危機管理の新潮流~「災害対応」から「マルチインシデント対応」へ~

2021/12/23 柳谷 公彦、新藤 一葉
ガバナンス・リスク・コンプライアンス
リスクマネジメント

1. 危機管理の高度化が求められる背景

2020年に発生した新型コロナウイルス感染症の感染拡大をはじめ、近年激甚化している自然災害や大規模サイバー攻撃といった危機は、多くの企業でなされていた事前の想定をはるかに超えて、企業の業績に多大な影響を及ぼすばかりか、その存続を脅かすケースまで見受けられる。これまでに幾度となく発生してきた危機事象を受けて、大企業を中心に対応体制の強化やマニュアル整備などが進められてきたものの、外部要請に応えるべく設置したリスク管理委員会において本質的な議論がなされていなかったり、過去に制定した規程・マニュアル類の経営環境の変化に伴う見直しが実施されていなかったりと、近い将来発生しうる様々な危機事象に対して実効性のある危機対応態勢を整備できている企業は必ずしも多くない。

本稿では、これからの企業に求められる、あるべき危機対応態勢を整備するにあたって有用と考えられる取り組みについて論じていきたい。まずはその前提として、以前にも増して危機管理の高度化が求められている背景を2つの側面から解説したい。

(1) 企業を取り巻くリスク環境の複雑化

近年、情報技術の発達や国際情勢の複雑化、多様な価値観の登場などに伴い、これまでは特段問題とはならなかった事象が、企業に巨額の経済的損失を与えたり、長年に亘り築き上げてきたブランドイメージを大きく毀損してしまったりする事例が後を絶たない。特に、気候変動の影響を受けて激甚化・多頻度化している風水害や、グローバル化の影響を反映して急速に拡大した新型コロナウイルス感染症、インターネットやSNSの普及に伴い爆発的に拡大する風評被害など、以前にはほとんど想定されていなかった、あるいは一定程度想定はされていたものの、その影響が事前の想定をはるかに上回る可能性があるようなリスク(=エマージングリスク1)が、実際に発現している。

このように企業を取り巻く外部環境が日々変化しているのと同時に、企業活動においても、情報技術や取引先・業務委託先への依存度が過去と比較して増大したことにより、情報漏洩リスクやその他のサードパーティリスク(外部委託先の倒産等による業務停止、調達先による人権侵害、等)への懸念が高まるなど、企業内部およびその周辺環境においても大きな変化が見られるようになっている。

(2) 企業の危機管理(リスク管理)に対する外部要請の高まり

2000年代以降、株主代表訴訟において、取締役には、企業のリスク管理体制(内部統制システム)を構築し、その運用を監視すべき法律上の義務がある旨の判決2が出るなど、株主による企業のリスク管理に対する要請は以前にも増して高まってきていることがうかがえる。また、2006年に国連が責任投資原則(PRI: Principles for Responsible Investment)をはじめて提唱して以来、財務情報に加え、環境(Environment)、社会(Social)、およびそれらを支えるガバナンス(Governance)といった非財務情報を考慮するESG投資が加速化しており、中長期的な持続可能性を意味する「サステナビリティ(Sustainability)」というワードが欧米を中心として世界的なトレンドとなっている。海外投資家を意識している日本政府としても、改訂版コーポレートガバナンス・コード(2021年6月)3において、「・・・、自然災害等への危機管理など、サステナビリティを巡る課題への対応」は企業にとっての重要な経営課題であると認識すべき旨を強調している。加えて、欧米で先行している、気候変動リスクをはじめとするESGリスクに関する情報開示の義務化についても、日本でも導入の検討が進められているとともに、IFRS財団による国際基準策定の動き4もある。このような株主や政府を中心とした企業のリスク管理に対する要請の急速な高まりに伴い、従業員や取引先企業、一般消費者など、その他のステークホルダーからの期待や要請も高まりつつある。

上記2つの側面は実のところ表裏一体の関係にある。企業を取り巻くリスク環境が複雑化したことにより、企業に対する危機対応態勢整備の要請が高まっている一方で、その傾向自体が、企業が以前に比較して危機に陥りやすくなるリスク要因になっていると捉えることもできよう。たとえば、近年では、企業が顧客・社会に影響を与える重大な事件・事故を起こしてしまった場合における企業の対応姿勢そのものに対する注目度が飛躍的に高まっており、「発生してしまった危機事象に適切に対応できない」こと自体が、企業にとって重要なリスクとなっている。このような近年の経営環境の変化により、企業が危機対応態勢の整備に努めることの必要性はより一層高まっている。

