リスクマネジメント入門
広報コンサルタント 石川慶子
私がリスクマネジメントを意識するようになったのは2000年からである。それまで広報コンサルタントとして企業や団体の売り込みたい情報のみをメディアを中心に配信していたが、どうもそれだけでは「信頼」を築けないと感じ始めたからである。製品不具合やミス、不祥事といった悪い情報が最初に発覚した時に、組織はどう対応すべきか、すぐに公表すべきなのか、再発防止策だけ内部で講じればいいのか、再発防止体制が整った段階で公表すべきなのか、公表しないことで第二第三の被害者は出ないのか、国民の知る権利はどこまであるのか、組織の社会的責任とは何か。そもそも問題は起こってからでないと対処できないものなのか、事前に起こらないよう回避する手法はないのだろうか、と考え、さまざまな事例研究をしてきた。今回は、2009年11月15日にリスクマネジメントの国際的なガイドラインとして発行されたISO31000を中心に、リスクマネジメントの基本的な考え方と手法の一端を紹介する。わかりにくい部分については、私が所属している特定非営利法人日本リスクマネジャー&コンサルタント協会(略称:RMCA,平成5年設立)の考え方や私の経験から言い方を変えて補足説明する。
なぜリスクマネジメントなのか
では、なぜリスクをマネジメントしなければならないのだろうか。ひとことで言ってしまうと組織存続のためである。司法書士会の場合には、企業のような倒産はないかもしれないが、マスコミ報道拡大による司法書士業へのイメージ悪化→依頼件数の減少→会員の収入減収→司法書士希望者の減少→司法書士会の活動縮小→職業としての社会的存在価値の低下(=存続危機)といった負のスパイラルが考えられる。
人々の意識の変化も背景にある。組織の社会的責任規格(ISO26000)が、2010年11月に発行されたことをみても、組織に対する世間の風当たりが強くなっていること、説明責任要求が時代の流れであることがわかる。司法書士会の苦情処理件数も、平成12年の71件から平成21年の886件と10倍になっている。(司法書士白書2011年版)「おかしい」「説明せよ」「是正すべきだ」と思う人々は確実に多くなっている。
2003年の経済広報センターの調査では、「不祥事の再発防止にために取り組むべきこと」として、「内部通報窓口の設置」と回答している人が最多であった。「社員への倫理教育」や「倫理方針策定」よりも多かった。これは、2006年施行の公益通報者保護法よりも3年も前の人々の意識調査結果だ。世論も法律も「組織内でヘルプラインを設置し、自浄のための努力をせよ」という声が高くなってきている。図1<経済広報センターの意識調査結果図>
リスクを予想することは可能か?
歴史的観点から振り返ると、これまで起きた大事故や大事件の調査をすると、結局のところ、予防可能であったと結論づけざるを得ないケースが増えている。
例えば、兵庫県尼崎市のJR福知山線脱線事故から6年経った2011年4月25日、遺族らでつくる「4・25ネットワーク」とJR西日本は1年半の議論の末事故原因についての報告書を発表した。最大の反省点を「事故の予兆管理を組織的に構築できず、潜在リスクを十分に洗い出せなかったこと」と明記し、①リスクを予測する体制の不備②縦割りの業務運営③ミスなどを積極的に報告する環境の不十分さなどを挙げた。さらに「ミスで遅れを出した運転士に焦りや動揺をもたらす可能性は否定できない」「運転士のヒューマンファクターに関する分析が不十分だった」と指摘している。つまり、防げた事故である、経営者のマネジメント不足だとまとめている。2011年3月の福島原発事故においてもおそらく同じような結果が出ると私は予測している。
リスク(危険)とクライシス(危機)は何がちがう?
