ERMは、なぜ機能しないのか
掲載:2015年07月21日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
コラム
ERMとは、エンタープライズ・リスクマネジメント(Enterprise Risk Management)の略称であり、リスクマネジメント活動に関する全社的な仕組みやプロセスを指します。
ERMは、なぜ機能しないのか
そもそもERMって本当に必要なのか
経営活動の中で意思決定をする際には、必要な情報をかき集め、そこから得られる効果やリスクの大きさを(おそらくは頭の中で)検討し判断を下しているハズです。「中国市場は魅力的。でも、万が一失敗したときの撤退費用ってどれくらいなんだろう?」「委託先に顧客情報の管理をお願いできるのはコスト的に魅力。でも、膨大なデータベースを外の組織にお願いするのってリスクはないんだろうか?」などといったようにです。また、経理部門や、総務部門、法務部門などを設けていれば、必然的に会社のキャッシュフローや、施設・設備、契約などに関するリスクについて、面倒を見ているハズです。にも関わらず、なぜ、ERMが必要なのでしょうか。
ERMには3つの意義がある
1つは、「トップと全従業員との意思統一」です。企業が売上げや利益目標を達成するために足並みをそろえて活動をするのと同様、リスクマネジメントにおいても、足並みをそろえた活動が期待されます。たとえば、トップは「●●千万円くらいのリスクなら、積極的にとっていこう!ルールでガチガチにしてる場合じゃない。積極果敢に攻めていくんだ」と思っていたとします。ところが管理部門の方は、「●●百万円も損失が出る可能性があるなんて...。そんなリスク、会社としてとれるわけがない!厳しく管理していこう!」と言っていたりする・・・。このように意識がバラバラでは、たとえ部門ごとにリスクマネジメントがしっかり行われていたとしても、残念なことですよね。会社として、「そもそも何をリスクと捉えるのか?」「何を持ってリスクが大きい・小さいと言うべきなのか?」「どのリスクに優先的に対応すべきか?」などについて、トップの想いはどこにあるのか、そうした考えをしっかりと見える化し、意思疎通を図ることもERMの役割の1つなのです。
ERMの3つ目の意義は、「リスクマネジメント活動の全体最適化」です。“全体最適”は、多くの方が耳にされてきた言葉かと思います。“全体最適”と言えば耳心地は何となくいいでしょうが、実際のところ、何がどう最適なのでしょうか? “全体最適”をもう少し掘り下げると、「無駄・矛盾の排除」と「相乗効果の最大化」の2点に絞られます。以降では、“全体最適”につながるこれら2つについて解説していきたいと思います。
ERMの「無駄・矛盾の排除」とは
- 相反するリスクマネジメント活動への対応
- 重複するリスクマネジメント活動への対応
- 管理するリスクの抜け漏れ防止
- 活動のムラ防止によるリスク対応力の底上げ
相反するリスクマネジメント活動への対応
リスクマネジメント活動をしていると、相反する場面に遭遇することがあります。典型的な例は、環境リスクマネジメント活動と、情報セキュリティリスクマネジメント活動です。環境保護の観点からは、裏紙の活用など、紙の再利用を促したいところです。ところが、機密情報保護の観点からは、裏紙の使用などもってのほかで、できるかぎり使用済みの資料は裁断破棄させたいところです。あるいは、事業継続の観点からはできるだけ情報は複製して、複数拠点に保管しておきたいところです。ところが情報セキュリティの観点からは、できるだけ一箇所に集めて厳格な管理をしたいところです。こうした相反する事態を会社としてどう判断するのか? これを解決することがERMの役割の1つであると言えます。
重複するリスク管理活動への対応
金融証券取引法におけるいわゆるJSOX法、会社法における内部統制対応、ISO9001やISO14001などのISOマネジメントシステム活動、業界特有の規範対応・・・など、組織において様々なリスクマネジメント活動を実施しています。ただやむくもにこうした仕組みの導入を進めると、重複した活動が生まれます。「あれ?その監査項目、先日も似たようなチェックを受けたけど・・・またやんの?」といった具合にです。もちろん、管理する内容が重複していても、別の観点から改めてアプローチすることは大事なことです。ですが、これによって企業活動の足取りが重くなりすぎてしまっては、本末転倒です。そうならないようにするための交通整理の役割もERMは担っているのです。
管理するリスクの抜け漏れ防止
リスクは千変万化します。ウイルスのように変化し、増殖する可能性を持ちます。考えてもみてください。数十年前に、サイバーテロなどを企業のリスクとして想像した組織があったでしょうか。リコールリスク、サプライチェーンリスク、SNSをした風評リスクなど、組織を取り巻くリスクは明らかに変化し、増えています。リスクが変化しているのに、対応する組織の体制や役割・責任が同じでいいはずはありません。「SNSを介した風評リスク・・・っておまえの部門が面倒みてくれてるんだよな?」「え!?それ初耳だよ」なぁんてポテンヒットが起きないようにするための活動もERMに期待されているところです。
活動のムラ防止によるリスク対応力の底上げ
どんなプロセスも、継続的改善・・・PDCAの発想が重要です。リスクマネジメントプロセスも例外ではありません。なぜなら、PDCAが機能していれば、たとえ現時点での運用自体に欠陥があっても、自己治癒することができるからです。総務部、経理部、財務部、法務部、広報部、営業部、企画部・・・それぞれの部門の裁量で必要なリスクマネジメント活動を実施してくれていることと思いますが、果たしてPDCAがどこまでしっかりとまわっていると言えるでしょうか。セキュリティの世界では良く、「チェーンの最も弱い箇所がチェーン全体の強さに比例する」という言葉になぞらえられます。これはセキュリティに限った話ではなくリスクマネジメント全体に言えることです。特定の部門だけが一生懸命、PDCAをまわしている・・・そのような偏った状況にならないよう活動のムラを抑え、リスク対応力の底上げを図るのもERMの役割なのです。
ERMの「相乗効果の最大化」とは
※デジタル大辞泉より
まとめ
トップと全従業員との意思統一を図るため | ||
全社を脅かすリスクを管理するため | ||
リスクマネジメント活動の全体最適を図るため | 無駄・矛盾の排除 | 相反するリスクマネジメント活動への対応 |
重複するリスクマネジメント活動への対応 | ||
管理するリスクの抜け漏れ防止 | ||
ムラ防止による全体のリスク対応力の底上げ | ||
相乗効果の最大化 | 知識・知恵・経験・情報の有効活用 |
冒頭で、「役に立っている気がしない」「モチベーションが上がらない」「何がいいか悪いか良く分からない」「負担が大きい」という声が多いと述べました。その一番の理由は「ERMの意義が不明瞭であることだ」とも述べました。皆さんが導入・運用されているERMは、これらの意義を果たせているといえるでしょうか? 上表を参考にしつつ、自社の活動を見直されてはいかがでしょうか?