リスクマネジメントとは？プロセスや状況別の対応法を詳しく解説

未然防止でまず大切なのはリストアップです。
リスク識別とも言います。
どんなリスクが想定されるかを洗い出し、それを言語化する。この段階でリストアップされない限り対策は打てません。
PDCAの回しようがない。後々甚大な被害を被ったときに「そもそもリスクという認識がなかった」、「ノーケアだった」、「抜けていたのが大変遺憾だ」などといったことになります。
ここですべてをリストアップするのは難しい、いや不可能でしょう。
従って過去の経験・記録、業界事例、世の中的関心、推測・想像などが重要です。
この後優先順位をつけますが、まずは可能な限り出し切る。細かく小さなものにこだわる必要はありません。
影響のありそうなものにあたりをつけて項目をリストアップする。このときのコツは分野の区分けです。
例えば、労務関連、市場（ビジネス）関連、組織関連、外部環境、その他で分ける。
それぞれをさらに区分けする。これは毎年のPDCAによって知見が貯まり、抜け漏れが小さくなっていきます。
単独で考えるのではなく、複数人、複数部署の目で洗い出しましょう。

次にリストアップしたリスクの影響度を評価します。
評価軸は「損害の大きさ（金額）」と「発生の可能性（確率）」。精緻な計算は難しいので、ざっくりした「程度」でよいと思います。
相対的な優先順位をつけるのが目的です。
この「程度」が許容範囲を超えるものが、対処すべきリスクとなります。

つまり顕在化したときの影響度合いが大きく、放置できないとうことです。

選択したリスクが顕在化しないように、あるいは顕在化しても被害が低減するように手を打ちます。
これがコントロール（統制）です。コントロールしてもリスクを完全にゼロにすることはできません。
防ぎきれずに残ったものを残余リスクと言い、これを許容範囲内に抑えることがポイントです。
そのための主な方法は4つ、回避・低減・共有・受容です。回避とは、リスクをもたらす行動を止めること（例：現金の取り扱いを止める）。低減とは、リスクの発生可能性もしくは影響度の大きさを低減すること（例：バックアップシステムを導入する）。共有とは、リスクの一部を移転もしくは共有すること（例：火災保険を掛ける）。受容とは、影響度を低減する行動をとらないこと（例：コピー用紙保管棚に鍵はかけない）。
一方でコントロールにはコストや手間がかかるので、総合的に検討しましょう。

いくら未然防止してもリスクはゼロにできないので、発生して許容範囲を超えてしまうことがあります。
不慮の事態で想定外の影響が出ることもある。そもそもリストアップしていなかった潜在リスクが顕在化する場合もあります。
こんなときは、とにかく初動が最重要です。
事前に初動対応マニュアルを整備しておき、慌てずこれに従って迅速に行動する。
マニュアルの範疇を超える場合は、その場で即断する覚悟も必要です。
初動対応の第一は、まず人間に被害があるかどうかを見極め、最優先で身体の安全を確保します（救急車要請、病院搬送等）。そして組織の関係者に緊急連絡を入れます。日頃から緊急連絡網をアップデートしておきましょう。
事実を正確に把握するため、実際に現場を見る、現物を入手する、当事者の話を聞くなどが必要です。
直接が難しい場合は、撮影した写真を送信してもらうなどを依頼します。
とにかくスピードが大事。後で「初動で失敗した」という声はよく聞きます。
無為に時間が過ぎることで事態は悪化すると心得ましょう。

損害が拡大しないよう、リスクの種類・内容によって適切に行動します。
ニュースリリースの是非を判断し、必要に応じて緊急記者会見を開くなどマスコミ対応をします。
ニュースリリースには、謝罪、事実、被害規模、原因、対処、再発防止を記載し、合わせて想定問答を作成します。
これらは社内にも同時に発信して対外トークを合わせましょう。関係機関（保健所・労基署等）への届出・報告も迅速に実施。
そして発生したリスクに応じて個別対処します。販売停止、リコール、補償、社告、HPでの説明など様々です。
インフラやシステムが不能になった場合は、BCP（事業継続計画）を発動して最低限の事業活動を継続します。

取引先への影響は最小限に抑えて復旧を目指しましょう。
得意先へは、謝罪、状況/原因の報告、復旧の見通し、代替措置の相談等が必要です。
ここで重要なのは状況報告を継続して行うこと。経過報告がないと不信感や二次クレームにつながります。
また状況次第で損害賠償請求に備えて専門部署との協議も必要です。復旧に向けた誠実で丁寧な姿勢は関係悪化を防ぎ、信頼の維持強化にもつながります。