「リスク」と「危機」を同じ意味で使っている人が多いのだが、時間軸で見るとはっきりと異なる。「危険(RISK)」と「危機(CRISIS)」この2つの言葉の違いについて定義する。I「RISK」の語源はフランス語で、「絶壁の間を船で行く」、「自ら覚悟して犯す危険」という意味だが、イタリア語で「勇気を持って試みる」という意味の”risicare”が語源であるという説もある。「CRISIS」は元々ギリシア語で、「将来を左右する分岐点」という意味。英語では、「不測の事態」などと訳される。つまり、「危険(RISK)」は「危機(CRISIS)」を予測しながら前進するという点で、より広い概念になる。
「危険(RISK)」とは「危機(CRISIS)の発生する前の段階」のこと。危険な状態というのは、危機が発生するかもしれないし、発生しないかもしれない状況にあるため、将来の危機を予測することができれば、その危機を回避する、あるいは起こってもダメージを最低限に防ぐ対策を立てるための準備ができるということだ。一方、「危機(CRISIS)」は「不測の事態」と訳されることからもわかるように、リスクとして予測することが不可能、回避することができないこと、起きてからしか対応できないこと、と捉えることができる。
少し脱線するが、2011年の震災時の福島原発事故で東電社長が記者会見で繰り返した「想定外」という言葉に違和感を持った人が多くいたことを思い出してほしい。それもそのはずで、そもそも危機管理(クライシスマネジメント)とは「不測の事態=想定外」のことをマネジメントすることを意味するから、「想定外であった」は「危機管理をしていなかった」と言っているようなものだから、マスコミをはじめとする世論の反発を招いてしまったのだ。図2<リスクとクライシスの違い図挿入>
リスクマネジメントにおけるコミュニケーションの位置づけ
しかし、日本語では「危機管理」の方がなじみやすく、一般的にも「危機管理」という言葉の方がよく使われている。このことは、グーグルで検索するとよくわかる。2011年12月時点で、「危機管理」は約1370万ヒット「リスクマネジメント」は約430万ヒットである。ちなみに5月の時点では、危機管理が460万、リスクマネジメントが300万ヒットであったことを考えると、危機管理が3倍のヒット数になっている。予防できない大地震が3月に起こったことの影響だろう。どうしても「リスクマネジメント」という言葉に違和感があれば、「平時の危機管理=リスクマネジメント」と認識しても構わない。
ISO31000に話を戻すと、「組織のあらゆる活動には、リスクが含まれる。組織は、リスクを特定し、分析し、自らのリスク基準を満たすために、リスク対応でそのリスクを修正することが望ましいかを評価することによって、リスクを運用管理する。このプロセス全体を通して、組織は、ステークホルダーとのコミュニケーション及び協議を行い、さらなるリスク対応が必要とならないことを確実にするために、リスク及びリスクを軽減するための管理策をモニタリングし、レビューする」と序文で述べられている。私が着目しているのは、「このプロセス全体を通して、組織は、ステークホルダーとのコミュニケーション及び協議を行い」の部分だ。よくありがちなのが、組織内でリスクマネジメント委員会を作り、その部署で内密に検討し、対策を立て、他の人には何をやっているかわからない状況に陥ることだ。組織構成員、時にはマスコミや一般生活者に対して組織の問題点やリスク事項を開示して説明する、あるいは課題策を共に協議すべきではないだろうか。図3<リスクマネジメントとクライシスマネジメント概念>
図4<ISO31000図挿入>
序文 | |
---|---|
1. 適用範囲 | |
2. 用語及び定義 | |
3. 原則 | |
4. 枠組み |
4.1 一般 4.2 指令及びコミットメント 4.3 リスクを運用管理するための枠組みの設計 4.4 リスクマネジメントの実践 4.5 リスクマネジメントの枠組みのモニタリング及びレビュー 4.6 リスクマネジメントの枠組みの継続的改善 |
5. プロセス |
