【日々のマナビ】なぜリスク管理はコストでしか語られないのか – 中小企業が損失を投資に変える統合オペレーション設計
こんにちは。ろっさんです。
今回は、「なぜリスク管理はコストでしか語られないのか – 中小企業が損失を投資に変える統合オペレーション設計」というタイトルで解説していきます。長い記事ですがぜひ最後までお付き合いください!
0. はじめに|リスク管理はコストか、それとも投資か
合格直後、ある製造業の経営者から相談を受けたとします。「保険料が年々高くなっていて、もう削れないか考えている」。話を聞くと、製造物責任、火災、業務中断、サイバー、自動車——気づけば年間の損保関連費用は500万円を超えています。「これ全部本当に必要なのか」と経営者は言います。
私はこの問いに、いまならこう答えます。「必要なものと不要なものを切り分ける前に、リスクは『コスト』として語られすぎていて、本来は『投資』として設計できる領域がある、という話を先にさせてください」。
リスク管理という言葉は、診断士の試験でも実務でも、ほとんどの場合「守りの話」として登場します。発生する損失をいかに減らすか、保険でいかに移転するか、コンプライアンス違反をいかに防ぐか。費用対効果は問われても、それは「いくらかかるか」を最小化する方向にしか動きません。
でも実際の現場で長く案件を見ていると、リスク管理は2つの顔を持っていることが分かってきます。一つは「コストとしてのリスク管理」——日常的に発生する損失を予防する顔。もう一つが「投資としてのリスク管理」——競合が避けているリスクを引き受けて差別化の源泉に変える顔です。
この記事では、中小企業診断士の試験で学ぶ「リスク対応の4分類(回避・低減・移転・受容)」を出発点に、教科書的なリスク管理がなぜ現場で「やってる感」に終わりがちなのかを構造的に解き明かします。そのうえで、損失を投資に変える設計の輪郭を、金属加工業の事例と損保数学のフレームを使って具体的に示していきます。
扱うトピックは以下の通りです。
- リスク対応4分類を「保険/ヘッジ」から「オペレーション設計」に統合し直す
- 期待損失(EL)とテールリスク(VaR・ES)を数式で区別し、両者で打ち手が変わる理由
- サプライチェーン停止 × サイバー攻撃の複合リスクを実装計画に落とす手順
- ERMが「形式化」してしまう病理と、KRIを現場の先行指標に翻訳する設計
- RAROC(リスク調整後資本収益率)でリスクを「取るべき投資」として位置づける考え方
- 危機時のリスク相関崩壊と、限られたリスク予算を最適配分するフレーム
試験の知識を実務で動かすための、合格後の知的再武装として読んでいただければと思います。
1. リスク対応4分類——試験で習った骨格と実務のギャップ
1.1 試験での習い方
中小企業診断士の試験では、リスク対応として次の4分類を習います。
- 回避:リスクの源を断つ(その事業から撤退する、その取引をしない)
- 低減:発生確率や影響度を下げる(品質管理、安全教育、二重チェック)
- 移転:第三者に肩代わりしてもらう(保険、ヘッジ、契約上の責任分担)
- 受容:あえて何もせず、発生したら自社で吸収する(少額・低頻度リスク)
試験対策では、これを「4つの選択肢のメニュー」として暗記します。事例で「○○リスクへの対応を述べよ」と問われたら、4分類のなかから当てはまるものを選んで答える。試験という文脈では、これは完全に正解です。
問題は、合格後にこの4分類を実務でそのまま使おうとすると、いくつもの落とし穴に出会うことです。
1.2 「4分類メニュー」が現場で機能しない3つの理由
一つ目の落とし穴は、4分類が「保険/ヘッジに偏った視点」で語られがちだということ。試験の模範解答でも「リスク移転=保険加入」「リスク低減=品質管理」と単線的に語られます。でも実務では、たとえばサプライチェーン停止リスクへの対応は「保険にも入れるが、二重調達と適正在庫と契約条項とBCP訓練を組み合わせる」というように、4分類すべてが重なり合います。
二つ目は、期待損失とテールリスクの区別がされないこと。日常的に発生する小さなロス(不良品の手直し、軽微なクレーム)と、稀にしか起きないが起きたら致命的なロス(工場火災、データ漏えい)は、まったく別の打ち手が必要です。同じ「リスク低減」でも、前者は工程改善、後者は冗長化や物理隔離になります。これを混同すると、「日常リスクには金をかけすぎ、テールリスクには無防備」という典型的な配分ミスが起きます。
三つ目は、運用可能性(人と組織の限界)が考慮されないこと。立派なリスク管理規程を作っても、それを運用する人が2人しかいない中小企業では絵に描いた餅です。「やる/やらない」を決めるだけでなく、「誰が、どの頻度で、どんな指標を見て、どうエスカレーションするか」まで落とし込まないと、リスク管理は形式化して「やってる感」に終わります。
1.3 統合的リスク管理という発想
これら3つの落とし穴を埋めるのが「統合的リスク管理(オペレーション統合型)」という発想です。具体的には、
- 4分類は単独のメニューではなく 組み合わせのパターン として設計する
- 期待損失(日常)と テールリスク(致命)に対し 別の打ち手を二層構造で配置する
- リスク管理を品質・安全・セキュリティ・BCP・財務など 既存のオペレーションに統合する
——という3つの原則を立てます。
ここから先は、この3原則を実務でどう動かすかを、金属加工業の事例で具体化していきます。
2. 期待損失とテールリスク——同じ「リスク」でも数式が違う
2.1 期待損失(EL)の式
損保数学では、リスクの平均的な大きさを「期待損失(Expected Loss)」として次のように表現します。
EL(期待損失)= PD × LGD × EAD
PD(Probability of Default) : 事象発生確率(年率など)
LGD(Loss Given Default) : 発生時に失う割合
EAD(Exposure at Default) : リスクにさらされている金額
たとえば、金属加工業A社が主力顧客(売上の47%を占める)から長期発注を受けているとして、
- PD:主力顧客が経営難で発注を打ち切る確率=年5%
- LGD:打ち切りで失われる売上のうち、半年内に他で代替できない割合=60%
- EAD:主力顧客への年間売上高=9,400万円(=2億円×47%)
を当てはめると、
EL = 0.05 × 0.6 × 9,400万円 = 282万円/年
これが「主力顧客集中リスク」の期待損失です。毎年282万円の損失を、見えない費用として垂れ流している計算になります。
ELの考え方の良いところは、「リスクは確率と影響の積であって、ゼロにはできない」という前提を持ち込めることです。「リスクをゼロにしたい」という経営者の発言は、現実的には「ELを許容範囲まで下げたい」と翻訳されます。
2.2 テールリスクの式——VaRとES
