中小企業でも知っておきたい内部統制（管理）の知識、7回目の今回はリスク評価ということをとりあげます。企業活動を行うにあたっては、リスクを制御していかないといけないのですが、これについてどう対応していくか、ということです。

リスク評価とは

COSOのエグゼクティブサマリーによると以下の様に定義されています。「リスクは、ある事象が発生した場合に，目的の達成に不利な影響を及ぼす可能性と定義される。リスク 評価は目的の達成に対するリスクを識別し評価するための動的で反復的なプロセスを 伴う」。

つまり、リスク評価は企業に活動においてどのようなリスクがあるかにおいて洗い出して、それが起こってしまった時の影響を検討します。リスクに対してどのように対応していくのか、ということを検討することになります。

リスクへの対応

現れたリスクに対して、受け入れるのか、回避するのか、対応はいくつかあります。例えば、リスクを回避する、海外進出を考えていたがあまりにも出ようとする国の治安が危うかったり、それに対応できる人材がいないような場合は進出をあきらめる、ということもあるでしょう。逆に、新規の製品を発売するにあたって売れ行きは危ぶまれているにも関わらずあえて売り出した、ということもあります。このように、リスクを把握しそれに対応していくことが、リスク評価で大切な点です。

ここで大切なことは、必ずしもリスクは回避するだけではなく時として取ることもある、ということです。取る場合はある程度軽減させたり、時にはムシすることもあるでしょう。

中小企業で考えられるリスク

まず、考えられることとしては、人に関するリスクでしょう。つまり、少人数で会社を運営しているので、誰か戦線から離脱するとそれが大きなダメージになることもあります。特に、社長がいなくなると会社が回らなくなるリスクもあるので、対策をとりたいところです。

また、管理体制には手が回らないこともあるので、そこをどうケアするかは考えておく必要があるでしょう。特にITセキュリティについては、軽視しがちなところなので、そこも対策を練っておきたいところです。

財政基盤、これも充実させる、ということは難しいかもしれません。いざとなった時の資金調達、ということは意識しておく必要があります。ある程度、余剰資金であっても、銀行から借り入れておく、ということも必要かもしれません。

まとめ

リスク評価のプロセスとして、リスクを洗い出し、評価し、対応を検討する、ということとなります。リスクの洗い出しで見落としがあると、対策されないままリスクが残ってしまうので、注意が必要です。

なお、ここではリスクを「リスクは、ある事象が発生した場合に，目的の達成に不利な影響を及ぼす可能性」という定義ですが、これとは異なる定義もあります。今回はふれませんが別の機会に触れる機会があれば、とは考えております。