リスク管理と危機管理の違い｜概念と経営上の位置づけ、重要性、実践方法などを解説

事業活動、経営においては、様々なリスクと向き合う必要があります。合理的にリスクを取りつつ、事業を推進していくためにも、リスクを正しく把握して分析評価し、適切な対応をとることが必要です。

リスク管理・リスクマネジメントは、そうしたリスクとの向き合い方を意味します。一方で、危機管理という言葉があります。危機管理も、事業活動において重要な要素ですが、リスク管理の考え方とどのような関係・位置づけにあるのでしょうか。

この記事では、リスク管理と危機管理に関して、企業経営における「リスク」の捉え方、リスク管理と危機管理の定義、両者の位置づけと重要性、リスク管理の実践的な点まで幅広く解説します。

２つのリスク｜内部要因と外部要因

リスクは、会社の組織内部のものと外部の2種類があります。内部要因のものには、財務リスク、戦略上のリスク、オペレーショナルリスク、コンプライアンスリスクが挙げられます。

外部要因としては、為替などの市場リスク、気候変動リスク、サプライチェーンのつながりに伴うリスクなどが挙げられます。

リスク事象の性質・ニュアンスの違い

上記のそれぞれのリスクには、リスクが顕在化した場合の事象としても様々なものが考えられますが、人的要因、仕組みや組織の設計上の要因、社会環境の要因が挙げられます。

人の判断や行動上の意思決定が介在するリスクは、突発性とともに、単なるヒューマンエラーとは異なる人為性を含むこと、そして反復継続的に生じうる性質があります。

また、仕組みや組織結成上の要因に基づくものとしては、業務フローやビジネスモデル、設計されたオペレーションの中で、連鎖的により大規模なリスクを形成するような性質があります。取引先との関係の中で形成される慣行の中でも、自社だけでなく関連する業界を巻き込んでいく波及的な性質を持つ場合も考えられます。

社会環境の要因は、予防的観点によるリスクマネジメントだけでは十分にリスクインパクトを低減することができない性質があります。その意味で、サプライチェーンに対する影響、経済安全保障といったマクロな捉え方をする必要があります。

時間軸

リスク管理は、時間軸で整理することができますが、この点が重要なポイントの1つです。時間軸は、リスク発生前、リスク発生時、そしてリスク発生後の3つに区分することができます。

企業経営のみならずより社会生活一般で用いられる意味でのリスク管理は、主にリスク事象が発生する前の点にフォーカスされます。

一方で、リスク発生時や、リスク事象が発生し一次的な対応が終わった後も、二次、三次のリスク事象が発生することもあります。その意味で、リスク管理は、リスク発生時以降の時間軸で捉えることも重要であり、包括的なものであるといえるでしょう。

あるいは、リスク発生の直前となる「兆し」を検知した場合の対応策ということも考えられます。そのため、リスク管理においては、上記のような時間軸をシームレスに捉えていく視点も重要です。

ISO31000によるリスクの定義

ISOの様々な国際標準規格の中に、リスクマネジメントに関するものとしてISO31000があります。ISO31000は、2009年11月にリスクマネジメントに関するガイドラインとして発行されたもので、一定程度体系化されたフレームワークとして活用できます。

ISO31000は、2009年11月にリスクマネジメント手法のガイドラインとして発行されました。
リスクマネジメント規格としては、2004年に発行されたCOSO ERMがありますが、COSO ERMが事業体全体としてのリスク管理を目的としているのに対し、ISO31000は組織体のどのレベル・規模であっても適用可能な「リスクマネジメントの考え方」を示していると言えます。ISO31000はより簡易化され、その他のマネジメントシステム（QMS,EMS,ISMSなど）との整合性を意識した作りになっている意味において有用です。

引用元：ISO31000 リスクマネジメント規格とは

• 2018年に改訂されたものが最新です。

ISO31000によれば、リスクとは、「目的に対する不確かさの影響」と定義されます。

なお、ここでいう「影響」は、期待されることとのギャップ（差分）そのものを意味しているとされ、その意味においてプラスの影響とマイナスの影響の両方を含むものであるとされています。

この点について、法律上、リスク管理は、内部統制の概念に近い形で、「組織目標の達成を阻害する要因」として捉えられます。リスクは、それによってもたらされる結果やその起こりやすさに視点を当てたものであることは共通理解であると考えられます。また、不確実性の度合いとの相関的な内容を含んでいるものといえるでしょう。