ELは「平均的にどれくらい損するか」を示しますが、リスク管理の現場で本当に致命的なのは「最悪のケースでどれだけ損するか」です。これを表現するのがVaR(Value at Risk)とES(Expected Shortfall:期待ショートフォール)です。
VaR_α = inf{ l : P(L > l) ≤ 1 - α }
α=0.99(99%VaR)の意味:
「100年に1度(残り1%)しか超えないと想定される損失額」
ES_α = E[ L | L > VaR_α ]
「最悪α%のシナリオが起きたときの、平均損失額」
VaRは「ここまでは99%守れますよ」というラインを示します。ESは「もしそのラインを超えてしまったら、平均でいくら失うか」を示します。後者の方が実務では重要です。なぜなら、99%VaRが1,000万円でも、超えたときの平均損失(ES)が3,000万円なら、そちらに備える必要があるからです。
A社の例で、工場火災を考えてみます。
- 通常年は被害ゼロ(99%)
- 残り1%の年に、設備損害+3か月の操業停止+顧客信頼損失で6,000万円〜2億円の損失
99%VaRは設計上6,000万円ですが、ESは1.3億円程度になります。この差は決定的です。「6,000万円の保険」では足りないかもしれません。
2.3 ELとテールリスクで打ち手が変わる
ここからが実務的に重要なポイントです。ELが大きいリスクとESが大きいリスクでは、打ち手が違います。
| リスク種別 | ELが大きい例 | ESが大きい例 |
|---|---|---|
| 例 | 軽微な不良品の手直し、軽微クレーム、軽微なシステム障害 | 工場火災、データ漏えい、主力顧客の同時離脱 |
| 打ち手の中心 | プロセス改善・品質管理・教育・標準化 | 物理冗長化・BCP・保険・契約条項 |
| 投資判断 | 対策ROI=ΔEL/対策コスト | 資本効率=ΔEC×資本コスト率/対策コスト |
| 計測指標 | 不良率・歩留まり・MTTRなど | RTO・RPO・代替供給率など |
| 経営の関心 | 低い(現場任せになりがち) | 高い(社長案件になりがち) |
日常リスクには「頻度×影響」を地道に下げる現場改善が効きます。テールリスクには「起きた瞬間の連鎖を断ち切る」冗長化や保険が効きます。両者は別のリソース、別の責任者、別の指標で動かすべきものです。
リスク管理が形式化する最大の原因の一つは、この二層構造を意識せず、すべてを「リスクアセスメント表」という一つの表に並べてしまうことです。並べた瞬間、頻度の高い小さなリスクと頻度の低い致命的なリスクが、同じ「重要度3」「重要度4」というラベルに均されてしまいます。
3. 統合的リスク対応——オペレーション設計としての4分類
3.1 4分類×オペレーション領域のマトリクス
ここで4分類を「保険/ヘッジ」だけでなくオペレーション全体に拡張します。次の表は、A社の3つの代表的リスクに対し、4分類をすべての領域で組み合わせた例です。
| リスク | 回避 | 低減 | 移転 | 受容 |
|---|---|---|---|---|
| 顧客集中(47%集中) | 主力顧客への過度な提案撤退 | 取引先分散営業、業界横展開、契約期間長期化 | 取引信用保険、与信枠調整、契約上の予告期間条項 | 一定の集中度は受け入れ、月次でPD/LGDを再評価 |
| 工場火災 | 危険物質取り扱いの最小化、可燃在庫の削減 | スプリンクラー、防火区画、避難訓練、火気管理 | 火災保険、業務中断保険、隣接工場との相互支援 | 自家保有部分(免責額・小破損)の受容枠を明示 |
| 熟練工依存 | 熟練工しかできない案件の意識的な縮小 | スキルマップ整備、工程標準化、ビデオマニュアル | 業務委託先・退職後継続契約、社員傷害保険 | 一部の難工程は熟練工依存を受容(注力分野として) |
この表を作る作業そのものが、リスク管理を「保険メニュー」から「オペレーションの統合設計」に引き上げます。一つのリスクに対し4列を埋めようとすると、ほぼ確実に「自社にいまない打ち手」が見つかります。それが施策の候補になります。
3.2 オペレーション統合の4つの柱
統合的リスク管理を実装するときの実務的な柱は次の4つです。
- 品質:日常リスクの源を断つ。SQC(統計的品質管理)、検査体制、教育、5S。
- 冗長化(Redundancy):単一障害点(SPOF)を消す。二重調達、二重電源、バックアップ系統、代替工程。
- BCP(事業継続計画):起きた後の復旧を設計する。RTO(目標復旧時間)、RPO(目標復旧時点)、要員参集、代替拠点。
- セキュリティ:意図的攻撃と内部不正への対応。アクセス制御、ゼロトラスト、監査ログ、インシデント対応。
この4柱を、4分類とクロスさせて考えるのが「統合的リスク管理」の骨格です。たとえば「冗長化×移転」は、二重調達の片方を契約上で長期固定価格にして調達リスクを売り手に移すような設計を意味します。試験的な「リスク移転=保険」より、ずっと豊かなツールボックスが見えてきます。
3.2補足:4分類×4柱を「組み合わせ」として読む
試験で「リスク移転=保険」と単線で結ぶ癖がついていると、4柱との掛け合わせが見えにくくなります。代表的な組み合わせを2つだけ深掘りします。
組み合わせ①:冗長化 × 移転
二重調達の片方を、長期固定価格・最低発注量保証の契約にする設計です。冗長化(在庫・供給)と移転(価格変動リスクを売り手に転嫁)の両方を一度に達成します。中小企業が単独で価格交渉力を持つのは難しいですが、業界団体や同業者との共同調達ならこの形が成立しやすくなります。
組み合わせ②:低減 × 受容
主力顧客集中リスクのうち、構造的に下げきれない部分は受容する設計です。たとえば「主力顧客比率は40〜45%の幅で許容し、それを下回るほど分散営業に動き、上回るほどモニタリング頻度を上げる」というルール化。受容=放置ではなく、「許容範囲を明示して、範囲外になったら自動的に低減策が起動する」という設計です。
この発想は試験的な4分類の使い方からは出てきません。「回避か低減か移転か受容か」の択一ではなく、「平時は受容、閾値超で低減、危機時は移転」のように動的に切り替える形を持ち込めると、現実的なリスク管理に近づきます。
3.3 A社のリスクマップを書く——統合的視点で
文章だけだとイメージしづらいので、A社(金属加工業22名・年商2億円・主力顧客47%集中)の主要リスクを、頻度×影響でマップ化してみます。
| リスク | 年間発生頻度(PD) | 1回あたり損失(LGD×EAD) | EL/年 | ES(最悪時) | 区分 |
|---|---|---|---|---|---|
| 主力顧客の発注減 | 5% | 5,640万円 | 282万円 | 1.1億円 | テール優先 |
| 工場火災 | 0.5% | 1.3億円 | 65万円 | 2億円 | テール優先 |