2. 「想定外リスク」への対応

危機管理には、危機事象の発生を未然に防ぐ「予防」と、発生後の危機事象を収束させる「対応」の大きく2つの段階がある。当然危機事象の発生を未然に防げることに越したことはないが、先に述べた「エマージングリスク」をはじめとする危機事象を、企業の自助努力のみで完全に防止することは現実的に困難である。そのため、「危機事象は将来必ず発生する」という前提のもと、不測の事態に備え、その被害を低減するための対応態勢を整備しておくことが肝要である。しかしながら、従前の企業の危機管理においては、一部の災害事象や過去の経験に基づいて認識したリスクへの個別対応にとどまっている場合が多い。

急速に変わりゆく世の中において、常に企業には留意して捕捉すべきリスクが存在する。それに関連して、ここでは「非期待損失」の考え方を紹介したい【図表1】。「非期待損失」とは、発生頻度は低いものの、万が一発生した際には企業に壊滅的な影響を与えうる性質のリスクを損失として定量化したものであり、言わば「想定外のリスク」を指している。非期待損失は、元々は信用リスク計測において用いられ始めた概念であり、信用ポートフォリオにおける「最大期待損失」から、将来経常的に発生が予想される平均的な「期待損失」を除いたものとされている。金融機関などではこの「非期待損失」を算出して、自己資本の充分性を検証しようとする取り組みも見られるが、大多数の企業にとって、実際に「非期待損失」を定量的に算出すべきか否かについては、個別の企業の状況次第である。しかし、いずれにしてもこのように発生頻度が低いとはいえ、万が一発生した際には企業に巨額な経済的損失を与え、場合によっては企業の存続自体を脅かしかねない「非期待損失」を発生させうる「想定外のリスク」を、企業がいかに認識し、予防・低減していくかが求められていることは明らかであろう。

【図表1】信用リスクの期待損失・非期待損失モデルの概念(イメージ)

図 信用リスクの期待損失・非期待損失モデルの概念(イメージ)

(出所)当社作成

かつてと比較し、多くの企業が、地震やテロのように、その発生場所やタイミング、影響等を想定することが困難であっても、発生すること自体は想定可能なリスクについては、おおむね漏れなくリスク一覧に取り入れて管理してきている。しかし近年の国際情勢などの変化に応じて、これまで想定外であったリスクを識別し、これらの「想定外リスク」が与えうる経営全体に対する中長期的な影響についても適宜検討している企業はまだ多くはないのが現状である【図表2】。

そこで次章では、想定されうる様々な危機事象(=マルチインシデント)への対応力を強化するための具体的手法として、「事象ベース」および「経営資源ベース」の双方の観点からのアプローチについて解説したい。

【図表2】「想定外事象」への対応(イメージ)

図 「想定外事象」への対応(イメージ)

(出所)当社作成

3. 「事象ベース」と「経営資源ベース」の両面からの危機管理

「事象ベースの危機管理」とは、これまでの想定の範囲を超えて、自社にとって重大な影響を与えうる危機事象・リスクを幅広く捕捉し、シナリオ分析を実施してそれに備えることを指す。対応策としては、たとえば事業継続計画(BCP: Business Continuity Plan)の策定などが挙げられるだろう。

これに対して「経営資源ベースの危機管理」とは、自社にとっての経営のコアとなる「経営資源」を把握し、これを早期に確保・復旧できるような施策を予め検討しておくことを指す。あらゆる想定外事象・リスクを漏れなく捕捉するのは実質的に困難であるという前提のもと、万が一思いもよらぬ危機事象が発生してしまった場合においても、自社の業務を止めることなく事業を継続できる「レジリエンス(回復力、復元力)」を強化しておく取り組みといえる。

この両面から自社の対応策を検討しておくことにより、これまで想定外であった危機事象に対して具体的な対応策を検討できるのと同時に、万が一想定を外れた危機事象が発生した場合においても、それに耐えうる事業継続能力を確保できる態勢を構築することができる【図表3】。以降、「事象ベースの危機管理」および「経営資源ベースの危機管理」それぞれについて、具体的な検討方法を見ていく。

