運営リスク管理とは？

企業が一連の固有リスクをいかに適切に管理しているかを統合的に把握することで、意思決定とパフォーマンスを向上させる、リスクを意識した文化とそれを可能にする技術に支えられた、一連の実践とプロセスを指します。

企業にリスクをもたらすものは、社内にも社外にも数多くあります。ビジネスのあらゆる手段を駆使して、可能な限り多くのリスクを特定する必要があります。特定すべきリスクは、単発のリスクと繰り返し発生するリスクの両方で特定することが必要です。特定されたリスクは、定性的観点と定量的観点から評価を行います。リスクの頻度、重大性、リスクを防止し軽減するために取るべきアクションなどを検討します。

企業のリスクへの曝露を制限し、リスク軽減の可能性を高めるために、制御を適用します。

効果的なリスク管理とは、常にリスクを監視し、リスク管理計画の有効性を追跡するために、必要に応じてリスクを報告することです。

企業は、リスクアセスメントモデルからの出力データを、リスクへの暴露を測定するモデルへの入力として使用することができます。定量化システムは、入力、仮定、プロセス、出力が正確であることを保証するのに十分な堅牢さを備えていることを確認するために、検証を行う必要があります。

リスクフレームワークは、取締役会が定期的に見直しを行わなければなりません。これにより、経営陣を監視し、方針とプロセスの各部分がすべての意思決定レベルで確実に実践されるようにできます。また、取締役会は、負ってもよい運営リスクの種類、レベル、性質を明確にしたリスク許容度に関する姿勢を確立する必要があります。

すべての資料、活動、プロセスで、運営リスクを特定して評価することによって、スタッフが固有のリスクとインセンティブをよく理解できるようにします。企業の戦略や日常活動に内在する運営リスクの理解を促進するプロセスを支援する文化が確立されている必要があります。

経営陣と運営組織は、企業の目的を設定し、目的を達成するための戦略を説明する責任があります。その目的の一部には、3 つの防御ラインモデルを用いて、目的を最善の結果で達成するためのリスク管理が含まれています。これらの防御ラインモデルには、経営陣と企業の運営組織による積極的な支援が必要です。

• ファーストライン：運営管理
  リスクを把握し、それを管理する機能である運営管理は、運営管理者が責任を負う必要のある最初の防御ラインです。そのため、運営管理者は、不具合を修正するためのアクションを実行する責任を負うことになります。このプロセスには、リスクの特定、リスクの評価、リスクの制御、リスクの軽減が含まれます。同時に、活動が一貫して目的に沿っていることを検証するために、社内方針の実施を指導します。
  
  
• セカンドライン：リスク管理とコンプライアンス
  防御のセカンドラインには、一般的にリスク管理機能が含まれています。リスク管理の実施を監視するとともに、対象とするリスクへの暴露を運営管理者が明確にすることを支援し、リスク関連データの報告を行います。
  
  
• サードライン：内部監査
  監査人は、経営陣と運営組織に保証を提供します。監査の目的は、リスク管理、内部統制、ガバナンスの有効性に関する情報を提供することです。その範囲は通常、業務の効率性、資産、報告プロセスの信頼性と整合性、コンプライアンスを対象としています。

運営リスク管理は、あらゆる種類のリスクを検出して報告することに重点を置くべきであり、また、業務やプロセスに効果的な回復力を持たせるために、ファーストラインと連携して機能するセカンドラインを含むように拡大する必要があります。

業務プロセスとその回復力を評価し、必要に応じて業務管理に異議を唱え、優先順位を管理するために必要なツールがあります。

• プロセスとコントロールのマッピング：プロセスを関連するリスクやコントロールと一緒にマッピングするための時間をとります。マップには、プロセスの複雑さ、プロセスに沿った各引継ぎ、管理が自動化されているか手動で行われているかなどを含めます。この目的は、生産性を最大限に高めながら、進行していく中でプロセスのオーナーシップを明確にすることにあります。
  