| 熟練工同時退職(2名のうち1名) | 8% | 1,200万円 | 96万円 | 4,500万円 | テール優先 |
| サイバーインシデント(軽〜中) | 10% | 500万円 | 50万円 | 5,000万円 | 二層型(後述) |
| 設備故障による稼働停止(軽微) | 35% | 80万円 | 28万円 | 600万円 | EL優先 |
| 不良品クレーム(軽微) | 60% | 50万円 | 30万円 | 300万円 | EL優先 |
合計ELは年間551万円。これは「平均的に毎年このくらいの隠れ損失を、利益から削っている」という意味です。年商2億円・営業利益率1.8%(=360万円)のA社にとって、ELは利益を完全に食い潰す規模です。
しかも本当に怖いのは下段ではなく、上段の「ES」列です。最悪シナリオが同時に2つ起きると、会社が消える。これがリスク管理の「もう一つの顔」です。
4. 事例ケース——A社の複合リスクシナリオ
4.1 経営者の不安——「サプライチェーンとサイバー、どう備えるか」
A社の経営者から、ある日こう相談されたとします。
「主力顧客が最近、調達先にサイバー対応の質問票を送ってくるようになった。NG項目があるとサプライヤーから外されると聞いた。一方で、うちの仕入れ先(鋼材問屋)も2年前に台風で1か月止まった。両方が同時に起きたら、うちは持たない」
これは現代の中小製造業がほぼ例外なく抱える「複合リスク」の典型です。
- 上流リスク:鋼材問屋のサプライチェーン停止
- 横断リスク:自社のサイバーインシデント
- 下流リスク:主力顧客からのサプライヤー要件強化
3つは独立に見えて、危機時には連動します。後の§10で触れますが、独立に見えるリスクの相関は危機時に跳ね上がる——これがテール設計の中心問題です。
4.2 複合リスクの実装計画——3層×4柱
複合リスクへの実装は「単一の施策で全てをカバーする」発想だと必ず破綻します。3層(予防/検知/復旧)×4柱(品質/冗長化/BCP/セキュリティ)の格子で組み立てるのが実務的です。
| 層 \ 柱 | 品質 | 冗長化 | BCP | セキュリティ |
|---|---|---|---|---|
| 予防 | 仕入材料の受入検査強化 | 二重調達(鋼材問屋を主+副の2社化) | 代替拠点・近隣工場との相互融通契約 | 多要素認証、最小権限、フィッシング演習 |
| 検知 | SQCによる早期異常検知 | 在庫水準・調達日数の週次モニタリング | RTO/RPO計測、シナリオ訓練 | 監査ログ、SIEM代替の簡易アラート |
| 復旧 | 手直し工程の標準化 | 代替材料規格・代替設備の試運転 | 復旧手順書、要員参集、顧客連絡フロー | フォレンジック契約、ベンダー復旧支援 |
この表を埋めるだけで、12個の施策候補が出てきます。ここから費用対効果と運用可能性で選別します。
4.3 二重調達の設計——コストではなく投資として読む
「二重調達は仕入価格が上がるからコストが増える」というのが第一感です。でもELの式に当てはめてみると、別の風景が見えます。
現状(単一調達)
PD: 鋼材問屋停止確率=年8%
LGD: 1か月停止時の損失割合=0.5
EAD: 1か月分の売上=1,670万円
EL = 0.08 × 0.5 × 1,670万円 = 67万円/年
ES(最悪時の平均損失)≈ 3,000万円
二重調達(主8割・副2割)
PD(両方同時停止): 0.08 × 0.20 = 1.6%
LGD(部分停止): 0.25(副が主の80%生産までしか吸収できない想定)
EL = 0.016 × 0.25 × 1,670万円 = 7万円/年
ES(最悪時)≈ 1,500万円
二重調達追加コスト: 副調達先の最低発注量と価格差で年90万円
- ΔEL = 67 - 7 = 60万円
- ΔES = 1,500万円(最悪時の差)
ELだけ見ると「年60万円のリスク減のために90万円払うのは赤字」に見えます。でもES(テール)まで含めて見ると、「年90万円で1,500万円のテールリスク半減」と読み直せます。これがRAROC的に「取るべき投資」になる可能性を示します(数式は§9で詳述)。
二重調達は「コスト」ではなく、ESを半減させる「保険プレミアム」と等価な投資です。同じ金額を伝統的な保険に払うと、保険会社の事務コストと利益分が乗るぶん、自社内の冗長化のほうが効率が良いケースが多々あります。
4.4 ゼロトラスト——大企業のもの、ではない
ゼロトラスト(Zero Trust)は「社内ネットワークを信頼しない」という設計思想です。すべての通信・アクセスを認証・認可・暗号化し、最小権限で動かす。大企業向けの大規模投資の話のように響きますが、中小企業でも実装の重さを段階的に分けて進められます。
A社にとって現実的なゼロトラスト3段階:
| 段階 | 内容 | 想定コスト(年) | 削減できるES |
|---|---|---|---|
| Lv1:基礎 | 多要素認証(MFA)、端末暗号化、共有アカウント廃止 | 30万円 | 1,500万円 |
| Lv2:監査 | 監査ログ集約、特権ID管理、外部委託先の通信制限 | 80万円 | 2,500万円 |
| Lv3:分離 | VLAN分離、業務系と制御系の分離、ベンダー保守の隔離 | 150万円 | 3,500万円 |
「とりあえずLv1から」というのが現実的な入り方です。MFAだけでもインシデント発生確率(PD)は半分以下に落ちます。経営者には「年30万円で、最悪時の1,500万円損失を半減できる投資です」と翻訳します。
ここでも「セキュリティ=コスト」を「ESを下げる投資」に読み直す視点が効きます。
4.5 監査ログの整備——「事後の信頼」を作る装置
監査ログは事前に攻撃を防ぐ装置ではありません。攻撃が起きたあとに「何が起きたか」を立証する装置です。
監査ログを整備していない企業がインシデントに遭うと、顧客・取引先・行政から「データがどこまで流出したのか」「アクセス記録は残っているか」を問われます。記録がなければ、信頼の回復は事実上不可能です。
A社の実装案:
- 何を残すか:認証イベント、特権操作、ファイルアクセス(共有フォルダ)、外部送信、設定変更
- どこに残すか:原本は社内、コピーをクラウドに(改ざん防止のため別管理)
- どれだけ残すか:1年以上(業種によっては3年)
- 誰が見るか:月次で工場長+外部支援(顧問IT)が要約レビュー
監査ログは「事故が起きないと役に立たない」という意味で、保険料に近い性質を持ちます。違いは「起きたときに自分で立証できる」という主体性が残ること。これがあるかないかで、事故後の顧客離脱率が大きく変わります。
4.5補足:複合インシデントを台本で歩く
ここまでの議論を抽象論で終わらせないために、ある朝にA社で起きたとしたら、という仮想の台本を歩いてみます。
