ERMと言われて、パッと思いつくのは影響度と発生可能性を縦軸・横軸にとったリスクマップ、現場からリスクに関する意見を吸い上げる調査票・・・といったところでしょうか。ところが、良く聞こえてくるのは「役に立っている気がしない」「モチベーションが上がらない」「何がいいか悪いか良く分からない」「負担が大きい」という声です。

なぜでしょうか？　一番の理由は、ERMで何を達成したいのか？そのために何をすべきなのか？が不明瞭であるためです。良く言う“手段が目的化してしまっている”状態です。つまり、「本当にERMの目的を理解して導入・運用できているか？」と問いかけてみると、本当に「YES」と回答できない組織が多いのです。だから、本コラムではあえて原点に立ち返りERMの意義について真剣に掘り下げてみたいと思います。

あえて問いかけたいと思います。「ERMは本当に必要なのでしょうか」。だって、考えてもみてください。Eがつく（全社的である）かどうかは知りませんが、少なくとも企業である以上、リスクマネジメント活動は何らかの形で実施しているハズです。
経営活動の中で意思決定をする際には、必要な情報をかき集め、そこから得られる効果やリスクの大きさを（おそらくは頭の中で）検討し判断を下しているハズです。「中国市場は魅力的。でも、万が一失敗したときの撤退費用ってどれくらいなんだろう？」「委託先に顧客情報の管理をお願いできるのはコスト的に魅力。でも、膨大なデータベースを外の組織にお願いするのってリスクはないんだろうか？」などといったようにです。また、経理部門や、総務部門、法務部門などを設けていれば、必然的に会社のキャッシュフローや、施設・設備、契約などに関するリスクについて、面倒を見ているハズです。にも関わらず、なぜ、ERMが必要なのでしょうか。

これまでやや否定的なことを申し上げてきましたが、ERMが必要かどうかと問われれば、答えはYESです。ERMには大きく3つの意義があります。

1つは、「トップと全従業員との意思統一」です。企業が売上げや利益目標を達成するために足並みをそろえて活動をするのと同様、リスクマネジメントにおいても、足並みをそろえた活動が期待されます。たとえば、トップは「●●千万円くらいのリスクなら、積極的にとっていこう！ルールでガチガチにしてる場合じゃない。積極果敢に攻めていくんだ」と思っていたとします。ところが管理部門の方は、「●●百万円も損失が出る可能性があるなんて...。そんなリスク、会社としてとれるわけがない！厳しく管理していこう！」と言っていたりする・・・。このように意識がバラバラでは、たとえ部門ごとにリスクマネジメントがしっかり行われていたとしても、残念なことですよね。会社として、「そもそも何をリスクと捉えるのか？」「何を持ってリスクが大きい・小さいと言うべきなのか？」「どのリスクに優先的に対応すべきか？」などについて、トップの想いはどこにあるのか、そうした考えをしっかりと見える化し、意思疎通を図ることもERMの役割の1つなのです。

2つ目の意義は、「全社を脅かすようなリスクへの対応」です。全社を脅かすようなリスクって何でしょうか？　最も典型的なものが、BCP（事業継続計画）の整備・導入を検討しなければいけないようなリスクです。たとえば、自然災害です。製品の製造販売だけでなく、コンサルティングサービスなども提供するような複数事業を行う企業があったとします。自然災害は、製品の製造販売事業にのみ影響を与えるリスクではなく、コンサルティングサービスにも影響を与えます。ですが、対策にはお金がかかります。限られた経営資源でどちらの事業を優先復旧するのか、会社としてどこまでお金をかけるのか・・・などは、一事業部長が決定できることではありません。BCPで対応しなければいけないリスクのように、全社的に検討し、方向性を意思決定する必要があるリスクへの対応をする上で威力を発揮する仕組みが、ERMなのです。

ERMの3つ目の意義は、「リスクマネジメント活動の全体最適化」です。“全体最適”は、多くの方が耳にされてきた言葉かと思います。“全体最適”と言えば耳心地は何となくいいでしょうが、実際のところ、何がどう最適なのでしょうか？　 “全体最適”をもう少し掘り下げると、「無駄・矛盾の排除」と「相乗効果の最大化」の2点に絞られます。以降では、“全体最適”につながるこれら2つについて解説していきたいと思います。
 

「リスクマネジメント活動の全体最適化」のにおける「無駄・矛盾の排除」とは、何でしょうか？以下4点にまとめることができます。?

