リスクマネジメント体制を考える

1. この記事で伝えたいこと

「リスクマネジメントとは何か？」、団体の運営や活動を進める中でその考え方がどのように役に立つのか、については、これまで2回にわたり、リスクマネジメント活動（リスクアセスメント、リスク対応）を進めていく際の留意点を解説しました（第1回、第2回）。

一人の個人が事業上の意思決定もリスクマネジメントもすべて行うシンプルなケースとは異なり、組織の事業運営においては、経営層から現場まで複数人が意思決定や事業執行に関与し、組織によっては事業の種類や拠点が複数存在することも想定されます。そのような場合に、実効的にリスクマネジメントを行うためには、どのような仕組み――すなわち「リスクマネジメント体制」――を設計し、運用する必要があるのでしょうか。本記事では、その検討のための留意点や、特に人員・リソースが限られる非営利組織でも着手しやすい具体的な進め方について解説します。

2. リスクマネジメント体制を考える際の視点

(1) リスクマネジメントの「目的」を見失わない

リスクマネジメント体制を考えるにあたり、まず重要なのは、リスクマネジメントの目的を見失わないことです。活動を導入しようとすると、目の前のタスクに目を向けがちですが、サイクル全般を通じて最も重要なのは、リスクマネジメントが組織経営にとってなぜ重要なのか、その目的に絶えず立ち返ることです。

リスクマネジメントの目的は、リスクを漏れなく洗い出し、発生可能性や影響度を正確に評価すること自体にあるわけではありません。将来の不確実な状況を前提に、優先度の異なる複数の目標達成を目指す団体として、限られたリソースをいつ・どのような優先順位で使うか――つまり、目標達成にとって重要なリスクをどのように特定し、優先的にリソースを使うかという判断（意思決定）を行うことこそが目的です。そして、経営者がそのような意思決定を適切に行うために必要となるリスク情報を十分に提供することが、リスクマネジメント活動・体制の意義といえます。

逆に言えば、目標達成にとって重要なリスク情報が、意思決定に携わる人に遅れて共有されたり、不正確に共有されたりすれば、組織の意思決定の質そのものが低下してしまいます。リスクマネジメント体制が適切に機能することは、組織経営の質を支える基盤として極めて重要なのです。

この点を踏まえると、あらゆる組織にとって必要十分な「リスクマネジメント体制」というものは存在しません。事業目的や事業環境等によって直面するリスクの大きさや性質は異なり、団体の規模、複雑性、活用可能なリソースもさまざまです。したがって、自らの組織の経営にとってどのようなリスクマネジメント体制が必要なのか、そしてそれを実際に機能させるためには何が必要かを、個別具体的に考える必要があります。

 

(2) 全社的リスクマネジメント（ERM）という考え方

とはいえ、実務上、何らかの指針や参考情報があれば、体制構築のヒントとして活用できます。その一つとして知られているのが、全社的リスクマネジメント（Enterprise Risk Management、以下「ERM」）のフレームワークです。ERMは、複数の事業を担う企業や組織において、どのようにリスクマネジメントを行うべきか、その重要な要素や考え方をまとめたものです。ERMは営利企業に限らず、海外では非営利・公的セクターにおいても採用されているフレームワークであり、自団体の規模や体制に合わせて必要な要素を取り入れていくという姿勢で参考にすることができます。

複数の事業、組織・拠点を抱える団体のリスクマネジメントには、単一の事業と比較して、特有の難しさがあります。

たとえば、

①事業・拠点ごとにリスク事象の発生可能性や発生した場合の影響度の評価（リスク評価）にばらつきが生じうること（拠点Aが拠点Bよりも緩い基準でリスクを大きく評価してしまえば、団体全体として検討したときに拠点Aのリスクが重要と評価されてしまうおそれがある）

②統一的な基準を設けたとしても、ある拠点の視点では大きなリスクであるが組織全体の観点からみれば相対的に小さなリスクである場合や、逆に、ある拠点では小さく見えているが組織全体としては重大なリスクである場合が存在しうること

等が挙げられます。

②の具体例：拠点ごとには大きなリスクであるが、組織全体では重大とはいえないリスクの例

• 小規模な地域拠点における主要助成金の打ち切りリスク：ある地方で子ども支援活動を行うNPOの一拠点が、活動資金の大半を単一の自治体助成金に依存しているとします。その助成金が打ち切られれば、当該拠点の活動は存続の危機に直面しますが、団体全体としては多様な助成元と寄付者基盤を有しており、当該拠点の予算規模が全体のごく一部であれば、組織全体の財務健全性への影響は限定的と評価されることになります。