月曜朝7時45分。鋼材問屋から「昨夜の落雷で配電盤が損傷、出荷を48時間止めます」という連絡。経営者は今週末の主力顧客向け納期を頭に浮かべ、工場長に電話を入れます。
朝8時20分。工場長が出社直後にネットワーク共有フォルダにアクセスできないことに気づく。社内のPCが順次フリーズし始めます。誰かが「ランサムウェアじゃないか」と口にした瞬間、空気が変わります。
朝9時05分。主力顧客の調達部から、たまたまその日、「サプライヤー監査の追加質問票です。月末までに回答を」というメール。質問項目に「過去12か月のセキュリティインシデントの件数と内容」が含まれている。
3つの事象が独立していれば、それぞれ個別に対応すればよい。でも同時に起きると、人と意思決定の帯域がパンクします。経営者は「どれから動くか」を考える前に、目の前で連続して鳴る電話に追われる。これが危機時の意思決定崩壊の典型です。
事前にエスカレーションルールがあれば、この朝の意思決定は次のように整理できます。
- 鋼材停止:副調達先に8時30分までに発注(事前ルール)
- ランサムウェア疑い:顧問ITに8時30分までに連絡、ネットワーク隔離は工場長権限で即実施(事前ルール)
- 監査質問票:当日中は回答しない、社内対応終了後の翌週月曜に経営者と工場長で書面回答(事前ルール)
ルールが事前に決まっていれば、危機時の判断は「何を実行するか」だけになります。決まっていなければ、判断そのものが争点になり、初動が数時間ずれます。リスク管理の本当の価値は、平時のルール化によって、危機時の認知負荷を下げることにあります。
4.6 運用可能性——「やれるか」を必ず最後に確認する
ここまで12個の施策候補を並べました。でも全部を中小企業のA社が自走できるか、というと答えはNoです。運用可能性のチェックは必須です。
| 観点 | 確認内容 | A社の現実 |
|---|---|---|
| 専任有無 | リスク/IT担当の専任がいるか | いない(経営者と工場長が兼務) |
| 月次工数 | 監査ログレビューや訓練に割ける時間 | 月8時間が限界 |
| 外部支援 | 顧問IT・社労士・損保代理店との関係 | 損保のみあり |
| ベンダー任せ度 | 委託先がインシデント対応してくれるか | 不明 |
ここから現実的な実装順序が決まります。A社では:
- 3か月以内:MFA導入、共有アカウント廃止、二重調達の副調達先選定(コスト総額:年120万円)
- 6か月以内:監査ログ集約、BCP訓練の年1回化、業務中断保険の見直し(追加コスト:年180万円)
- 12か月以内:ゼロトラストLv2、相互融通契約、顧問IT契約(追加コスト:年200万円)
これでELを年間50万円程度、ESを5,000万円程度減らせる見込みです。年間500万円の投資で、ELとESの「合計リスク低減効果」は数千万円規模。これはコストではなく投資、と経営者に翻訳できる規模になります。
5. なぜリスク管理は「やってる感」で終わるのか
5.1 ERM形式化の3つの病理
ERM(Enterprise Risk Management:全社的リスクマネジメント)は本来、組織横断でリスクを統合管理する優れた枠組みです。COSO ERMやISO 31000が国際標準として整備されてきました。
なのに、現場で「ERMを導入しました」と聞いてもピンとくる事例は少ない。なぜか。代表的な3つの病理を整理します。
病理①:年1回のリスクアセスメントで終わる
多くの中小企業のERMは、年初に「リスクマップ」を作り、年末に「実施結果」を貼って終わります。間の11か月、誰もリスクマップを開きません。発生する事象はリアルタイムですが、計測は年1回。これでは予防にも復旧にも使えません。
病理②:上位5リスクに集中して、新興リスクを見落とす
リスクマップの「重要度トップ5」に注力するのは健全に見えて、実は危険です。新興リスク(生成AIによる業務破壊、ESG関連の取引先要求、地政学リスク)はマップに載った時点で既に遅い。遅行的なマップを更新するだけのERMは、新興リスクを構造的に検知できません。
病理③:KRIが「経営会議でスライドに載るだけ」になる
KRI(Key Risk Indicator)は本来、リスク発現の先行指標として現場行動を変えるための装置です。でも実務では、KRIが経営会議のスライドに数字として並ぶだけで、その数字を見て翌週の現場が動かない。これが最も深刻な形式化です。
5.2 形式化の根本原因——「リスクは管理部門の仕事」という構造
3つの病理に共通する根本原因は、「リスク管理は管理部門・経営企画の仕事である」という暗黙の前提です。
中小企業に管理部門の専任はほとんどいません。だからリスク管理は、経営者か、外注の社労士・税理士・損保代理店に部分外注されます。そして「外で作ったリスクマップ」は現場と接続されません。
打ち手は、リスクを現場のオペレーション指標に統合することです。品質管理図、納期遵守率、セキュリティアラート、CCC(キャッシュコンバージョンサイクル)——これらは現場が日々見ている指標です。これらの指標がリスクの先行指標を兼ねる設計に変えると、リスク管理は現場の日常業務に組み込まれます。
5.2補足:形式化が起きていく動線
ERMが形式化していく過程は、悪意ではなく善意の連続から生じます。あえてその動線を逆向きに辿ってみると、自社の構造的弱点が見えてきます。
最初の出発点は、たいてい「リスク管理を強化したい」という経営者の善意です。外部のコンサルタントを呼び、リスクマップを作る研修を開催する。社員が集まり、付箋で各部門のリスクを洗い出し、頻度×影響でマッピングする。模造紙が会議室の壁を埋め、全員が「リスクを意識した」感覚を得て解散する。
ここまでは健全です。問題は次の一手です。模造紙の写真がPowerPointに転記され、ファイルが共有サーバの「リスク管理」フォルダに保存される。そして、その後の半年〜1年、誰もそのファイルを開きません。
なぜ開かないのか。現場の日常業務に接続されていないからです。鋼材の在庫を毎週見ている工場長は、その在庫水準を「リスクの先行指標」だとは認識していません。経営者にとっては「鋼材在庫日数」と「リスクマップの紙」は別物です。
半年後、新人が「うちはリスク管理ありますか」と質問する。総務担当が「ありますよ、これです」とファイルを取り出す。新人は「立派ですね」と言う。しばらく経って同じ問いを別の人がする。同じファイルが出てくる。「ある/ない」の二択を埋めるだけの存在になる。これがやってる感の完成形です。
打開する唯一の方法は、リスクマップを作るより、現場の既存指標に紐付けることに時間を使うことです。新しいリスク指標を発明する必要はありません。すでに現場が見ている指標を、リスクの先行指標として再ラベルするだけで十分です。これが次節のテーマです。
5.3 「やってる感」を見破る3つの問い
自社のERMが形式化していないかを自己診断する3つの問いです。
