トーマツグループは日本におけるデロイト トウシュ トーマツ リミテッド(英国の法令に基づく保証有限責任会社)のメンバーファームおよびそれらの関係会社(有限責任監査法人トーマツ、デロイト トーマツ コンサルティング株式会社、デロイト トーマツ ファイナンシャルアドバイザリー株式会社および税理士法人トーマツを含む)の総称です。詳細はwww.tohmatsu.com/deloitteをご覧ください。
リスクの識別と評価の支援
リスクの識別と評価は、リスクマネジメント構築の第一歩です。
リスクはその性質が多様であり、企業の様々な分野に影響を与えるため、リスクの認識には構造化されたアプローチが必要になります。また、それぞれのリスクに対して、原因となるリスク要因と予期される結果が認識され、評価されなくてはなりません。
また、一度リスク評価を行った後も、外部環境の変化などにより新たなリスクが発生することや、リスクの重要性が変化することがあります。時間の経過とともに変化する状況を踏まえ、リスク評価の見直しを行うことも大切です。
トーマツでは、リスクの識別と評価およびその見直しの、効率的、効果的な実施を支援します。
リスクの識別とリスク インテリジェンス マップ®
効果的にリスクを識別するためには、企業が事業分野全体をバリューチェーンの視点からビジネスプロセスにおけるリスクを検討することが有効です。トーマツでは、リスク インテリジェンス マップ®を活用することで、バリューチェーンの視点を取り入れたリスクの識別を支援します。
リスク インテリジェンス マップ®とはトーマツの提供するリスクマネジメントに関するノウハウの一部で、リスクの分類方法や具体例を提供するデータベースです。このリスク インテリジェンス マップ®を用いることでリスク識別の網羅性を補完し、企業に係るリスクを広範に検討することが可能になります。
そして、それらのリスクをマップ上で可視化することで、一覧で全体像が把握できるようになり、リスクの分類や各企業個別のリスクに関する議論を効率化することが可能となります。また、ビジネス活動や業務に沿ってリスクの把握を行うことで、改善活動を業務に落し込むことが容易になるというメリットもあります。
リスク インテリジェンス マップ®では、約650項目にわたるリスクが4つの階層に区分して説明されています。第1階層では、ガバナンス、戦略と計画、業務運営/経営インフラ、コンプライアンス、開示・報告の5つの主要なビジネス活動に分類されています。それぞれ第2階層、第3階層でさらに区分、整理され、第4階層において個々のリスク事象の例が記載されています(上記の図は第3階層まで一部例示したものです)。トーマツでは、企業個別のリスクに基づいたリスク インテリジェンス マップ®のカスタマイズサービスも実施しています。
リスクの評価と脆弱性モデル
識別されたリスクの評価・測定と優先順位付けを行います。リスク評価は、様々な部門の異なったリスク管理者によって実施されることが多いため、リスク評価の基準をそろえ、リスク同士の比較ができるようにすることが重要なポイントとなります。トーマツでは、リスク インテリジェンス マップ®を活用して全組織のリスクを一覧化することで、リスク管理者間の議論を活性化するとともに、全社的な視点でリスク同士の比較を行うことを促進します。
また、通常のリスク評価のやり方としては、影響の大きさと発生可能性を軸として評価することが一般的ですが、トーマツではもう一つの方法として、発生可能性の代わりに脆弱性を用いたモデルでのリスク評価も実施しています。
このリスク評価モデルでは、企業に突然死をもたらすような、リスクの影響度が極めて高いケースについては、発生可能性が低い事象であってもリスクが高いと評価され、相応の注意が振り向けられるようになります。現実的な問題として、企業の重大な価値の損失は、「影響度」が高く発生可能性の低い事象による場合が多いとの調査結果(「Disarming the Value Killers」デロイトリサーチ、2005年)も出ており、そのようなリスクにも確実に対応することが大切になります。
また、もうひとつの利点として、脆弱性を軸に評価することにより、識別、評価した各リスクへの次の対応が考えやすくなることが挙げられます。
・「M」(Mitigate:リスクの軽減)
影響の大きなリスクであり、しかも脆弱性が高く、企業のリスク許容度の範囲に収まっていません。大きなリスクが野放図になっている状態であり、リスク軽減のための対策強化が必要となります。
・「A」(Assurance:保証)
影響の大きなリスクであるがリスク対策の結果、脆弱性が低減され、企業のリスク許容度の範囲に収まっていると認識されています。リスク対策は十分か?形骸化していないか?というモニタリングを実施し、状況の変化に対応したリスク対策の効果を保証することが必要となります。
・「R」(Redeploy:資源の再配置)
影響の小さなリスクであり対策も行われています。過剰なリスク対策を行っていないか、というコスト面や効率面での対策の見直しが次の対応として考えられます。
・「CI」(Measure for Cumulative Impact:累積影響の測定)
影響の小さなリスクであり対策はあまり行なわれていません。このようなケースでは、リスクが累積したときに重大な影響となるかどうかを判断することが対応として大切です。