1. コントロール
これまで、自身の行っている業務から、起こりうるリスクを抽出し、リスク度を設定いただきました。例えば、資金の銀行等への送金業務をやっているとして、二重払いや誤送金してしまうリスクを抽出したとします。何も対策をしなかったらこのリスクはどう評価されるかというのが固有リスク度と説明しました。影響金額は、送金完了した後の多額な損失の可能性を考えると、High認定せざるを得ませんし、発生頻度もヒューマンエラーとした場合はMiddle以上と判断することになるので、設定したマトリックスにより、リスク度はHigh(直ちに対処しなければいけないリスク)となりそうです。
では、この業務はHighリスクのまま行っているのでしょうか? 経営者や管理者としてこのようなことは普通放置できませんので、何らかの対策を施してリスクが顕在化するのを防いでいると思います。この対策や歯止めのことをコントロールといいます。
リスクマネジメントでは、「現在行っているコントロール」をコントロール欄に記載します。当然コントロールは、1つだけでなく複数ある場合もあります。いくつかのなかで、有効なコントロールがあるはずですが、それをキーコントロールといいます。
上記しました例で言うと、二重払いや桁違いなどの誤送金リスクを減らすために、オペレーター1人ではなく、その上司、さらにはその上司のチェックを経て、最終支払承認をするということが有効です。このダブルチェックというのが、キーコントロールと言えそうです。
2. コントロールの強さ
このあたりになると、数値的な根拠が少なくなるケースが多いので、実施者の主観が入り込み、バラツキが出てくるのが欠点となりますが、抽出したリスクを低減させるために記載したコントロールの強さを評価します。上記しましたように、主管が入るのであまり細かくしても意味が無く、悪い、普通、良いの3段階評価でよいと思います。
その結果と、リスク度をマトリックスにして評価したものが、下表となります。
すなわちリスク度からコントロールの強度を引いたものが残存リスク度となります。
この残存リスク度を管理していくことが、リスクマネジメントの最も重要な活動になるのです。
3. 残存リスク度の考え方
さきほど掲示しました表をよく見てみましょう。
残存リスク度が高いという意味は、想定したリスクが顕在化し、実際に影響が出る可能性が高いということなので、その被害を防ぐため、直ちにリスクを軽減する有効なコントロールを作って実施しなければならないということです。
その目安として、高判定は、1ヶ月以内に対応しなければいけないもの、中判定は、3ヶ月以内に対応しなければいけないもの、低判定は、6か月以内、もしくは1年以内に
対応しなければいけないものとしてみました。
ここで、低低という分類に着目してください。リスクは不可避で発生してしまうこともあります。どんな良いコントロールで手を尽くしても、完全にリスクの顕在化を防ぐことはできないのです。つまり、残存リスク度がゼロになることは絶対に無いのです。
ただ、ゼロに限りなく近づけることはできるでしょうが、そこまでコントロールを強くしても、やり過ぎ感が出ます。つまり、残存リスクが良いコントロールのもと、これ以上のコントロールを置く必要はなく、許容範囲であるという判定が必要となります。この残存リスク度を「低低」としました。低までは何らかの対応が必要ということになりますが、この低低は、現状で良い。特に何もしなくてよいということになります。
アドバイスは、この低低の判断のバランスに注意ください。低以上の比率が高いと毎日毎日リスク発現の可能性にびくびくして夜も寝られない状態だと思います。実際はそのようなことはないので、現在のコントロールで有効という判定は、全体の9割以上になると想定するのが一般的なことと考えております(もちろん例外はありますが)。
4. まとめ
リスクマネジメント活動の一番の中心は、上記しましたコントロールの強さを把握し、現在行っている業務の残存リスク度の状態を管理することです。
残存リスク度が高めに残っている場合は、低減するための改善施策を策定し、方針管理のもと、スケジュールを立て改善計画を進めてもらうことになります。こういった分析を経たうえで、課題の重点実施計画を立てることで、有効な業務改革ができると思います。