- 問い1:先月、リスクマップの数字を見て、現場が行動を変えた事例を1つ挙げられるか
- 問い2:直近のリスク事象(軽微なものでよい)が、来期のリスクマップに反映される仕組みがあるか
- 問い3:リスク管理の責任者は、現場のオペレーションを止める権限を持っているか
3つすべてに「Yes」と即答できる中小企業は、ほぼありません。逆に言えば、この3つを満たす設計に組み替えるだけで、ERMは「やってる感」から「動くERM」に変わります。
6. KRIを現場先行指標に落とす——A社の設計例
6.1 リスクごとに「先行指標」を1〜2個に絞る
KRIは増やすほど形式化します。1リスクにつき1〜2個の先行指標に絞り、現場が毎週見られるレベルに落とします。
| リスク | 遅行指標(結果) | 先行指標(KRI) | 計測頻度 | 計測責任 |
|---|---|---|---|---|
| 主力顧客集中 | 主力顧客売上比率 | 上位3社の発注予定共有度(週次先行受注情報) | 週次 | 経営者 |
| サプライチェーン停止 | 操業停止日数 | 鋼材在庫水準(日数換算)/副調達先発注比率 | 週次 | 工場長 |
| サイバーインシデント | 重大事故件数 | MFA未使用ログイン件数/フィッシング訓練合格率 | 月次 | 工場長+外部IT |
| 熟練工依存 | 熟練工依存工程の割合 | 担当可能工程マトリクスのスコア合計 | 月次 | 工場長 |
| 品質悪化 | クレーム件数 | 工程能力指数Cpk/管理図の3σ越え回数 | 週次 | 工場長 |
| 資金繰り | 資金ショート発生 | CCC、買掛金回転、与信枠残 | 週次 | 経営者 |
これだけです。6リスク×平均1.5指標=9指標。これなら経営会議の前に工場長が15分で更新できます。
6.2 閾値設計——「黄信号」「赤信号」を事前に決める
KRIに数字を入れるだけでは形式化します。「数字がいくつになったら何をするか」を事前にルール化することが鍵です。
A社の閾値設計例:
| 先行指標 | 緑(通常) | 黄(注意) | 赤(即応) | 赤になったときの行動 |
|---|---|---|---|---|
| 鋼材在庫日数 | ≥30日 | 20-30日 | <20日 | 副調達先への発注、顧客への納期再交渉 |
| MFA未使用ログイン | 0件/月 | 1-2件 | 3件以上 | 外部IT緊急対応、当該アカウント停止 |
| Cpk | ≥1.33 | 1.0-1.33 | <1.0 | 工程改善ミーティング、原因究明 |
| 主力顧客の月次受注見通し | 既受注の80%以上 | 60-80% | <60% | 経営者が翌週中に顧客訪問 |
| CCC | ≤45日 | 45-55日 | >55日 | 滞留要因の特定、入金督促強化 |
赤の欄に書くべき内容は「誰が、いつまでに、何をするか」です。これが書けていないと、赤信号が点いても誰も動きません。
6.3 エスカレーション設計——会議で意思決定が変わる仕組み
閾値が決まっても、「赤が点いた」ことが経営会議に届かなければ意味がありません。エスカレーションのルールを明文化します。
A社のエスカレーション例:
[エスカレーション基準]
Lv1(黄信号点灯)
→ 工場長が週次定例(毎週月曜30分)で報告
→ 経営者は「現状認識」のみ。介入なし
Lv2(赤信号点灯/単一指標)
→ 24時間以内に工場長→経営者へ口頭報告
→ 当該指標の対処策を経営者と工場長で合意
→ 翌週の経営会議で「対処状況」を議題化
Lv3(赤信号 複数同時 / ES 1,000万円以上のシナリオ)
→ 即時に経営会議を招集(最遅48時間以内)
→ 顧問IT・損保代理店への連絡含めて検討
→ 議事録に「決定事項」「実施期限」「責任者」を必ず明記
この設計の核心は、「赤信号は経営会議のアジェンダを変える」ことです。赤が点いたのに通常議題のままなら、エスカレーションは形式化しています。
6.4 経営会議の組み替え——リスクを「議題化」する
最後にKRIを経営会議の運用に組み込みます。会議の冒頭5分にKRIダッシュボードレビューを置き、「赤の有無」と「先週の黄が緑に戻ったか」だけ確認します。所要5分です。
| 旧経営会議 | 新経営会議 |
|---|---|
| 売上・利益の月次報告 | 売上・利益の月次報告 |
| 営業状況 | KRIダッシュボードレビュー(5分) |
| 生産状況 | 営業状況(赤が出ていれば優先議題) |
| その他 | 生産状況(赤が出ていれば優先議題) |
| ─ | リスクシナリオ訓練(半年1回) |
会議の時間を増やすのではなく、5分を再配分するだけです。月次でこれだけ続けると、「KRIを見るのが当たり前」になります。
6.4補足:KRIダッシュボードの実物——A4一枚に収める
KRIダッシュボードと呼ぶと立派なBIツールを想像しがちですが、A社にとって最初の一歩はA4一枚のExcel/PowerPointで十分です。月次会議の前夜に工場長が15分で更新するイメージです。
[A社 リスクKRI週次ダッシュボード(毎週月曜更新)]
┌─────────────────────────────┬──────┬──────┬──────┐
│ 指標 │ 今週 │ 状態 │ 先週 │
├─────────────────────────────┼──────┼──────┼──────┤
│ 鋼材在庫日数 │ 28日 │ 黄 │ 32日 │
│ 副調達先発注比率(過去90日)│ 12% │ 緑 │ 11% │
│ MFA未使用ログイン件数(月) │ 0 │ 緑 │ 0 │
│ Cpk(主要工程平均) │ 1.28 │ 緑 │ 1.31 │
│ 主力顧客の翌月受注見通し │ 88% │ 緑 │ 90% │
│ CCC(今月推定) │ 42日 │ 緑 │ 41日 │
└─────────────────────────────┴──────┴──────┴──────┘
[今週の赤・黄に対する行動]
・鋼材在庫日数 黄 → 副調達先に小口発注を入れる(工場長/水曜まで)
これだけです。経営会議の冒頭でこの1枚を映し、5分で黄/赤の有無を確認する。シンプルですが、半年続けば「数字で語るリスク管理」が組織文化として根付きます。
過剰な装飾は不要です。むしろ装飾が増えるほど、メンテナンスコストが増え、形式化のリスクが上がります。最小限のダッシュボード×継続的な運用が、中小企業のERMには最適です。
6.5 「動くERM」の判定基準
形式化を脱したERMかどうかを判定する基準を、再度提示します。
- 先月の経営判断で、KRIが起点になったものが1つ以上ある
- 直近のヒヤリハットが、来月のKRIに反映されている
- 赤信号で実際にオペレーションが止まった経験がある(または止める権限が明文化されている)
3つすべてに「Yes」と言えるかどうか。最初は1つでも、半年で2つ、1年で3つを目標にします。