②の具体例：拠点ごとには小さなリスクであるが、組織全体では重大なリスクの例

• 各拠点における構成員のハラスメント（セクハラ・パワハラ）：ある活動拠点で、ベテランのボランティアスタッフが新人スタッフに対して威圧的な態度をとっている、あるいは現地駐在員が現地スタッフに対してセクハラを行っているとします。こうした事案が複数拠点で散発的に起きている場合、組織全体としてハラスメント防止の体制やガバナンスに構造的な欠陥があることを示唆するものと受け取られるおそれがあります。とりわけNPO等の非営利団体では、一つの事案が報道やSNSで取り上げられただけでも、団体の社会的信用が大きく毀損され、寄付者や助成機関からの資金の多くが引き上げられるおそれもあります。
• 各拠点での経費処理の小さな不備：各活動拠点で、領収書の紛失や経費精算の遅延といった軽微な会計処理上の問題が起きているとします。個々の拠点では「金額も小さく、悪意があるわけではない」と認識されがちですが、非営利団体は寄付金や助成金という公的性格の強い資金を扱っていることから、こうした不備が複数拠点で慢性化していれば、外部監査や助成機関の調査において「資金管理体制が不十分」と判断され、内容の深刻さによっては、今後の助成の停止、社会的信用の喪失という団体全体にとって重大な事態となるおそれもあります。

 

このような課題に対応するためには、たとえば、（１）団体共通でリスク評価をある程度統一的に実施できるよう、発生可能性や影響度の評価基準を整備し、定期的にアップデートすること、（２）各事業・拠点に共通するようなリスクについては、組織全体で共通の責任者・部署を定めて、そこがリスク評価や対応をリードする責任を持つ仕組みとすること等の工夫が考えられます。

 

3. 非営利組織において具体的にどのようにリスクマネジメント体制の設計を始めたらよいか？

財務的基盤が強固とはいえない非営利組織において、リスクマネジメント活動を意識的に導入し、そのための体制を整備するにあたって、どのような体制が考えられるのか、実務的にはどこから手を付けたらよいのか、気になる担当者の方もいらっしゃるのではないかと思います。以下では、具体的な実務のイメージを持っていただけるよう、あくまで一例としてステップを紹介します。

【まずは「スモールスタート」から始めるという選択肢】

人員やリソースが限られる非営利組織においては、いきなり組織全体でリスクマネジメント体制を導入することが負担となり、結果として取組が進まない、あるいは形骸化してしまうという事態も懸念されます。そのような場合には、まずは一つの事業や一つの拠点を対象に、小さくリスクマネジメントの取組を始めてみることも有効な選択肢です。具体的には、たとえば、以下のような進め方が考えられます。

①　まずは、比較的リスクの顕在化が懸念される、あるいは取組みやすいと考えられる一つの事業・拠点を選び、その範囲内でリスクマネジメントの取組を開始する（たとえば、子どもや高齢者等を対象とした事業、人の生命・身体に影響を与えうる活動を行う事業、海外現地での活動を行っている事業など、リスクの顕在化が特に懸念される事業から始めることが考えられます）。

②　その一つの事業・拠点において、後述するステップ1からステップ6までを小さく一巡させ、自団体にとってのリスク評価の勘所や、現場の負担感、効果的な進め方などを実践的に学ぶ・検討する。

③　そこで得られた知見や成功事例・失敗事例を参考に、他の事業・拠点へと対象範囲を段階的に広げていく。併せて、評価基準やテンプレート、運用のポイントなどを団体共通のものとして整備していく。

④　最終的には、団体全体でのリスクマネジメント体制へと発展させる。

このようなスモールスタート方式には、限られたリソースでも着手しやすいこと、現場で実際に取り組むことで自団体にとっての実効的な進め方を学びやすいこと、成功事例を組織内に共有することで他の事業・拠点の協力も得やすくなること、といったメリットが期待されます。一方で、取組が部分的なものにとどまり、他の事業・拠点には広がらないまま時間が経過してしまうリスクもあるため、「一定期間経過後に他の事業・拠点へ拡大する」といった見通しをあらかじめ経営陣と共有し、中期的な拡大計画の中に位置付けておくという方向も考えられます。

 

以下では、一つの事業・拠点から始める場合でも、団体全体で一度に始める場合でも共通して参考となる、リスクマネジメント体制を構築する際の具体的なステップを紹介します。

• 具体的なステップ

ステップ1：担当者・チームの配置

組織全体（スモールスタート方式の場合は、対象とする一つの事業・拠点）でリスクマネジメント体制を導入する際には、まずリスクマネジメントに一定の時間を割くことが可能な責任者・担当者（あるいは数人からなるチーム）を配置します（以下、「責任者」といいます。）。この責任者が、組織全体のリスクマネジメント活動の推進役となります。