【図表3】「事象ベース」×「経営資源ベース」両面からのアプローチ(イメージ)

図 「事象ベース」×「経営資源ベース」両面からのアプローチ(イメージ)

(出所)当社作成

(1) 事象ベースの危機管理 ~想定外リスクの識別およびシナリオ分析~

企業のリスク管理において、エマージングリスクをはじめとする「想定外リスク」を検討するにあたっても、通常のリスク管理同様、そのファースト・ステップはリスクの存在の「認識」であり、続いて「評価(=影響の見える化)」となる。しかし、「想定外リスク」の影響は広範かつ複雑であるため、従来のリスク管理で実施していたような個別企業からのミクロの視点では、そのリスクの全体像を把握することは困難である。この場合、社会や環境全体を踏まえたマクロの視点からもアプローチすることが有効である。マクロの視点からのリスクの把握においては、たとえば各国の政府機関やインテリジェンス機関等が公表しているレポートを参考にすることができる。それらを用いて情報を収集し、世界全体に大きく影響を与えるような潮流(=メガトレンド)を把握し、可能な限り幅広くリスクを識別することで、少なくとも自社の経営あるいは業務継続に甚大な影響を及ぼしうる重要リスクを管理対象から外さないようにすることが肝要である。

マクロ視点からの情報収集により多数の「想定外リスク」を捕捉した場合、そのすべてについて詳細なシナリオ分析を実施することは現実的には不可能である。そのため、捕捉した「想定外リスク」をすべて記載したロングリストを作成した上で、たとえば「今後〇年以内での顕在化の可能性」や「影響の地理的範囲」などのフィルターをいくつか設定し、自社の経営環境と照らし合わせて検討対象を絞っていく方法が現実的であろう。

個別の「想定外リスク」に対するシナリオ分析においても、官公庁などが公表しているレポートを活用することができる。それらの情報を基に、まずは各インフラ(電気、水道、通信、鉄道、空港、等)や各産業(農業、製造業、金融業、運輸業、サービス業、等)への影響を推定し、その結果としての自社事業への影響を分析することが考えられる。また、影響の推定においては、たとえば「発生直後」「1週間後」「1ヵ月後」・・・「1年後」など、時間軸で区切って整理することが望ましく、より具体的な対策の検討につながるであろう【図表4】。

【図表4】想定外リスクの識別およびシナリオ分析

図 想定外リスクの識別およびシナリオ分析

(出所)各レポート表紙は外務省、防衛省、World Economic Forumのウェブサイトより引用。他は当社作成

(2) 経営資源ベースの危機管理 ~重要な「経営資源」の特定と早期確保・復旧~

先に述べたとおり、経営資源ベースの危機管理とは、自社にとっての経営のコアとなる重要な「経営資源」を特定したうえで、これを早期に確保・復旧するための対応策をあらかじめ検討しておくことをいう。自社の業務を止めることなく事業を継続できる「レジリエンス(回復力、復元力)」を強化するための取り組みである。

実際には、危機発生時にすべての業務を早期復旧・継続しようと試みることは現実的ではなく、リスクベースにより、優先的に復旧・継続すべき経営資源をあらかじめ選定しておくことが本取り組みの肝となる。具体的な手順としては、まずは自社の経営戦略の観点や顧客・社会の目線等から、自社にとって重要度の高い経営資源を選定することから始めることになる。たとえば、自社の売上の大部分を占める商品・サービス、その重要商品を製造するマザー工場、製造に欠かせないITシステムや技術者等がこれに該当するだろう。重要な経営資源の特定にあたっては、自社内にとどまらず、サプライチェーン全体を俯瞰し、サードパーティが保有する経営資源も含めて検討する必要がある点に留意が必要である。業務の一部をサードパーティが担っている場合には、そのサードパーティ自体を経営資源のひとつとして整理することも検討すべきである。たとえば、重要商品の製造に不可欠なコア部品を供給する仕入業者や、これら重要商品をグローバルに流通させるロジスティクス業者などが、これに該当するだろう。