さらに、リスクにはその影響の質がプラスもマイナスも両方を含む考え方からすると、企業におけるリスク管理が、事業活動の様々な意思決定に際しての費用便益、リスクによるリターンと損失のバランスを図ることに本質があると考えられます。

リスク管理と危機管理の違い

一方で、危機管理は、一例として「不測の事態に対して事前に準備される、被害を最小限に食い止めるための対策」という定義があります（大辞林第3版）。

ただし、リスクマネジメントを含む概念であって、両者の区別があいまいであることも指摘されます。

危機の示す具体的な事象には、交通事故や病気、友人関係の破綻や離婚、経済破綻など様々なものが挙げられますが、何らか自分や周囲の人・社会の状態に対する様々な「負の影響」です。具体的な態様によって、予測可能性という点でも異なると考えられます。

そして、最も重要なポイントとして、危機管理は「被害を最小限に食い止めるための対策」であるという点です。これは、危機にあたる事象が発生した（してしまった）ことを前提にしている点で、善後策に焦点を当てているものといえます。

危機管理は、事前に予測され、あるいは予測できないような人や社会、環境に対する負の影響に対し、事象が起きた後の対応を予めシミュレーションするなどして最小限にする対策といった形で言い換えることができるでしょう。

このように、危機管理は、様々な危機によるマイナスの事象に対し負の影響を最小限にとどめることを目的とするのに対し、リスク管理は、不確実な事象に対しての対応策として、プラスの事象とマイナスの事象の両方のバランスをとる最適解を導くことを目的とするものであるという点に違いがあります。

言葉の使い分けが重要

リスク管理と危機管理は、どのような点を目的とするかに違いがあることから、コミュニケーションの上でも、目的を軸に両者を区別して使い分けていくことが重要です。

リスク管理の議論であるか、危機管理の議論であるかによって、様々な経営上の意思決定の場面における議論の対象、判断内容が異なるためです。

なお、時間軸の観点からは、リスク管理と危機管理のいずれもどの時点で発生するリスク・危機事象に視点を充てたものかが重要であり、その事象に対する予防策を考えるのか、対応策を考えるのかという目的の違いを明確にすることが必要であると考えられます。

リスク管理によって網羅する

リスク管理は、事前の予防策と発生したリスク事象に対する事後対応の両者を含みます。一方で、危機管理は、リスク事象が発現したことを前提とした善後策にフォーカスするものです。そのため、危機管理は広い意味でのリスク管理に包摂して位置づけられます。

そこで、リスク管理において、危機管理の視点を含めた全体的なリスク対応を網羅することが求められます。

危機管理によってリスク事象の程度を整理する

危機管理においては、リスク事象によって発生する影響の内容や程度に対する視点が重要です。そのため、リスク管理においては、危機管理の視点におけるリスク事象によるリスクインパクトの特定、分析、評価のプロセスが不可欠であるといえます。

また、リスク管理はリスクの発生パターンやシナリオが、想定される因果経過によって樹形図的に無限に広がる可能性があります。リスク管理においても、重要度を見極め、適切な優先順位付けを図る必要があります。

リスクインパクトや発生確率の分析は、リスク管理における最も重要な指標の1つです。その意味で、危機管理的な視点から整理することがポイントといえるでしょう。

リスク許容度の把握

様々なリスクに対する対応として、そのすべてを抑制、予防することは困難であり、その必要もありません。すべてを予防することができなくても、リスク事象の発生はやむを得ないとしつつ、最適な危機管理によって被害を最小限にする手当があることによって、リスクを許容できるという選択肢が可能であるからです。

また、想定されうるリスクは突き詰めれば無限に考えることもできるほか、避けるべきリスクを避ける手段も限りなく検討することは可能です。

しかし、様々な経営上あらゆるリスクの発生を予防することは現実的に困難であり、コスト的にも対応策より予防策の方が上回ることも考えられます。あくまで合理的にリスクによるプラスとマイナスを最適化することが目的であることから、リスク許容度を増やす視点が重要です。

その際には、リスクの発生可能性や影響度の検討と、危機管理による善後策により抑制できる範囲を総合的に分析する必要があります。

このように、リスク許容度を把握することはリスク管理における重要なポイントの1つであり、危機管理との横断的な分析をする必要があります。

リスク管理による枠組みの設計

リスク管理を具体化していくためには、その「枠組み」を明確にしていく必要があります。具体的には、リスクアセスメントという思考的な枠組みと、実践的な枠組みとしてリスク対応・オペレーションの2つの観点があります。