ステップ2：リスク評価基準の策定

責任者は、組織の経営陣とも協議しながら、組織にとっての重要な価値観や目標を整理し、それを前提に、関係者との議論を経て、自組織におけるリスク評価のためのある程度統一的な基準案（発生可能性や影響度等をどのように評価するのかの基準）を作成し、各事業・拠点に対してガイダンスとして提供します。

ステップ3：各事業・拠点へのリスクアセスメントの依頼

責任者は、当該組織の経営者にとって、いつ・どのようなリスク情報が必要かという視点で、各事業・拠点に対してリスクアセスメント（リスクの抽出・分析・評価）を依頼します。各拠点に対する確認方法は、書面、コラボレーションツールを活用した共有ファイルへの入力依頼、各事業・拠点の運営に詳しい担当者へのインタビュー、従業員アンケート、複数人でのブレインストーミング等、さまざまな手法の中から当該団体にとって取り組みやすい方法で実施します。

ステップ4：全社視点でのレビューと優先リスクの決定

責任者は各事業・拠点から集まったリスク評価の内容を組織全体の視点でレビューし、経営陣とともに、優先的に対処すべき重要リスクを決定します。すべてのリスクに一度に対応することは現実的ではないため、たとえば3つから5つ程度に優先リスクを絞り込むことが考えられます。

ステップ5：リスク対応の計画策定と実施

優先すべき重要リスクに対しては、軽減策などの対応にリソースを集中させます。必要に応じて外部の専門家を起用することも含め、対応計画を策定し、実行に移します。一定期間が経過した後には、その対応の効果を確認・評価し、必要に応じて計画を見直します。

ステップ6：サイクルの定期的な実施

以上の団体全体のリスクマネジメント活動のサイクルを、定期的に組織全体で実施します。リスクマネジメントは一度行えば終わりというものではなく、事業環境や組織の状況の変化に応じて継続的に取り組むことが重要です。

 

• リスクマネジメント体制の進展

このステップの流れはあくまで一例であり、組織の成長や責任者や担当者のリスクマネジメント経験の知見の蓄積に応じ、より発展的な体制に変化させていくことも考えられます。

たとえば、リスクの種類・内容ごとに責任者を分けて効率的にリスクマネジメントを実施する体制が考えられます。個人情報等の情報関連リスクやコンプライアンスリスク等は、各事業・拠点で共通のシステム・ルール・教育等の対応策を整備・実施することで、より少ないリソースで効率的なリスク対応が可能となる側面があります。また、各事業・拠点ごとに自ら主体的にリスクマネジメント活動を含む運営を実施させる分散型の体制も選択肢の一つです。

また、前述のスモールスタート方式から始めた場合の発展のさせ方として、たとえば、（１）一つの事業・拠点で得られた知見を踏まえて評価基準やテンプレートを団体共通のものに整備し直す、（２）次の対象事業・拠点に同じサイクルを展開する、（３）複数の事業・拠点で取組が定着した段階で、組織横断的な責任者・部署を設けて団体全体のリスク情報を統合的に把握する仕組みに移行する、といった段階的な発展の道筋が考えられます。重要なのは、最初から完璧な体制を目指すのではなく、組織の成熟度や担当者の経験の蓄積に応じて、無理なく体制を進化させていくという視点です。

 

4. どのような体制であっても共通して重要なこと

最後に、どのようなリスクマネジメント体制を採用するとしても、重要な観点として2点を紹介します。

（1）役割・責任の明確化と人材の育成

リスクマネジメント体制を構築する際には、具体的に、どの部署・責任者がどのような役割・責任を担うのかを明確に決定することが不可欠です。そのうえで、リスクマネジメント活動の全部又は一部を担う方が必要なマインドセットやスキルセットを身につけられるよう、適切な人材配置や教育・研修を実施することがポイントです。

 

（2）経営トップのコミットメントと現場の理解・協力

リスクマネジメントの責任者や担当チームだけでは、団体全体のリスクマネジメントを実現することは不可能です。特に現場が強い団体ほど、各事業・拠点において、リスクマネジメントの重要性に共感できるキーパーソンの協力が欠かせません。

現実には、事業・拠点の現場やキーパーソンは多忙を極めていることが想定されます。そのようなメンバーからの協力を得るために特に重要なのは、経営トップ自らがリスクマネジメントの重要性を訴え、各事業にとっての意義・必要性について「腹落ち」を得ることです。具体的には、リスクマネジメントは各事業・拠点の現場の負担・事務作業の追加ではなく、組織全体として優先順位をつけ、目的達成をもっとも効率的にするために不可欠な活動であること、団体の経営判断の質を高めるという目的を持つ取組みであることを、丁寧に伝える必要があります。リスクマネジメントが組織にとって、本当に重要な対応に時間やリソースを割くことを可能にする、意味のある取組みであることを現場に理解してもらうことが、体制を実効的に機能させるための鍵となります。