リスク管理Naviリスクマネジメントのワンストップ情報サイト

コラム

企業は、今こそリスクマネジメント2.0の導入を!

2018年06月06日

取締役副社長 兼 プリンシパルコンサルタント

勝俣 良介

取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介

企業の存在を根底から揺るがす事件・事故の発生が止まりません。情報化社会になり、リスクマネジメントのあり方についてもいろいろなノウハウが溜まってきたはずの現代において、そうした事件・事故は減るどころかむしろ増えているようにすら見えます。企業の当事者が何もしてこなかったために事件・事故が多発しているのでしょうか?悪知恵を働かす経営者や従業員ばかりがいた組織だからそうなったのでしょうか?リスクマネジメントという言葉が登場してから久しいですが、実は組織がリスクマネジメントをしてこなかったのからそうなったのでしょうか?

そして、私たちは「自分たちは彼らとは違う」と自分たちに言い聞かせながら、ただなんとなく頑張っていれば同じ落とし穴にはまり込むことはない、と言えるのでしょうか。リスクマネジメントはそこにどのような貢献ができるのでしょうか。私たちはリスクマネジメントをどのように活用していくべきなのでしょうか。

様々な識者がその答えを探し、出版したり、各所で発表したりしていますが、本項でも、そうした答えを探していきたいと思います。

多くの組織が実践する伝統的なリスクマネジメント

そもそも大企業、ましてや上場企業ともなれば、何かしらリスクマネジメントに類する活動を実践しているはずです。リスクマネジメントの体制やプロセスを整備することは上場要件の一つだからです。なお、これらは通常、全社的な取り組みであることから、全社的リスクマネジメント(ERM)と呼ばれます。

さて、では私達は具体的には、ERMをどのような活動としてイメージすればいいでしょうか。まずはその全体像から見ていきましょう。下図を御覧ください。図中で示される活動要素の集合体をERMと言うことができます。

2243_ext_05_1.jpg

【図:ERMの本来あるべき構成要素(ニュートン・リスクマネジメント・フレームワーク)と、昨今の多くの企業が実践するERM】

さらに具体的に、企業においては、こうした活動要素からなるERMをどのように実践しているのでしょうか。組織が実践する典型的なERMは「リスク特定のために関係者に調査票を配り回収・集計・分析し、リスクマップ を作り、重点リスクを選び、対応計画を立て、実行し、進捗管理・振り返りを行う」というものです。

 

2243_ext_05_2.jpg

【図:組織におけるERMの典型的なプロセス(例)】

 

もう少し詳しく解説します。

まず、企業年度の終わり、または初めに、ERMの事務局(例:経営企画部や総務部、内部統制室、リスクマネジメント室などが担うことが多いです)がリスク調査票と呼ぶものを各部門長に書面で配布します。ちなみにリスク調査票を部門長に配布するのは、部門長こそが現場目線と経営目線の両方を持てる立場であり、企業が気にすべきリスクを認識できる適切な力量を持っていると期待されているからです。部門長はリスク調査票へ回答することを通じて、ERM事務局にリスクやその大きさを報告します。ERM事務局は、部門長から得た回答を基にリスクマップ を作成します。このリスクマップとは、縦軸に影響度、横軸に発生可能性をとった2次元のグラフで、リスクの大きさをビジュアルで理解することを目的としたものです。次に、リスクマネジメント委員会が、このリスクマップを基に全社的に優先対応すべきリスク(以後、重点リスクと呼びます)とリスク対応責任者を決定します。最後にリスク対応責任者は、リスク対応計画を策定し、実行担当部門がその計画を実行・・・あとは、四半期に一度リスクマネジメント委員会にて進捗管理をし必要に応じて活動の修正を行う・・・そのような流れになります。

企業のERMは、リスク調査票の中身、リスクの大きさを測るモノサシ、リスク対応計画の作成方法や進捗確認の方法など、組織によって多少の差異はあるものの、ほぼ似たような進め方になっていると思っていいでしょう。本項では、この言わば、伝統的手法とも言える全社的リスクマネジメント(ERM)を「リスクマネジメント1.0」と呼ぶことにします。