7. 6か月後のA社——統合的リスク管理の前後でどう変わるか
7.1 数字で見るビフォーアフター
A社で統合的リスク管理を半年運用した時点での変化を、仮想数値で示します。
| 指標 | 施策前 | 3か月後 | 6か月後 |
|---|---|---|---|
| EL合計(年換算) | 551万円 | 380万円 | 290万円 |
| ES(最悪シナリオ) | 2.5億円 | 1.8億円 | 1.2億円 |
| 主力顧客比率 | 47% | 44% | 41% |
| 鋼材在庫日数(平均) | 22日 | 28日 | 32日 |
| MFA導入率 | 0% | 100% | 100% |
| 監査ログ整備 | なし | 一部 | 全社 |
| Cpk平均 | 1.05 | 1.18 | 1.32 |
| 経営会議でのKRI起点議論 | 0回/月 | 1.2回/月 | 2.5回/月 |
最も変わったのは、最終行の「経営会議でKRIが議題化される頻度」です。月平均2.5回ということは、月次会議で半分以上の議題がKRIから派生しているということです。これが「動くERM」の証拠です。
7.2 数字以外の変化——空気が変わる
数字以上に経営者が実感したのは、空気の変化でした。
- 工場長が「先週、副調達先に少量発注しました。これで在庫日数が32日になります」と先回りで報告するようになった
- 熟練工が「Cpkが先週1.1まで落ちたので、ジグの精度を見直しました」と勝手に改善するようになった
- 経営者が顧客との価格交渉で「うちは二重調達体制と監査ログ整備済みで、サプライヤー要件の質問票には全項目Yesです」と先制して言えるようになった
特に最後の点が、経営者にとって最大の発見でした。リスク管理は「守り」ではなく、顧客に対するセールスポイントになっていた。サプライチェーン要件が厳しくなる業界では、ここが直接的に競争優位になります。これがまさに「リスク管理を投資として設計する」ことの実態です。
7.3 翻訳の言葉が変わる
ある場面で経営者がこう言ったといいます。
「以前は『保険、また値上がりするのか』しか言えなかった。いまは『うちはEL年間290万円・ES1.2億円の体制で、保険はESの半分をカバーしています』と言える。同じ説明でも、相手の反応が全く違う」
数字の言語化は、経営者を「リスクの被害者」から「リスクの設計者」に変えます。これは合格後の診断士が、経営者にもたらせる最大の貢献の一つだと感じます。
8. ここまでの整理——統合的リスク管理の骨子
ここまで、3つの問題意識を1本の流れで扱ってきました。
①リスク対応4分類は「メニュー」ではなく「組み合わせ」として設計する
回避・低減・移転・受容は単独で使うのではなく、品質・冗長化・BCP・セキュリティの4柱と掛け合わせて12〜16の打ち手として組み立てます。試験対策の単線的な答案から、実務的な格子型の設計へ。
②期待損失(EL)とテールリスク(ES)は別の打ち手で扱う
日常リスクは現場改善(プロセス・教育・標準化)で減らす。テールリスクは冗長化・保険・BCPで「最悪時の連鎖を断つ」。両者を同じテーブルに均すと配分ミスが起きます。
③複合リスクは3層×4柱の格子で実装する
予防/検知/復旧の3層と4柱を掛け合わせ、12の施策候補を出す。そこから費用対効果(ΔEL/コスト)と運用可能性(人と組織の限界)で選別します。サプライチェーン×サイバーは、まさにこの格子で組み立てる典型シナリオです。
④ERMの形式化は「現場接続」と「閾値ルール」と「経営会議の組み替え」で脱する
KRIをリスクごとに1〜2個に絞り、緑/黄/赤の閾値と赤のときの行動を事前にルール化し、経営会議のアジェンダ自体を組み替えます。会議の時間を増やすのではなく、5分を再配分する。
⑤リスク管理は守りであり、攻めでもある
ESを下げる投資は「コスト」ではなく「投資」として読み直せる場面が多くあります。特に取引先要件・業界規制・顧客信頼が絡む領域では、リスク管理の整備度が直接的な差別化要因になります。
ここまでが3問(3-7-1/3-7-2/3-7-3)の骨格です。ここから先は、ここまでの骨格を損保数学のフレームで補強し、危機時の挙動と資源配分まで踏み込みます。
9. 理論補強——RAROCで「リスクは投資」を数式化する
9.1 RAROC——リスク調整後資本収益率
金融機関で長く使われてきたRAROC(Risk-Adjusted Return on Capital)は、中小企業のリスク管理にもそのまま適用できます。
RAROC = (収益 - EL - 運営コスト) / 経済資本(EC)
EC(経済資本)= ES(または VaR) - EL
「平均的な損失を超えてくる、最悪シナリオに備えて自社が保持すべき資本」
直感的には:
- 分子=そのリスクを取って得られる「リスク調整後の利益」
- 分母=そのリスクを取るために積んでおくべき「経済資本」
- 全体=「リスク資本に対する利益率」
これが資本コスト(WACC)を上回るなら、そのリスクは取るべき投資です。下回るなら、リスク移転・回避を検討します。
9.2 A社の主力顧客リスクをRAROCで読む
A社の主力顧客との取引をRAROCで評価してみます。
主力顧客(売上47%・年商9,400万円)
収益(限界利益) ≈ 9,400万円 × 45% = 4,230万円
EL ≈ 282万円
運営コスト(営業・管理) ≈ 1,500万円
EC = ES − EL = 1.1億円 − 282万円 ≈ 1.07億円
RAROC = (4,230 - 282 - 1,500) / 10,700 = 2,448 / 10,700 ≈ 22.9%
A社の資本コスト(WACC)想定 ≈ 7-9%
RAROC22.9% > WACC8%。この主力顧客との取引は、ESが大きくても「取るべきリスク」です。ただし、ECが1億円もあるので、ESを下げる投資(顧客分散、契約条項強化、与信保険)は同時並行で必須です。
逆に、もし副調達先が安すぎてLGDを下げきれない設計を組んでしまうと、RAROCがWACCを下回る可能性もあります。RAROCで定期的に評価する習慣が、リスクの「取捨」を経営判断レベルに引き上げます。
9.2補足:RAROCで主要顧客の取捨を見る
別の見方として、もしA社に「次の主力顧客候補」として大手B社(売上の30%相当を発注予定、ただし契約条項が厳しく与信枠の上乗せが必要)の話が来たら、と仮定してみます。
B社(仮)(売上30%相当・年商6,000万円見込)
収益(限界利益) ≈ 6,000万円 × 38% = 2,280万円
※B社の値引き要求で限界利益率は45→38%に下がる想定
EL(与信枠拡大による貸倒リスク含む) ≈ 350万円
運営コスト(営業・管理・追加品管対応) ≈ 1,400万円
EC = ES − EL = 7,000万円 − 350万円 ≈ 6,650万円