次のステップとして、特定した経営資源が何らかの事由により利用できなくなる等のケースにおいて、これら資源を早期に確保・復旧するための計画を策定する。なお、経営資源への影響の特定においては、前述の「事象ベースの危機管理」において実施したシナリオ分析の結果とも照合しておくことで、対応策の取りこぼしを防ぐことにも繋がるだろう。復旧策(いわゆるBCP)に盛り込むべき内容としては、緊急時の対応体制、アクションリスト、経営資源の目標復旧時間・方法、代替手段、当局への報告方法等が挙げられる。万が一危機事象が発生してしまった場合にも即時に必要な対応が取れるように、これらの決まり事を平時からきちんと定めておくこと、また、代替手段への切り替えなどがスムーズにできるよう日頃から訓練を積んでおくことが重要である。さらに、策定した復旧策により目指す事業継続レベルが維持できそうか、代替手段により発生する二次被害はないかなど、策定した復旧策に対する評価・検証を実施しておくことも重要となる【図表5】。

【図表5】重要な「経営資源」の特定および復旧策の策定

図 重要な「経営資源」の特定および復旧策の策定

(出所)当社作成

4. 中長期的な企業価値の向上に向けて

ここまで述べてきた「事業ベース」×「経営資源ベース」の両面からのアプローチに基づくマルチインシデントへの対応力強化は、中長期的な企業価値を継続的に向上させていくための基盤となる。冒頭でも一部述べたが、改訂版コーポレートガバナンス・コード(2021年6月)において次の箇所が追記・改訂され、サステナビリティを巡る課題への対応の重要性と、それらの取り組みが中長期的な企業価値の向上につながることがより一層強調されている。

補充原則2-3①
取締役会は、気候変動などの地球環境問題への配慮、人権の尊重、従業員の健康・労働環境への配慮や公正・適切な処遇、取引先との公正・適正な取引、自然災害等への危機管理など、サステナビリティを巡る課題への対応は、リスクの減少のみならず収益機会にもつながる重要な経営課題であると認識し、中長期的な企業価値の向上の観点から、これらの課題に積極的・能動的に取り組むよう検討を深めるべきである。
(出所)改訂版コーポレートガバナンス・コード(2021年6月)

不透明性が高まる昨今の社会情勢において、今後も「サステナビリティ」や「中長期的な企業価値の向上」を重視する流れはますます加速することが予想される。本稿で紹介した危機対応態勢の強化に向けた取り組みを実施するには相応のコストと時間を要するが、万が一危機に陥って巨額の経済的損失やレピュテーションの毀損をこうむることを思えば、十分に合理的な取り組みであると考えられる。目先のコストにとらわれず、真の意味での「中長期的な企業価値の向上」に向けて、企業が積極的・能動的に取り組む姿勢がまさに問われているといえるだろう。

 

1 世界経済フォーラムが発行している「第16回グローバルリスク報告書2021年版」では、リスクを「経済、環境、地政学、社会、テクノロジー」の5つに分類したうえで、短期的リスク(0~2年)、中期的リスク(3~5年)、長期的リスク(5~10年)として整理して公表している。たとえば、長期的リスクとして、「国際的に重要な産業や企業の崩壊」(経済)、「気候変動への適応(あるいは対応)の失敗」(環境)、「国家の崩壊または危機」「国際機関の崩壊」(地政学)、「科学への反発の広がり」(社会)、「テクノロジー進歩による悪影響」(テクノロジー)等、これまでに想定することが難しかった、あるいは発現した場合の影響が甚大となりかねないリスクを取り上げており、これらもエマージングリスクといえるだろう。

2 大和銀行株主代表訴訟事件(大阪地裁平成12年9月20日判時1721号3頁)、神戸製鋼所株主代表訴訟事件(神戸地裁平成14年4月5日和解所見・商事1626号52頁)

3コーポレートガバナンス・コード~会社の持続的な成長と中長期的な企業価値の向上のために~」 (株式会社東京証券取引所 2021年6月11日)

4 第26回国連気候変動枠組み条約締約国会議(COP26)にて、IFRS財団が気候変動リスクの情報開示の基準策定を担う新組織として国際サステナビリティ基準審議会(ISSB)の設立を発表した。

テーマ・タグから見つける

テーマを選択いただくと、該当するタグが表示され、レポート・コラムを絞り込むことができます。