の管理体制
・リスク対策の実行主体は現場の各部門です。ただし、リスクの性質に応じて、部門横断的なチームや地域単位、人事、経理、ITなど職能別に、管理単位を考えていく必要があります。
・現場におけるリスク管理の実効性を高めるには、現場リーダーとしてのリスク管理担当者を決めておくと同時に、担当者に対する情報提供が欠かせません。
関係者への働きかけ
1. 関係者への教育(研修)
・リスクマネジメントに関わる人材への教育(研修)は不可欠です。特殊性・専門性の高い場合は社外の専門家に依頼しても構いませんが、継続的な教育を行う場合には、社内講師が望ましいと言えます。
・座学によるテキストの解説だけでなく、内容によってはワークショップなどによる体験型の研修も必要です。また、継続的に学ぶためにeラーニングによるメニューを用意するようにします。
2. 情報共有の仕組みの構築
・社内におけるリスク管理に関する情報を収集・整理(データベース化)し、共有化していくことによって、見落とされていたリスクの発見や対応策の立案が可能となります。
・情報を管理する際には、「発現したリスク」と、想定される「発現していないリスク」に分け、毎年、更新していく必要があります。
3. 管理規定・マニュアル の作成
・管理規定・マニュアルは、実施すべき事項や守るべき事項を定めたもの。定められたルールに従った行動を行うことにより、リスクマネジメントに関する業務の標準化が図られます。
・状況によって、具体的に何をどのように行えばいいのかが分かるように、文書だけに限らず、画像や映像による対応(見える化)を行うといいでしょう。
導入する際の留意点
これまでのリスクマネジメントのあり方を見ると、コンプライアンスは法務部、情報セキュリティ関連は情報システム部が対応するといったように、各部門の業務の責任範囲の下、「部分最適」にリスク対策が行われていました。しかし、部分最適が進むことによって、リスクに対する統括責任者が事業部の責任者なのか、経営トップなのか、それともリスク担当役員なのか、不明確になります。その結果、効果的なリーダーシップが発揮されず、リスク対応が滞ってしまうことがあります。さらに、部門ごとにリスク対策を行った結果、複数の部署で重複した活動や似たような対応をしてしまうこともあります。このように部分最適ではリスクの一元管理が難しくなるので、留意しなくてはなりません。
部分最適に見られる問題点を解決し、リスクマネジメントの実効性を高める観点から、これからのリスクマネジメントは「全体最適」であることが不可欠です。そのためには、全社的な視点に立って全社のリスクを俯瞰(ふかん)し、マネジメントできる統括責任者を決めておく必要があります。その下で、リスクマネジメントが適切に行われなければなりません。全体最適型のリスクマネジメントであれば、各部門がどのようなリスクを抱え、どのような対策を行っているか、一元管理することができます。同じような対策が必要なら、同時に行うなど効率化もできるようになります。
4. リスクマネジメントの実際
リスクマネジメントの事例紹介
(1)製品の品質管理体制
1. 全般的な必須事項
・品質管理には、必須となる基本条件となる事項があります。例えば、材料・製品の「先入れ先出し」の実行。その他にも、「工場や倉庫の温度・湿度の適切な管理」「機械設備の清掃管理」などがあります。これらは、間違いなく実行されなくてはならない事項であるため、そのためのチェック機能を万全にしておく必要があります。
2.製品の梱包
・梱包の管理も怠ることはできません。直接製品に触れる梱包材料は、その材質や印刷インキなどに安全上問題がないことを、基準を設けて確認します。また、梱包・容器は、製品として出荷後の物流、保管時の安全確保も考慮した仕様としなければなりません。
(2)情報漏えい対策
1. 保管
・紙媒体は、限られた担当者しか持ち出せない状態にする必要があります。セキュリティルームや施錠できるストレージに保管するなどの措置が求められます。
・また「どんな情報」を「どの程度」保管しているのかを、把握しておくことが重要です。個人情報の管理台帳を作成し、定期的に棚卸しを行うといった措置が有効です。
2. 廃棄
・「そのうち、役に立つかもしれない」と、紙媒体を保管し続けてしまうケースが見受けられます。「廃棄」という行為は、適切に行うことでリスクをゼロにする最良の対策と言えます。
・その際、廃棄する時期や方法を明確にすることが不可欠です。また、廃棄する方法として、シュレッダーを利用する、外部業者を利用するといった方法を、事前に決めておくことが重要です。
3. 外部委託先管理
・外部委託先からの情報漏えいも、少なくありません。外部に委託する場合は、情報管理の体制として執務室への入退室管理、預けている情報のアクセス制限など、選定基準を明確に定めておく必要があります。また、要求事項に関するチェックリストを用意し、口頭だけではなく、その内容を業務委託契約に盛り込むことが効果的です。
・モニタリングの観点から、外部委託先が要求事項を守っているかどうかを、定期的に確認します。守っていない場合は、契約解除ができる条項を契約書類には入れておくようにします。
(3)グループ・リスクマネジメント対策
1. 方針の策定・導入計画の策定
・グループ・リスクマネジメントの導入で不可欠なのが「グループ・リスクマネジメント方針」です。リスクマネジメントの範囲、目的、親会社と子会社の責任と権限といった、基本的な事項を定めます。
・次に、グループ・リスクマネジメントを導入するための計画を作成します。その際、「導入順序」や「導入期限」などを、あらかじめ定めておくことが肝心です。
3. 浸透状況のモニタリング
・グループ・リスクマネジメントを確実に浸透させるためには、モニタリングが不可欠です。各子会社に導入した後、どの程度、従業員の理解が進んでいるのか、実際に機能しているかを確認することを忘れてはなりません。
4. 改善