RAROC = (2,280 - 350 - 1,400) / 6,650 = 530 / 6,650 ≈ 8.0%
主力顧客のRAROC22.9%に対し、B社案件は8.0%。WACC8%とほぼ同じです。「取ってもよいが、儲けにはならない」ラインの取引です。
ここで経営者が直感だけで判断すると、「売上が伸びるなら受けよう」となりがちです。でもRAROCで並べてみると、「主力顧客の集中度を下げる効果」を別途評価しない限り、この案件は経営判断としては慎重になるべき水準にあります。
実務的にはこういうとき、「B社を受けるなら、与信保険でELを150万円下げ、契約条項で代金回収サイクルを短縮してCCC負担を減らせるか」という条件交渉の議題に持ち込みます。RAROCはYes/Noを決める道具ではなく、「Yesにするための条件設計の議題」を提示する道具です。
9.3 RAROCの中小企業向け使い方——3つの実務的ヒント
RAROCを中小企業で動かすには、以下のような割り切りが必要です。
- EC(経済資本)は厳密に計算しなくてよい。代わりに「ESの近似値」で代用。ESは過去事例+経営者の最悪想定から「だいたいの幅」で出す
- WACCは厳密に計算しなくてよい。中小企業なら「借入金利+3〜5%」を目安に置く。要は「最低限超えるべきライン」が分かればよい
- 年に1〜2回、主要顧客・主要事業セグメントごとに評価する。月次は不要
精度より頻度と継続性が大事です。「だいたい」で構わないので、半年に1回主要顧客のRAROCを並べてみる。これだけで「取引先の見え方」が変わります。
9.4 リスクプレミアム——競合が避けるリスクは差別化の源泉
ここまでの議論を一段上から見ると、もう一つの視点が浮かびます。
競合が避けているリスクには、リスクプレミアムが乗っています。たとえば、
- 地政学リスクの高い地域への調達/供給
- ESG要件の厳しい顧客への対応
- 短納期・小ロット・高難度の特殊加工
これらは「リスクが高いから取らない」競合が多いほど、取れる事業者には高い対価が乗ります。リスク管理が整っている企業だけが、そのプレミアムを安全に取りに行けます。
A社の場合、「主力顧客のサプライヤー要件強化」は、見方を変えると、「要件を満たせない競合が脱落していく」という機会です。早めに監査ログ・MFA・BCPを整えれば、競合が落ちた席に座れる。リスク管理整備度=市場参入権の獲得、というアングルです。
これが「リスク管理を投資として設計する」最も鋭い側面です。
10. リスク集積と危機設計——相関崩壊と限られた予算の配分
10.1 平時の分散効果——独立リスクの足し算
複数のリスクを抱える企業の合計リスクを考えるとき、まず思い浮かぶのは「独立に分散させればリスク総量は小さくできる」というポートフォリオ理論的な考え方です。
個別独立時:
Var(S) = λ × E[X²] = λ(μ² + σ²)
※ Sは複合損失、λは年あたり発生頻度、Xは1回あたり損失
独立なリスクが多いほど、それぞれの分散が打ち消し合い、合計の変動は予測可能になります。これが分散投資の基本原理です。
10.2 危機時の相関崩壊——「分散効果」が消える瞬間
ところが現実の危機では、平時には独立に見えたリスクが同時に発火します。
相関あり時:
Var(S_total) = Σ Var(S_i) + 2 Σ_{i<j} ρ_ij × σ_i × σ_j
ρ_ij が平時0.1 → 危機時0.8〜0.9 に跳ね上がると、
右辺第二項が急膨張し、分散効果がほぼ消滅する
平時に「うちは取引先も多いし、事業も多角化しているから安心」と言っていた企業が、コロナ禍では同時に全方面から打撃を受けました。これがまさに相関の跳ね上がりです。
統計学では、こうした「テール部分で相関が強くなる」性質をt-Copulaなどの分布で表現します。詳細な数式は省きますが、概念的には「正規分布より裾が厚く、極端事象が独立ではなく束で起こる」モデルです。
中小企業に当てはめれば:
- サプライチェーン停止:上流の鋼材問屋が止まる
- サイバー攻撃:危機便乗型のフィッシングが急増
- 顧客側の発注減:顧客自身も同時に打撃
- 人員:感染症や災害で同時に欠勤
これらがほぼ独立ではなく束で起こるのが危機です。リスクマップで「独立に評価」したリスクの合計よりも、実際の損失ははるかに大きくなります。
10.3 クライシスマネジメントへの接続
危機時の相関跳ねを前提とすると、リスク管理は「個別リスクのチェックリスト」では足りません。複合シナリオを想定したクライシスマネジメントが必要です。
具体的には:
- 複合シナリオ訓練:「鋼材停止+サイバー+主力顧客クレーム」など3つ同時のシナリオを年1回机上演習する
- 意思決定の事前合意:「3つ同時のときは何を捨て、何を守るか」を経営者と工場長で平時に合意しておく
- 対外コミュニケーション:危機時の対外発信のひな型を事前準備(顧客向け/取引先向け/従業員向け/メディア向け)
- 資金的緩衝:相関跳ねを前提にした手元資金の最低水準を設定(売上の○か月分など)
机上演習を年1回回すだけで、初動の意思決定スピードが大きく変わります。シナリオを書く過程で、見落としていたSPOF(単一障害点)が必ず出てきます。
10.4 限られたリスク予算をどう配分するか——2つの優先順位フレーム
中小企業のリスク管理に使える予算は有限です。A社の例なら、年500万円が限界かもしれません。どの施策に振るか、を決める優先順位フレームが必要です。
[日常リスクの優先順位(ELを下げる施策)]
対策ROI = ΔEL / 対策コスト
例:Cpk向上のための工程改善(年20万円投資、ΔEL=年30万円)
→ 対策ROI = 30/20 = 1.5
[テールリスクの優先順位(ECを下げる施策)]
資本効率 = ΔEC × 資本コスト率 / 対策コスト
例:MFA導入(年30万円投資、ΔEC=1,500万円、資本コスト率8%)
→ 資本効率 = 1,500 × 0.08 / 30 = 4.0
2つの式が示すのは、日常リスクとテールリスクで「優先順位の物差し」が違うということです。日常リスクは「年間損失を直接いくら減らせるか」、テールリスクは「いくらのリスク資本を解放できるか」。
A社で実際に施策ROI/資本効率を比較してみると:
| 施策 | 投資 | ΔEL | ΔEC | 対策ROI | 資本効率 |
|---|---|---|---|---|---|
| Cpk向上の工程改善 | 20万円 | 30万円 | 200万円 | 1.5 | 0.8 |
| MFA導入 | 30万円 | 5万円 | 1,500万円 | 0.2 | 4.0 |
| 二重調達 | 90万円 | 60万円 | 1,500万円 | 0.7 | 1.3 |
| 監査ログ整備 | 80万円 | 15万円 | 1,000万円 | 0.2 | 1.0 |
| 業務中断保険 増額 | 50万円 | 0 | 800万円 | 0 | 1.3 |