• 相反するリスクマネジメント活動への対応
• 重複するリスクマネジメント活動への対応
• 管理するリスクの抜け漏れ防止
• 活動のムラ防止によるリスク対応力の底上げ

相反するリスクマネジメント活動への対応

リスクマネジメント活動をしていると、相反する場面に遭遇することがあります。典型的な例は、環境リスクマネジメント活動と、情報セキュリティリスクマネジメント活動です。環境保護の観点からは、裏紙の活用など、紙の再利用を促したいところです。ところが、機密情報保護の観点からは、裏紙の使用などもってのほかで、できるかぎり使用済みの資料は裁断破棄させたいところです。あるいは、事業継続の観点からはできるだけ情報は複製して、複数拠点に保管しておきたいところです。ところが情報セキュリティの観点からは、できるだけ一箇所に集めて厳格な管理をしたいところです。こうした相反する事態を会社としてどう判断するのか？　これを解決することがERMの役割の1つであると言えます。

重複するリスク管理活動への対応

金融証券取引法におけるいわゆるJSOX法、会社法における内部統制対応、ISO9001やISO14001などのISOマネジメントシステム活動、業界特有の規範対応・・・など、組織において様々なリスクマネジメント活動を実施しています。ただやむくもにこうした仕組みの導入を進めると、重複した活動が生まれます。「あれ？その監査項目、先日も似たようなチェックを受けたけど・・・またやんの？」といった具合にです。もちろん、管理する内容が重複していても、別の観点から改めてアプローチすることは大事なことです。ですが、これによって企業活動の足取りが重くなりすぎてしまっては、本末転倒です。そうならないようにするための交通整理の役割もERMは担っているのです。

管理するリスクの抜け漏れ防止

リスクは千変万化します。ウイルスのように変化し、増殖する可能性を持ちます。考えてもみてください。数十年前に、サイバーテロなどを企業のリスクとして想像した組織があったでしょうか。リコールリスク、サプライチェーンリスク、SNSをした風評リスクなど、組織を取り巻くリスクは明らかに変化し、増えています。リスクが変化しているのに、対応する組織の体制や役割・責任が同じでいいはずはありません。「SNSを介した風評リスク・・・っておまえの部門が面倒みてくれてるんだよな？」「え！？それ初耳だよ」なぁんてポテンヒットが起きないようにするための活動もERMに期待されているところです。

活動のムラ防止によるリスク対応力の底上げ

どんなプロセスも、継続的改善・・・PDCAの発想が重要です。リスクマネジメントプロセスも例外ではありません。なぜなら、PDCAが機能していれば、たとえ現時点での運用自体に欠陥があっても、自己治癒することができるからです。総務部、経理部、財務部、法務部、広報部、営業部、企画部・・・それぞれの部門の裁量で必要なリスクマネジメント活動を実施してくれていることと思いますが、果たしてPDCAがどこまでしっかりとまわっていると言えるでしょうか。セキュリティの世界では良く、「チェーンの最も弱い箇所がチェーン全体の強さに比例する」という言葉になぞらえられます。これはセキュリティに限った話ではなくリスクマネジメント全体に言えることです。特定の部門だけが一生懸命、PDCAをまわしている・・・そのような偏った状況にならないよう活動のムラを抑え、リスク対応力の底上げを図るのもERMの役割なのです。

相乗効果とは、辞書によれば「二つ以上の要因が同時に働いて、個々の要因がもたらす以上の結果を生じること。シナジー。」※とのことです。リスクマネジメントの世界でも同じことが言えます。各部門が個別にリスクマネジメント活動をしていてもそれなりの効果はありますが、力を合わせることによって、それ以上の効果をもたらすのです。たとえば、複数の会社を傘下に持ったホールディングス企業があるとします。各会社で異なる製品の製造販売を行っていますが、そのうちの何社かは食品や飲料など類似した事業を行っていたとします。このとき食品事業を展開している1社で事故が起きたとしたらどうでしょうか。この情報がすぐさま他の食品や飲料事業会社に共有されれば次の事故を防ぐことができます。このように、会社間・部門間・役職者間など、全社・・・という枠組みの中で、幅広い知識・知恵・経験・情報を有効活用できるようにすることもERMの役割なのです。

※デジタル大辞泉より

さて、長くなってしまいましたが、これまでのERMの意義に関する説明を一つの表にまとめると次のようになります。

冒頭で、「役に立っている気がしない」「モチベーションが上がらない」「何がいいか悪いか良く分からない」「負担が大きい」という声が多いと述べました。その一番の理由は「ERMの意義が不明瞭であることだ」とも述べました。皆さんが導入・運用されているERMは、これらの意義を果たせているといえるでしょうか？　上表を参考にしつつ、自社の活動を見直されてはいかがでしょうか？