5.1 一般 5.2 コミュニケーション及び協議 5.3 組織の状況の確定 5.4 リスクアセスメント 5.5 リスク対応 5.6 モニタリング及びレビュー 5.7 リスクマネジメントプロセスの記録作成 |
一番の要はリスクの発見
一番の要となるのが「リスクの洗い出し」だ。ここで洗い出しされないと回避どころか対策を立てることができないからだ。リスクマネジメントは、「あらゆる時点で、数多くの領域および階層において、組織全体に適用することも、特定の部門、プロジェクトおよび活動に適用することもできる」。司法書士会であれば、司法書士個人のリスク、各司法書士会単位でのリスク、連合会でのリスクには何があるのか、あるいは、依頼者とのトラブルだけでなく、各会が実施する相談会などのプロジェクトごとのリスクにも目を向けるということだ。また、「効果的なリスクマネジメントを実施するためには、組織内外の現状をよく知ることから始めるべきだ」。例えば、過去の事件事故、新聞報道、クレーム内容、取材内容、内部通報、ネットの書き込みなど、ネガティブ情報がありそうなところから、ありとあらゆるところから集めてくる作業が必要だ。
過去のヒヤリハット情報を収集するのには意味がある。1つの大きな事件事故の背景には小さな事故があるという「ハインリッヒの法則」があるからだ。この法則は、米国の安全技師H.W.ハインリッヒが、1931年に『産業災害防止論』の中で発表したものだ。「1つの重大事故の背後には、29の小さな事故があり、さらに顕在化しない異常が300ある」。顕在化しない異常とは、要するに、人がおかしいのではないか、と感じたこと。2000年に内部告発された三菱自動車工業リコール隠し事件は内部告発で明らかになったが、そこにも顕在化しない異常が組織内に蔓延していた。
―――他の部署のことを気にしたり口に出したりしてはならないような雰囲気があった。人の仕事に口を挟むのは『洗練されていない』として嫌われる。「もっと改善しなければならないことがあることを十分わかっていて、それを口に出さず、行動を起さないところが、わが社の社風であり、伝統なのです」「不都合な点への提言の場の不足」「日常の業務の中での不平不満の蓄積」が内部告発につながった。「言われるままにやらなければいけないのかな」「社会にうそをつくのか、それとも組織を辞めるのか」疑問を抱えながら、やがてそうした意識は薄れていった――――「内部告発の力」(奥山俊宏著)より抜粋
このような「顕在化しない異常」、不平不満、不文律といったこともリスクとして洗い出していくことができれば、重大事故や最悪の事態を回避することにつながる筈だ。図5<ハインリッヒの法則図挿入>
リスクを頻度とダメージで分析する
リスクの深刻性を「影響規模」と「起こりやすさ」で分類すると、4つのカテゴリーになる。近い将来に起こる、あるいは頻繁に起こる事象で発生した際の被害が大きいリスクについては、当然、最優先でリスク対策を立てなければならない(Ⅰのエリア)。次に優先度が高いリスクは、頻繁には起こらないけれど、発生した際の被害が大きい事象になる(Ⅱのエリア)。頻繁には起こるが、被害額は大きくない事象(Ⅲのエリア)、最後が滅多に起こらず、しかも起こった際の被害が小さい事象(Ⅳのエリア)に分けることができる。
洗い出したリスクに番号をつけて、マッピングし、リスク対策を立てる優先順位を決める。たとえばだが、「影響規模」については、「大」は全国報道される、「中」は地方紙で報道される、「小」は報道されないという枠組みとし、「起こりやすさ」は、「高」が「1年に一度」、「中」が「5年に一度」、「小」が10年に一度」の頻度と規定したとする。これを、司法書士会でのリスクで考えてみる。①相談票のファックス送信ミスによる情報漏洩、②司法書士会会長のセクハラ、③会員による預かり金横領、④会館の来訪者入館チェック漏れ、をそれぞれマッピングしてみよう。発生確率は過去のデータから推測する。①の送信ミスによる情報漏えいは、過去の記録では1年前に発生していたとする。情報の中身によっては、地方紙で報道される可能性は高いため、Ⅲ。②のセクハラは、一般的に新聞報道されないが、地方の名士であれば、報道される。また、セクハラした相手が著名人である、セクハラの内容がひどい場合には、珍しさから全国報道される。発生確率は人格によるため、どのエリアでもありうる。③の横領は、1年以内に発生しており、全国報道もされている場合にはⅠ。④の入館チェック漏れは、年に数回発生していても、報道はされないため、Ⅲ、となる。図6<分析マップ図>