| BCP訓練 年1回化 | 30万円 | 10万円 | 500万円 | 0.3 | 1.3 |
EL対策ROIで見ると工程改善が圧倒的、テール対策(資本効率)で見るとMFAと二重調達が突出します。両者は競合しません。EL対策とテール対策は別予算で配分する——これが資源配分の核心です。
A社の場合、「年500万円のリスク予算」を、「EL対策に200万円・テール対策に300万円」のように予め二層に分けてから配分すると、両方の優先順位が混ざらず、形式化を避けられます。
10.4補足:A社の予算配分試算——500万円をどう振るか
A社のリスク予算500万円を、EL対策/テール対策で二層に分けて配分してみます。
[配分1:EL対策 200万円/テール対策 300万円]
EL対策 200万円
・Cpk向上の工程改善 20万円 → ΔEL 30万円
・標準化と教育 50万円 → ΔEL 80万円
・受入検査強化 30万円 → ΔEL 40万円
・小ロット品質改善活動 100万円 → ΔEL 60万円
───────────────────────────────────────────
小計 200万円 ΔEL 210万円
→ 対策ROI = 1.05(EL対策としては合格水準)
テール対策 300万円
・MFA/共有アカウント整理 30万円 → ΔEC 1,500万円
・監査ログ整備 80万円 → ΔEC 1,000万円
・二重調達(副調達先運用) 90万円 → ΔEC 1,500万円
・BCP訓練 年1回化 30万円 → ΔEC 500万円
・業務中断保険 増額 50万円 → ΔEC 800万円
・契約条項見直し(顧問) 20万円 → ΔEC 400万円
───────────────────────────────────────────
小計 300万円 ΔEC 5,700万円
→ 資本効率 = 5,700 × 0.08 / 300 ≈ 1.52
EL対策のΔEL(年間210万円減)は、年商2億円・営業利益率1.8%(360万円)のA社にとっては利益を6割増しにする規模です。テール対策のΔEC(5,700万円減)は、最悪シナリオの自己資本毀損リスクを大幅に下げます。
逆配分(EL対策300・テール対策200)を試算すると、ELは追加で30万円ほどしか減らず、ECは2,000万円ほど取り逃します。「ELを完璧に減らす」より、「EL対策の限界効果が逓減した瞬間にテール対策に予算を回す」ほうが、合計の資本効率が高いことが見えてきます。
これがリスク資源配分の核心です。日常リスクをゼロにしようとして予算を使い果たし、テールリスクは無防備、というのが中小企業に最も多いパターンです。逆配分の発想で「最初の300万円はテール対策」と先に枠を切ることで、この罠を構造的に避けられます。
10.5 「頻度は低いが壊滅的なリスクを低コストで削減できる施策」を発見する
優先順位フレームから自然に浮かび上がる重要原則は次の一文です。
限られたリスク予算は、「頻度は低いが壊滅的なリスクを、低コストで削減できる施策」に優先配分する。
これは保険数理の世界で「テールイベントの非対称性」と呼ばれる性質です。ELだけ追う設計だと、頻度は低いけれど壊滅的なリスクは「期待値が小さいから後回し」になります。でもES(最悪時の平均損失)まで含めて見ると、それらは資本効率の観点で最も先に手を打つべき対象になる。
A社で言えば、年30万円のMFA、年80万円の監査ログ整備、年30万円のBCP訓練年次化——いずれも「頻度は低いが壊滅的なリスクを、低コストで削減できる」典型例です。
合格直後の診断士がリスク管理の助言で陥りがちな罠は、「目に見える日常リスク(クレームや不良)に注力しすぎて、目に見えないテールリスクを放置する」ことです。経営者にとっても日常リスクのほうが手触りがあって相談しやすい。だからこそ、診断士がESの視点を持ち込まないと、テールリスクは構造的に後回しになります。
ESの視点は、「経営者が口にしないが本当は怖がっているリスク」を診断士が言語化する装置でもあります。
11. 合格直後の自分へ——リスクを「設計対象」として扱う
ここまでの話を、最初の問いに戻して整理します。
「なぜリスク管理はコストでしか語られないのか」。答えは、リスクが「発生した損失の額」だけで語られるからでした。
発生した損失だけを見れば、確かにリスクはコストです。でも発生確率と影響、平均と最悪、独立と相関、現場と経営、移転と保有——これらを設計対象として扱うとき、リスクは「コストを最小化するメニュー」から「資本効率を最大化する設計領域」に変わります。
私が伝えたいことを一文に絞れば、次のひと言になります。
リスクは、減らす対象であると同時に、設計する対象である。
減らす視点だけだと、リスク管理は守りに偏ります。設計の視点を持つと、リスク管理は経営戦略の一部になります。
Level 1(合格直後)の診断士と、Level 100の診断士の違いは、知識量ではありません。試験に合格した時点で、リスク対応4分類もELもVaRも、用語としては全員が知っています。
差が生まれるのは、フレームワークの「使い方」です。
- Level 1は「4分類を埋める」。Level 100は「4分類を組み合わせ、3層×4柱で実装する」
- Level 1は「リスクマップで重要度を評価する」。Level 100は「ELとESを別物として扱い、別予算で配分する」
- Level 1は「保険でリスク移転する」。Level 100は「保険・冗長化・契約条項・自家保有を比較してRAROCで判断する」
- Level 1は「ERMを導入する」。Level 100は「KRIを現場先行指標に翻訳し、経営会議のアジェンダを組み替える」
- Level 1は「リスクを減らす」。Level 100は「取るべきリスクと避けるべきリスクを設計で切り分ける」
合格後の最初のリスク相談で、あなたはきっと経営者から「保険料が高い」「リスクが心配」という相談を受けます。そのとき、保険料の妥当性を語る前に、ぜひこの記事のことを思い出してください。
問いは「保険料が高いか安いか」ではなく、「ELとESに対し、どんな組み合わせの打ち手で資本効率を最大化するか」——ここから考え直すと、経営者との対話が一段深いところで成立します。
リスク管理がコストの話で終わるか、投資の話に変わるか。その分かれ目は、診断士が何を聞き、何を可視化し、何を翻訳するか——その設計力にかかっています。
本記事は、中小企業診断士合格後の実務準備を目的とした「smeca-level100」シリーズの一部です。試験対策ではなく「合格後の知的再武装」として、アカデミックと実務のギャップを埋めることをコンセプトにしています。チェックポイント3-7「企業のリスク管理を、保険/ヘッジだけでなくオペレーション上のリスク低減・移転として統合的に設計できる」に対応した記事です。
コメント