リスクマネジメント1.0に対する不信、そして止まらない企業事故

多くの企業は、伝統的なERMすなわち、リスクマネジメント1.0を実践しています。同時に、多くの組織がその効果に満足していないようです。「ERMは一体なんの役に立つのか?」「社長仲間に聞いても、効果があったと言っている人に会ったことがない」と発言をされる社長の多いこと、多いこと。また、弊社が独自に行なった「リスクマネジメントの効果を実感している企業の特徴とそうでない企業の特徴との比較分析アンケート」を実施したところ、なんと全体の約80%が、望んだ効果を発揮していないという回答でした。

アンケート対象組織がたまたま悪かったのでしょうか。いや、そんなことはありません。それは昨今、耳目にする企業不祥事のニュースからも明らかではないでしょうか。彼らの多くはリスクマネジメントを実践していたはずですが、思ったほどの効果を挙げているとはとても言えないように感じます。
 

ここ数十年の目立った企業の事件・事故 ※筆者が過去のニュースから無作為に抽出し作成
社名 発生年月 内容
雪印 2000年6月 雪印集団食中毒&倒産事件
ノバルティスファーマ 2010年11月 臨床データ改ざん
さくら 2011年12月 クラウドサービスの3ヶ月超の長期障害
NRI 2013年11月 データセンター大停電100超のシステム停止
JR北海道 2013年11月 類似事故多発&検査データ改竄
ベネッセ 2014年6月 委託先から大量の個人情報流出
マクドナルド 2014年7月 委託先(中国工場)による著しい品質違反
東洋ゴム 2015年3月 耐震ゴムの意図的なデータ改竄
東芝 2015年2月 全組織的な不正会計
VW 2015年19月 燃費データ改竄時価4兆円喪失
旭化成 2015年10月 マンション傾斜につながるデータ改竄
三菱自動車 2016年4月 25年以上にわたる自動車燃費データ改竄
DeNA 2016年12月 キュレーションサイトにて情報操作
日産自動車 2017年9月 無資格者による完成品検査
神戸製鉄所 2017年11月 製品の検査データ改ざん
三菱マテリアル 2017年3月 品質検査データの改ざん
東レ 2016年7月 品質検査データの改ざん
ミクシィ 2018年12月 チケット2次流通サイトで詐欺行為
コインチェック 2018年2月 仮想通貨のサイバー攻撃による大量盗難
スルガ銀行 2018年5月 融資審査書類の改ざん
レオパレス21 2018年5月 数百棟に及ぶ建築基準法違反

 

こうした事例企業のすべてが事故を起こした当時、ERMを実践していたとは言えませんが、大企業である以上、全社的リスクマネジメント(ERM)やそれに類する活動を行っていたと考えても、あながち間違いではないでしょう。

そして、こう思うはずです。「ERMは役立たずなのか?」と。

企業事故が減らない真犯人はどこだ?

ERMのどこに課題があるのでしょうか。真犯人は誰でしょうか?

実は、先に図示した「ERMの構成要素」に、真犯人特定のヒントがあります。リスクを洗い出し、分析し、評価し、対応し、モニタリング・レビューをする・・・そのプロセスは立派なものです。が、一番重要な要素を考慮することが忘れ去られています。それはどんなに立派なプロセスも「それを動かすのは人である」という点です。

そうです。人・文化に対する視点が抜けているのです。換言すれば、魂の入っていない仏様のようなものです。
 

2243_ext_05_5.jpg

【図:あるべきERMの全体像に見る、伝統的なERMの実態】

 

リスクマネジメントは、そもそも「暗い、面白くない、褒められない、すぐにやらなくてもすぐに困らない」といったマイナス四拍子の揃った活動です。人は前向きなこと、夢とか目標とか、その達成計画ですとか、そうした前向きな話に興奮を感じる動物です。その足を引っ張りかねないリスクに目を向けることは、気の重たいことではないでしょうか。しかも、売上を達成すれば表彰されるでしょうが、事故を未然に防いだからと言って表彰されることは滅多にないでしょう。加えてリスクマネジメントは「今日やらなくても、明日困らない」、言わば「重要性は高いが、緊急性は低い」タイプの活動です。現場に近いところで働く部門長にとって見れば、中長期的に考えるリスクよりも、明日・明後日の売上目標の達成に目が向きがちになるのも当然ではないでしょうか。