リスクアセスメント

これは、リスク管理における設計図のような位置づけとなります。

事業活動において、ビジネスモデルからその実際上のフローとなる業務オペレーションや組織設計、人的な管理体制など様々な仕組みづくりを行います。その全体の仕組みにおけるリスクの特定、分析、評価、そして対応までの枠組みがリスクアセスメントです。

詳しくは後述します。

リスク対応・オペレーション

リスクアセスメントにより緻密に分析し言語化した内容について、特にリスク対応の内容を業務フローやオペレーションとして組み込み、運用していくための枠組みです。

ここには、組織づくりの側面が重要となるほか、内部統制の設計など法的な枠組みにより言語化されている内容とのすり合わせにより作り上げていく必要があります。

リスクが顕在化した場合の危機管理対応

上記で繰り返し述べている通り、リスク管理において、危機管理対応としてのリスク顕在化に対する事前のシミュレーションと対応策の策定も重要なポイントです。

気候変動や社会の枠組みが日々急速に変容していく中で、経営において日常的に不確実な要素と向き合う頻度はより高まっていると考えられます。リスクは多様化し、広範化しているのです。そして、リスクの予測可能性もより困難になっています。

そのため、リスク管理において、特定のリスクに対する予防策のみならず、リスク発生を抑止できないことを想定した危機管理対応が重要な位置づけを占めてきます。

そうした不確実性が高まる現代であるからこそ、危機管理対応は、経営上不可欠な位置づけにあるといえるでしょう。

経営判断における合理性を担保する要素

最も重要な点として、経営判断の合理性を担保する役割が挙げられます。

既に述べた通り、経営上の様々な意思決定は、様々なリスクと向き合う必要があります。そして、事業は常に社会の変化に対応して、新しい施策に取り組むことで発展、進化していく必要があります。

これに対して、リスクに対する対応策は、極論すればリスク（特に負の意味でのリスク）を常に回避していくことが1つの最善策であるともいえます。しかし、リスクの回避に終始することは、事業の停滞となるおそれがあり、結果として事業の持続可能性を阻害することになりかねません。

そこで、むしろ合理的にリスクを取るという選択を重ねる必要があります。そして、リスクを取る合理性を裏付けるために、発生しうるリスクの中で重要なものを絞り込み、回避すべきリスクを避ける、あるいは最適な善後策を準備しリスク許容度を高めることが重要となります。

リスクへの対応コストのコントロール

企業活動における費用便益（費用対効果）を最適化することも、リスク管理及び危機管理の重要な機能として位置づけられます。

特にリスク管理は、不確実な事象に対するプラスとマイナスのバランスを図る観点から、リスク対応コストを検討する必要があります。

リスクインパクトが大きく負の影響が大きいと考えられるものであっても、その発生可能性が数値的に1％に満たないようなものに対してそれを100％回避するようなコストをかける必要性はありません。同じように、リスクの発生可能性が90％以上あるが、リスクの影響度が1件の取引の中で収まるものであれば、リスクの発生を許容できる可能性もあります。

反対に、リスクのインパクトが大きく、ビジネスモデル自体への影響があり今後の発生可能性が高いものであれば、事業継続上のネガティブ要素が継続的に蓄積するおそれがある場合は、重要なリスク回避項目としてコストを投下して抑制する必要があるといえます。

こうしたリスクアセスメントのプロセスの中で、リスク管理や危機管理を通じ、リスクへの対応コストをコントロールすることでコストとリターンを最適にしていくことができます。

サステナブル経営の要素となる

リスクとリターンへの対応が最適に保たれる状態が維持されることによって、リターンを最大化しつつ、リスクをコントロールすることができている状態となれば、経営の持続性が担保されます。

事業の継続性・持続性に関しては、SDGsにフォーカスしているか否かなど、ビジネスモデル自体の価値がフォーカスされがちです。一方で、より本質的には、企業がリスク管理と危機管理を最適に行うことで、リスクとリターンのバランスが最適に保たれている状態こそが持続的な事業活動を裏付けるものといえます。