・モニタリングを行った結果、発見された問題を改善します。その際、発生した問題がその子会社特有のものなのか、他の子会社でも同様に発生するものなのかを、親会社はしっかりと見極める必要があります。
・他の子会社でも発生し得る問題の場合は、問題が顕在化する前にグループ全体で対処しなくてはなりません。場合によっては、グループ・リスクマネジメント方針や導入計画の見直しを行うこともあります。このような形でPDCAサイクルを回しながら、グループ全体としてのリスクマネジメントを図ります。
親会社と子会社の責任と所在が曖昧では、実効性のあるグループ・リスクマネジメントは期待できません。実行主体が親会社なのか子会社なのか、それに伴い不祥事が発生した場合の親会社と子会社の責任はそれぞれどのように問われるのか。また、責任に見合った権限として何を付与するのかなどを、事前に明確にする必要があります。
5. 実効性のあるリスクマネジメントを行うために
被害・ダメージを最小限にするための対応
1.情報の伝達
・重大な事故や事件が発生した際、現場で情報を吟味(取捨選択)するのではなく、リスクを管理する部門にいち早く連絡を行います。
・取捨選択することによって、必要な情報が見落とされてしまうことが少なくありません。そこで、普段から現場は緊急情報をそのまま管理部門へと伝達するよう、周知徹底しておく必要があります。
2. 対策本部の設置
・緊急時には、対策本部を設置します。メンバーは経営トップ以下、リスク担当部署、法務、広報、総務・人事、営業、技術などの各責任者で構成。また、コンプライアンスを確保するため、信頼の置ける弁護士が必要です。
・対策本部では、緊急情報を集中管理します。判明した情報は、対策本部にある特定のPCなどに集約します。
・情報の発信も本部に一本化し、社内に対しては個別のメディア対応やSNSへの書き込みを禁止する旨を、従業員に周知徹底します。
3. 広報活動
・緊急時の広報には、謝罪、原因究明、再発防止を丁寧に伝えていくことが求められます。その際、情報を隠ぺいすることなく、コンプライアンス対応に努めるスタンスが最優先されます。また、プレス発表においては記者が記事にしやすいよう、起承転結・5W1Hを明確にして伝えるようにします。
経営トップの果たす役割とは何か
しかし、事業規模を問わず、そういったことを行わない経営トップを見かけることがあります。肝心の経営トップのメッセージや行動がなくては、従業員にコンプライアンスを求めても、主体的な行動を促すことはできません。むしろ、現場では負担が大きくなり、モチベーションが下がってしまいます。このような状態では、全社的にリスクマネジメントを進めていくことは難しいでしょう。だからこそ、経営トップは自らのメッセージがリスクを防止するという意識を強く持ち、言葉を発し、行動を示すことが重要なのです。
人事部に期待される役割
リスクマネジメントの旗振り役として、人事部に期待される役割は大きくなっています。例えば、リスクが発生する前に、従業員の意識や行動面に何かしらの兆候が認められることがありますが、日頃から従業員の勤務態度や生活習慣などに変化がないかどうか、現場の管理職などの協力を仰いで観察していくことが求められます。さらに、人事部が情報を救い上げる仕組みとして、「社内相談制度」などを設けるのも効果的です。従業員が気軽に相談できるような雰囲気を作っていくことにより、事前のリスクの兆候を把握し、対応することが可能になります。
問題の解決に当たって関係者から事情聴取を行うことがありますが、その際は個人情報やプライバシーに対する配慮が不可欠です。また、事実を客観的に把握するため、書類などの物的資料を重視し、じっくりと話を聴くこと、丁寧に事実確認をすることが人事部には求められます。
今後の課題と対応
(1)リスクガバナンスの構築
リスクマネジメントを進めていく上で、最も重要な位置付けを占めるのがリスクガバナンス、すなわち経営判断を司る「取締役会の機能強化」です。リスクガバナンスは、取締役会が主導する領域。そこで、取締役会が戦略的な意思決定やリスク管理体制のモニタリングなどを適切に実行するためには、以下の四つの原則が求められます。
- リスクの考え方の共有:企業価値の保護と創造の両面からリスクが理解され、組織全体で共有されている
- フレームワークの共有:・組織全体のリスクマネジメントに対して、共有のフレームワークが活用されている
- 役割・責任・権限の明確化:リスクマネジメントに関する役割、責任、権限が明確に定められている
- ガバナンスに関わる会社機関の的確な監督:取締役会、監査役会などガバナンスに関わる会社機関が、その責任を果たすために組織のリスクマネジメント活動を的確に見通している
(2)リスクインフラの管理
リスクインフラとは、リスクマネジメントが機能するために不可欠な設備・施策・ITシステムを指します。リスクインフラの管理は、経営者が主導する領域と言えます。経営者が効果的なリスク管理プログラムを設計し、適切に実施、維持していくためには、以下の三つの原則が求められます。
- 共通のリスクインフラの利用:各部門がリスクに関する責任を果たすために、共通のリスクインフラが利用されている
- 経営者の責任の明確化:効果的なリスクマネジメントプログラムの設計、導入、維持に関して、経営者が最大の責任を負っている
- 適切な内部監査と監視機能:内部監査など特定の部署が、取締役会と経営者に対してリスクマネジメントプログラムの有効性を監視し、報告を行っている
(3)リスクオーナーシップの発揮
リスクオーナーシップとは、リスク対策の実行主体(当事者)のこと。リスクマネジメントにおいて、リスクが発生しないように策を講じる(発生後の対応を行う)のは各部門に他なりません。このようにリスクオーナーシップは、事業部門やスタッフ部門など各部門が主導する領域なのです。各部門が特定のリスクの認識、評価、監視、報告などを適切に実行するために、以下の二つの原則が求められます。
コメント