リスク対策は環境要因に目を向けて
リスク対策手法には、①回避、②軽減、③低減、④保有の4つがある。Ⅰにマッピングされた③の会員による預かり金横領について考えよう。まずは、発生頻度を下げる低減策を打つにはどうしたらいいだろうか。一般的には会員への研修の実施や義務化などが考えられるが、これだけでいいのだろうか。横領した人の動機や環境にも目を向けるべきだ。ようやく司法書士になったのに、報酬がなかなか得られず思わず横領したかもしれないし、家族とうまくいかずギャンブルにのめり込んでしまったかもしれない。あるいは、ヤクザに脅されてやってしまった、悩みを相談できる人がいなくてやってしまった。。。このような背景が浮かび上がった場合には、研修だけではなく、相談しやすい環境づくりや先輩が新人を精神面からサポートするメンター制度、家族ぐるみの付き合い促進などもリスク対策として位置付けて立案することが必要だ。
環境要因を分析した各種施策により、リスクの発生頻度を減らすことができれば、Ⅱにエリアに低減させることができる。では、このダメージが大きいⅡのカテゴリーにあるリスクを軽減させるにはどうしたらいいのか。滅多に起きないことが起きてしまった場合には、起きた後の対応を考えておくことがダメージの軽減につながる。リスク軽減に役立つのがさまざまなクライシス発生を想定したトレーニングだ。避難訓練やシミュレーショントレーニング、メディアトレーニングなどさまざまな手法がある。これらのトレーニング実施により、さらにリスクを洗い出し、評価し改善に向けて努力を続ける必要がある。
私が専門とするメディアトレーニングでは、起こったことをどのように説明すべきか。謝罪するのであれば、誰に何を謝罪するのか。誤解を招く表現は何か、目標としたイメージ通りの報道になったか、など表現や広報戦略を中心に訓練を行う。トレーニングで課題が浮き彫りになれば、問題の背景について調査や分析を深め、新たな改善策を打ち立てる。
意識変化のスピードは速いので常に見直す
これまで説明してきたように、リスクマネジメントのサイクルは、リスクの調査→分析→リスク対策の検討・選択→対策の実行→結果の評価・分析→改善となる。それぞれプロセスごとにチェックリストを作成するが、一般団体にも当てはまるチェック項目をピックアップして列挙してみたので参考にしてほしい。今の社会はITインフラが発達しており、一瞬のうちに情報が駆け巡る。意識変化のスピードも速いので、常に見直しをかける必要がある。前もこれで大丈夫だったから今回もこれで大丈夫、という気持ちは禁物だ。常に、これでいいのだろうか、と疑いの目を持って改善に向けて努力し続けなければならない。
リスク調査
□ 新聞報道や業界動向から新たなリスクに対する情報収集を常に行っているか
□ リスクの発見に漏れはなかったか
□ 事故発生の背後にあるハザード(環境的要因)にも目を向けているか
□ 新たに発見されたリスクを放置していないか
リスク分析
□ リスク分析におけるダメージの指標は適切だったか
□ リスク分析における頻度の指標は適切だったか
□ 実際に発生したクライシスと予測していたリスク評価値が一致しているか
リスク対策
□ 実際に起きたクライシスを防止する方法はなかったか
□ 今後のクライシスを防止する新たな方法はないか
事後対策
□ クライシスに対する事後対策は適切だったか
□ 事後対策を怠ったために二次的なダメージが生じなかったか
□ 事前に準備したマニュアルは有効に機能したか
□ マニュアル通りにいかなかったことは何か
□ マニュアルは改善されたか
参考図書「ISO31000:2009リスクマネジメント 解説と適用ガイド(日本規格協会)」