1. リスクの抽出と特定
2. リスクの分析
3. リスクの評価
4. リスク対応策の検討

リスクの抽出と特定

まず、自社の経営状況やビジネスモデル、事業のオペレーションにおけるリスクの抽出と特定をすることが起点となります。具体的には、次の通りです。

いずれの部分に、どのような内容のリスクがあるのかを特定し、マッピングしていきます。その際には、リスクとして生じうる内容、現実化した場合の事象の内容を可能な限り言語化することが重要です。

マッピングしていく際には、ビジネスモデルを図式化した資料やステークホルダーマッピングが1つの基盤として有用でしょう。ステークホルダーマッピングについては、下記のようなイメージが一例として挙げられます。

リスクの分析

次に、リスクを様々な角度から分析していきます。その際には、次のような視点が考えられます。

1. リスクの発生可能性
2. リスクの要因
3. リスクの分類（財務リスク、非財務リスク、非財務リスクにおける分類など）
4. リスクの内容から考えた場合の影響とその内容
5. リスクの影響範囲

こうした5つのポイントを中心に、それぞれのリスクを分析していくことが重要です。

リスクの評価

そして、リスクの分析の後は、リスクの評価をしていくことになります。この部分が、リスク管理においてリスクに対する対応の方針を決定づける重要なプロセスです。

リスクの評価は、様々な角度が考えられるほか、人によって判断が分かれるものでもあります。そのため、特に重要と思われるリスクに関しては、1人の判断者だけでなく、様々な部署の統括者など異なる視点を合わせていくことがポイントです。

また、リスクの評価は、定性的なものと定量的なものの両方が必要ですが、定性的なものを洗い出したうえで、複数人でのディスカッションなどで定量化していくことも重要なポイントの1つです。

最終的な判断における分かりやすさと明確さを確保するためです。

リスクへの対応

そして、最後にリスクへの対応策です。このプロセスでは、事業における目的や、様々な事業場の施策の位置づけや重要性との兼ね合いと、リスクとリターンの費用便益を緻密に行うビジネスジャッジになります。

そのため、リスクの回避、受容した場合のイメージと危機管理対応のコストイメージなどを数値的に明らかにしていくことがポイントです。

その際には、リスクの性質に着目し、最低限守るべきラインなどを明確に線引きする必要があります。

リスクを回避できる可能性があるか

危機管理においては事後対応を前提とするものではありますが、副次的に発生するリスクの回避可能性を考えることがポイントです。

危機管理において、リスクによる負の影響を最小限にする目的において、最大の策は二次被害以降の事象を防止することにあるといえます。そこで、リスク事象から派生的に生じる可能性のあるものを回避することができるかどうかを検討することが1つの重要なポイントになります。

リスクを受け入れる許容度の設定

また、危機管理対応においても、対応策の合理的な範囲を決めるためには、コストとのリスクインパクトとのバランスから、リスク許容度の限界も設定しておくことが重要です。

対応策の優先度を考える上で会社として許容しうる範囲の危機状況と、会社として事業継続に影響する可能性のあるものとを区別して、対応に備える必要があるためです。

その際には、リスク管理におけるリスク分類やリスク評価のプロセスでの検討内容が有益になるでしょう。

リスクが顕在化した場合のシミュレーションと検証

リスクが顕在化した場合のシミュレーションを緻密に行うことも重要です。

リスクが発生した後、どのような因果経過になるか、様々なシナリオが考えられる中でそれぞれの場合の対応シミュレーションを行うことが考えられます。また、それぞれの対応の中で抑止できる損失や被害と、回避できない部分を明確にし、後者についてどのような改善措置を要するかを検討しておくことで、スピーディーに被害回復を行うことにもつながります。

また、実際の対応が生じた場合には、事後的に検証しフィードバックを行うことで、さらに今後の危機管理対応の回線にもつながるでしょう。

まとめ

最後に、この記事のポイントを3つにまとめます。

1. リスク管理と危機管理は、前者が不確実な事象に対して、プラスとマイナスの影響の度合いを最適に制御・管理する予防策であるのに対し、後者はリスクが顕在化した後の負の影響を最小限にする対応策を意味する。なお、リスク管理は、より広い意味で危機管理を含むもの
2. リスク管理と危機管理は、いずれも経営判断におけるリスクテイクの合理性を担保し、経営の持続性を確保するための重要な要素
3. リスク管理においては、リスクアセスメントを基本としつつ、危機管理対応と連関して、リスク許容度やリスク対応のシミュレーションの検証などを含めて総合的に講じていくことが必要