  
• 必要なテクノロジーの特定：プロセスの中でテクノロジーを必要とする場所と、必要とされるテクノロジーのタイプを把握します。
  
  
• 監視：リスクとコントロールを監視しながら、異常なリスクレベルを監視するために測定基準の追跡を促す仕組みを構築します。
  
  
• リソースをリンクさせる：関連するプロセスとプロセスのニーズを理解するために、リソース計画とプロセスを結びつけます。判明した結果に基づいて拡張できるようキャパシティを構築します。
  
  
• 行動の強化：トレーニング、インセンティブ、パフォーマンス管理を通じて、個人の適切な行為が強化されるようにします。
  
  
• 変更管理：適切な人材を適所に配置するために、変更管理のシステムを構築します。プロセスとキャパシティに連動させ、適切なガイダンスを示すようにします。

• フィードバック：常にフィードバックを行うことで、問題点を指摘し、根本原因を分析して、データを収集しながらプロセスの修正を行います。

分析ツールの進歩が、リスク管理の助けとなる可能性があります。いずれは構造化されたデータと非構造化されたデータのどちらも、さらに利用できるようになっていくでしょう。高度な分析ツールは、リスクの検出、誤検知の特定、コンプライアンス、プロセスの不具合、人的リスクなど、リスク管理のほぼすべての分野に適用できます。

• リアルタイムでの表示：リスク管理をリアルタイムでテストし、リスクの測定基準を見つけて分析します。検知された異常や通常と異なるアクティビティによって、リスクのある領域や対応の必要な領域をリアルタイムに示すことができるのが理想的です。
• ターゲットを絞ったツール：特別にターゲットを絞ったデータツールでは、ある特定された領域におけるリスク問題を検出することができます。機械学習や人工知能システムは、データセット内のリスク領域やリスクのあるアクティビティのインジケーターをより適切に検出するよう学習することができるため、機械学習はターゲットを絞った分析ツールにも役立つと言えます。

リスク管理では、リスクのあるアクティビティを発見して、データを解釈し、徹底した分析を行うために、一連の特殊なスキル、そしてリスクへの理解が必要です。マネージャー、チーム、個人は、新たな方法でリスクに取り組むことが必要です。例えば、プロセスに適応することも重要ですし、とりわけ機械学習や人工知能システムが導入されるなど、高度な分析がますます重要性を増していることへの理解も必要です。

人間は運営リスク管理において大きな役割を果たしますが、リスク管理には、人為的ミスがどのように運営リスク管理に影響を及ぼし、特有のリスクをもたらすかを特定し分析することも含まれます。

最初にリスクを特定した後、ほとんどのリスクを回避できるのが理想的です。リスク回避は、脆弱性を最小限に抑え、脅威として認識されたリスクに対処するために行われます。リスク回避を行うためには、適切なトレーニングを実施して、適切なポリシーと手順を設定することが必要です。

リスクは理想的には回避されるべきですが、必ずしも可能とは限りません。リスク低減とは、リスクとマイナス面を理解し、それらのリスクとマイナス面を低減するための戦略を実行することです。通常、リスクを定量化し、分析し、あるリスクレベルに割り当てて、リスク低減のための低減優先順位と作業を作成します。

リスクの共有は、リスクを転移することではありません。リスクの共有は、不確実な事象や特定のリスクの影響を軽減するためのものです。企業内の部署間や個人間で仕事や責任を分担することで、複数の関係者間でリスクを分散し、個々の責任を分担することで、より広範にわたるリスク管理を行うことができます。

リスクの転移とは、リスクに対する責任を負わないことであり、リスクの負担はその逆を指します。企業は、リスクとそのリスクに起因するあらゆる結果を自己資金で対応することにより、リスクを負担します。リスクの負担は、財務分析の結果、リスクを第三者に移転するよりもリスクを負担した方が、コストが低いと判断された場合に選択されるのが一般的です。