なんとかリスクに対処しても、当然ですが同じことを繰り返してはなりません。
その経験を活かして再発を防止します。そのためには原因分析と改善が必要。PDCAのCとAです。
ここでは一般的なビジネスノウハウである問題解決スキルが役立ちます。リスク顕在化、被害拡大の原因は何か？ リスクで多い原因は、非意図的なエラー、意図的な不正、法令違反の３つです。
ここからさらに分解して原因究明します。例えばエラーであれば、さらに人間、機械、仕組み･･･などと分解する。
人間（ヒューマンエラー）であれば、業務の理解不足なのか、作業のミスなのか･･･などと深掘りする。
そして真因を特定して手を打ちます。例えば、作業手順書の修正、５Sの徹底、設備の改善、教育研修など。
状況に応じて、あらゆる経験・知見を総動員して仕事を改善しましょう。

リスクマネジメントで特に重要なのは４M変動です。
４MとはMan（人）、Machine（機械）、Material（材料）、Method（方法）の４つのM。
よく対で使われるのがQCD（品質・コスト・納期）です。
QCDは結果であり、評価で使われることが多く、その原因となるのが４Mです。
生産管理でよく使われるフレームですが、営業事務部門でも有効に活用できます（材料を情報に置き換えたりして使う）。
この４Mに変化が生じたときにリスクが発生しやすく、これを４M変動と言います。
「担当者が変わった」、「作業手順が変わった」などはリスクにつながるわけです。
まずは未然防止で、４M変動にからむリスクを想定して事前にリストアップし、コントロールする。
それでもリスクが顕在化した場合は４Mの視点で原因分析する。
ここでの前提は適正な業務フローがあることです。業務フローと４M変動をもとにリスクの所在を探り、リストアップあるいは原因分析を進めます。しばしば事後レポートで「４Mに対する意識が甘かった」という反省を目にします。４M変動への感度を上げましょう。

原因分析をする上でもう一つ意識すべきなのが集団浅慮です。
集団思考やグループシンクとも言います。集団浅慮とは「集団の圧力により、そこで考えていることが適切かどうかの判断力が損なわれる状況」。団結力が高い、クローズドな環境、プレッシャーが大きいなどの条件が重なったときに発生する「場の空気」に誰も逆らえなくなる現象です。
同調圧力も集団浅慮に含まれると考えます。
ピッグス湾事件（1961年：米国のキューパ侵攻作戦の大失敗）がその代表例で、日本で一時多発した食品表示偽装も集団浅慮だと言われます。最近の大手企業のデータ改ざん、品質不正などの報告を見ても、「上にものが言えない企業風土」が問題視されているケースが多いです。
再発防止では局所的対策も大切ですが、根本に潜む集団浅慮を疑い、それを抜本的に変革する意識・姿勢が重要だと考えます。

会社が雇用する従業員に関するリスクです。
まず「従業員は企業にとって非常に大切なステークホルダーである」という意識がベースで、その上でリスクをリストアップしていきます。そのためには労働法関連の知識が欠かせません。
労働基準法をはじめ、雇用、安全衛生、労働保険、勤労等に関する法律をしっかり理解しましょう。
特に労働災害、ハラスメント、メンタルヘルスについては要注意です。
他社事例や判例なども参考にしてコンプライアンスを強く意識してください。

ビジネス、取り引き、商品/サービスの顧客への提供、社会的責任という面でのリスクを考えます。
品質事故、顧客トラブル、取引先の信用不安、環境問題などが該当します。
お客様に迷惑をかける品質事故では初動対応が特に重要で、失敗するとレピュテーションリスク（風評被害）に直結するので、万全な備え、迅速なアクション、法的対処が必須です。
リスクが発生したときは火消しが最重要ですが、そこでは企業姿勢が問われ、ブランド毀損の恐れがある一方で、信頼を上げるチャンスでもあります。

組織風土、企業スタンスに関連するリスクには、情報セキュリティ、不正などが考えられ、コンプライアンス（法令遵守・倫理的行動）の取り組みが特に重要になります。
対策は意識面と仕組み面からのアプローチがあり、意識ではトップからの方針浸透とコンプライアンス教育、仕組みでは職務分掌、人事ローテーション、内部統制、内部監査などを実施します。
短期的解決は対処療法になりがちなので、根底から中長期的に取り組む組織風土改革、全社運動が必要です。

自分たちの中では完結しない外部環境要因のリスクで、地震や台風などの自然災害、感染症、法律変更、経済変動、社会不安などが考えられます。ここは自社ビジネスの影響度を想定した優先順位付けが大切です。
事前にBCP（事業継続計画）を準備し、必要に応じて訓練を実施するなどして、もしもの場合に備えましょう。