そのような環境下で、リスク調査票を送りつけられる部門長の立場に立って考えて見てください。「あ、なんか面倒な調査票が送られてきたな。適当に記入してさっさと送り返そう」そのように思ってもおかしくありません。魂の入らないリスクアセスメントになることも、そこから得られる成果も、推して知るべしです。

真に役立つリスクマネジメントに変えるには

では、魂の入った活動にするためにはどうしたらいいのでしょうか?すなわち、「人」の意識を変えるには、そのための組織文化の醸成は、どうしたらいいのでしょうか。次の5つのポイントに成功のヒントが隠されています。

 

  • トップが火を噴け
    ~トップマネジメントが強力なリーダーシップを発揮しろ~
  • リーダーに火をつけろ
    ~トップを支える2番手3番手4番手のフォロワーにも火をつけろ~
  • 燃えやすいところに火をつけろ
    ~やる側とやらせる側を作るな。特定少数だけでやらず、関係者の多くを積極的に巻き込め~
  • 自分たちで薪をくべろ
    ~自分たちの組織文化にあったやり方を、自分たちの頭で考えろ~
  • 一度ついた火を絶やすな
    ~短距離走ではなく長距離走であることを前提とした長続きする工夫をしろ~

 

これらは、私達ニュートンがこれまでに何十社何百社と支援する中で「リスクマネジメントがうまく回っているな」と実感できた組織に見られた共通要素です。これら1つ1つを丁寧に解説しようとすると膨大な量になりますので、細かい解説は省きますが、上記ポイントの中で最も大切なことを挙げるとするならば「トップが火を噴け」です。前段でリスクマネジメントは「今日やらなくても、明日困らない」、言わば「重要性は高いが、緊急性は低い」タイプの活動であると述べましたが、これはつまり中長期的な視点を持った人でないと、その活動の重要性を認識しにくいものであることを意味しています。そして組織において中長期的な視点を持ってできる人、それはトップマネジメントに他なりません。すなわち、トップこそがリーダーシップを発揮して、リスクマネジメントを推進していかなければ動かないのは当然です。

こう述べると「いや、うちのトップはリスクマネジメントを軽視していないはずだ。『コンプライアンス第一!』ともよく言っている。それでも現場にやる気があるようには見えない」と反論する方もいるかもしれません。しかし、トップマネジメントの言動は号令倒れになっていないでしょうか。その強い想いを伝えるために、どんな努力をしているでしょうか?どれだけ自らの言葉で具体的に、直接、訴えかけているでしょうか。

ここで言いたいことは、成功要因を簡潔に5つにまとめまたものの、そのポイント1つとっても一筋縄ではいかない、ということです。ポイント1つ1つを確実に満たすために、頭がちぎれるほど知恵を絞り、長い時間をかけて実践していく必要があるのです。私自身、企業でERM構築の支援をする際、「その組織文化にあった実践方法はなにか?」を徹底的に考えます。「人」を意識し、トップマネジメントに覚悟を聞いたり、リスク調査票のような単なる書面だけのリスクアセスメントに留めず直接コミュニケーションが発生する手法を取り込んだりしてきました。

今こそ求められるリスクマネジメント2.0

まとめますと、企業はERMを実践していますが、そのほどんどは魂の入っていない形式的な活動に陥っています。それを私達はリスクマネジメント1.0と呼んでいます。単なる形式的な活動で、書面をやりとりするだけの活動になっているということであり、それを実践する人の精神面のケアが全くなされていないわけです。企業の屋台骨を揺るがす大事故の発生を防ぐためには、リスクマネジメントを魂の籠もった活動にするため、私達が提唱するリスクマネジメント2.0に昇華させる必要があると考えます。リスクマネジメント2.0とは、先の5つの要素を加味したリスクマネジメントの活動を言います。
 

2243_ext_05_7.jpg

 

もちろん、これさえできれば企業はすべての事件・事故から開放される・・・そうは言いませんが、組織のリスクマネジメントを担う部門の関係者は、自分たちの今のやり方がリスクマネジメント1.0の落とし穴にハマっていないのか、5つのポイントを本当に実践できているのか、改めて観察し、課題認識をし、対応を考えるべきでしょう。

 

※COSO-ERM(2017)徹底解説 小冊子を公開しました!
ダウンロードは
コチラから。
当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる