企業は、今こそリスクマネジメント2.0の導入を!
掲載:2018年06月06日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
コラム
企業の存在を根底から揺るがす事件・事故の発生が止まりません。情報化社会になり、リスクマネジメントのあり方についてもいろいろなノウハウが溜まってきたはずの現代において、そうした事件・事故は減るどころかむしろ増えているようにすら見えます。企業の当事者が何もしてこなかったために事件・事故が多発しているのでしょうか?悪知恵を働かす経営者や従業員ばかりがいた組織だからそうなったのでしょうか?リスクマネジメントという言葉が登場してから久しいですが、実は組織がリスクマネジメントをしてこなかったのからそうなったのでしょうか?
そして、私たちは「自分たちは彼らとは違う」と自分たちに言い聞かせながら、ただなんとなく頑張っていれば同じ落とし穴にはまり込むことはない、と言えるのでしょうか。リスクマネジメントはそこにどのような貢献ができるのでしょうか。私たちはリスクマネジメントをどのように活用していくべきなのでしょうか。
様々な識者がその答えを探し、出版したり、各所で発表したりしていますが、本項でも、そうした答えを探していきたいと思います。
目次
多くの組織が実践する伝統的なリスクマネジメント
そもそも大企業、ましてや上場企業ともなれば、何かしらリスクマネジメントに類する活動を実践しているはずです。リスクマネジメントの体制やプロセスを整備することは上場要件の一つだからです。なお、これらは通常、全社的な取り組みであることから、全社的リスクマネジメント(ERM)と呼ばれます。
さて、では私達は具体的には、ERMをどのような活動としてイメージすればいいでしょうか。まずはその全体像から見ていきましょう。下図を御覧ください。図中で示される活動要素の集合体をERMと言うことができます。
もう少し詳しく解説します。
まず、企業年度の終わり、または初めに、ERMの事務局(例:経営企画部や総務部、内部統制室、リスクマネジメント室などが担うことが多いです)がリスク調査票と呼ぶものを各部門長に書面で配布します。ちなみにリスク調査票を部門長に配布するのは、部門長こそが現場目線と経営目線の両方を持てる立場であり、企業が気にすべきリスクを認識できる適切な力量を持っていると期待されているからです。部門長はリスク調査票へ回答することを通じて、ERM事務局にリスクやその大きさを報告します。ERM事務局は、部門長から得た回答を基にリスクマップ を作成します。このリスクマップとは、縦軸に影響度、横軸に発生可能性をとった2次元のグラフで、リスクの大きさをビジュアルで理解することを目的としたものです。次に、リスクマネジメント委員会が、このリスクマップを基に全社的に優先対応すべきリスク(以後、重点リスクと呼びます)とリスク対応責任者を決定します。最後にリスク対応責任者は、リスク対応計画を策定し、実行担当部門がその計画を実行・・・あとは、四半期に一度リスクマネジメント委員会にて進捗管理をし必要に応じて活動の修正を行う・・・そのような流れになります。
企業のERMは、リスク調査票の中身、リスクの大きさを測るモノサシ、リスク対応計画の作成方法や進捗確認の方法など、組織によって多少の差異はあるものの、ほぼ似たような進め方になっていると思っていいでしょう。本項では、この言わば、伝統的手法とも言える全社的リスクマネジメント(ERM)を「リスクマネジメント1.0」と呼ぶことにします。
リスクマネジメント1.0に対する不信、そして止まらない企業事故
多くの企業は、伝統的なERMすなわち、リスクマネジメント1.0を実践しています。同時に、多くの組織がその効果に満足していないようです。「ERMは一体なんの役に立つのか?」「社長仲間に聞いても、効果があったと言っている人に会ったことがない」と発言をされる社長の多いこと、多いこと。また、弊社が独自に行なった「リスクマネジメントの効果を実感している企業の特徴とそうでない企業の特徴との比較分析アンケート」を実施したところ、なんと全体の約80%が、望んだ効果を発揮していないという回答でした。
アンケート対象組織がたまたま悪かったのでしょうか。いや、そんなことはありません。それは昨今、耳目にする企業不祥事のニュースからも明らかではないでしょうか。彼らの多くはリスクマネジメントを実践していたはずですが、思ったほどの効果を挙げているとはとても言えないように感じます。
社名 | 発生年月 | 内容 |
---|---|---|
雪印 | 2000年6月 | 雪印集団食中毒&倒産事件 |
ノバルティスファーマ | 2010年11月 | 臨床データ改ざん |
さくら | 2011年12月 | クラウドサービスの3ヶ月超の長期障害 |
NRI | 2013年11月 | データセンター大停電100超のシステム停止 |
JR北海道 | 2013年11月 | 類似事故多発&検査データ改竄 |
ベネッセ | 2014年6月 | 委託先から大量の個人情報流出 |
マクドナルド | 2014年7月 | 委託先(中国工場)による著しい品質違反 |
東洋ゴム | 2015年3月 | 耐震ゴムの意図的なデータ改竄 |
東芝 | 2015年2月 | 全組織的な不正会計 |
VW | 2015年19月 | 燃費データ改竄時価4兆円喪失 |
旭化成 | 2015年10月 | マンション傾斜につながるデータ改竄 |
三菱自動車 | 2016年4月 | 25年以上にわたる自動車燃費データ改竄 |
DeNA | 2016年12月 | キュレーションサイトにて情報操作 |
日産自動車 | 2017年9月 | 無資格者による完成品検査 |
神戸製鉄所 | 2017年11月 | 製品の検査データ改ざん |
三菱マテリアル | 2017年3月 | 品質検査データの改ざん |
東レ | 2016年7月 | 品質検査データの改ざん |
ミクシィ | 2018年12月 | チケット2次流通サイトで詐欺行為 |
コインチェック | 2018年2月 | 仮想通貨のサイバー攻撃による大量盗難 |
スルガ銀行 | 2018年5月 | 融資審査書類の改ざん |
レオパレス21 | 2018年5月 | 数百棟に及ぶ建築基準法違反 |
こうした事例企業のすべてが事故を起こした当時、ERMを実践していたとは言えませんが、大企業である以上、全社的リスクマネジメント(ERM)やそれに類する活動を行っていたと考えても、あながち間違いではないでしょう。
そして、こう思うはずです。「ERMは役立たずなのか?」と。
企業事故が減らない真犯人はどこだ?
ERMのどこに課題があるのでしょうか。真犯人は誰でしょうか?
実は、先に図示した「ERMの構成要素」に、真犯人特定のヒントがあります。リスクを洗い出し、分析し、評価し、対応し、モニタリング・レビューをする・・・そのプロセスは立派なものです。が、一番重要な要素を考慮することが忘れ去られています。それはどんなに立派なプロセスも「それを動かすのは人である」という点です。
そうです。人・文化に対する視点が抜けているのです。換言すれば、魂の入っていない仏様のようなものです。
リスクマネジメントは、そもそも「暗い、面白くない、褒められない、すぐにやらなくてもすぐに困らない」といったマイナス四拍子の揃った活動です。人は前向きなこと、夢とか目標とか、その達成計画ですとか、そうした前向きな話に興奮を感じる動物です。その足を引っ張りかねないリスクに目を向けることは、気の重たいことではないでしょうか。しかも、売上を達成すれば表彰されるでしょうが、事故を未然に防いだからと言って表彰されることは滅多にないでしょう。加えてリスクマネジメントは「今日やらなくても、明日困らない」、言わば「重要性は高いが、緊急性は低い」タイプの活動です。現場に近いところで働く部門長にとって見れば、中長期的に考えるリスクよりも、明日・明後日の売上目標の達成に目が向きがちになるのも当然ではないでしょうか。
そのような環境下で、リスク調査票を送りつけられる部門長の立場に立って考えて見てください。「あ、なんか面倒な調査票が送られてきたな。適当に記入してさっさと送り返そう」そのように思ってもおかしくありません。魂の入らないリスクアセスメントになることも、そこから得られる成果も、推して知るべしです。
真に役立つリスクマネジメントに変えるには
では、魂の入った活動にするためにはどうしたらいいのでしょうか?すなわち、「人」の意識を変えるには、そのための組織文化の醸成は、どうしたらいいのでしょうか。次の5つのポイントに成功のヒントが隠されています。
- トップが火を噴け
~トップマネジメントが強力なリーダーシップを発揮しろ~ - リーダーに火をつけろ
~トップを支える2番手3番手4番手のフォロワーにも火をつけろ~ - 燃えやすいところに火をつけろ
~やる側とやらせる側を作るな。特定少数だけでやらず、関係者の多くを積極的に巻き込め~ - 自分たちで薪をくべろ
~自分たちの組織文化にあったやり方を、自分たちの頭で考えろ~ - 一度ついた火を絶やすな
~短距離走ではなく長距離走であることを前提とした長続きする工夫をしろ~
これらは、私達ニュートンがこれまでに何十社何百社と支援する中で「リスクマネジメントがうまく回っているな」と実感できた組織に見られた共通要素です。これら1つ1つを丁寧に解説しようとすると膨大な量になりますので、細かい解説は省きますが、上記ポイントの中で最も大切なことを挙げるとするならば「トップが火を噴け」です。前段でリスクマネジメントは「今日やらなくても、明日困らない」、言わば「重要性は高いが、緊急性は低い」タイプの活動であると述べましたが、これはつまり中長期的な視点を持った人でないと、その活動の重要性を認識しにくいものであることを意味しています。そして組織において中長期的な視点を持ってできる人、それはトップマネジメントに他なりません。すなわち、トップこそがリーダーシップを発揮して、リスクマネジメントを推進していかなければ動かないのは当然です。
こう述べると「いや、うちのトップはリスクマネジメントを軽視していないはずだ。『コンプライアンス第一!』ともよく言っている。それでも現場にやる気があるようには見えない」と反論する方もいるかもしれません。しかし、トップマネジメントの言動は号令倒れになっていないでしょうか。その強い想いを伝えるために、どんな努力をしているでしょうか?どれだけ自らの言葉で具体的に、直接、訴えかけているでしょうか。
ここで言いたいことは、成功要因を簡潔に5つにまとめまたものの、そのポイント1つとっても一筋縄ではいかない、ということです。ポイント1つ1つを確実に満たすために、頭がちぎれるほど知恵を絞り、長い時間をかけて実践していく必要があるのです。私自身、企業でERM構築の支援をする際、「その組織文化にあった実践方法はなにか?」を徹底的に考えます。「人」を意識し、トップマネジメントに覚悟を聞いたり、リスク調査票のような単なる書面だけのリスクアセスメントに留めず直接コミュニケーションが発生する手法を取り込んだりしてきました。
今こそ求められるリスクマネジメント2.0
まとめますと、企業はERMを実践していますが、そのほどんどは魂の入っていない形式的な活動に陥っています。それを私達はリスクマネジメント1.0と呼んでいます。単なる形式的な活動で、書面をやりとりするだけの活動になっているということであり、それを実践する人の精神面のケアが全くなされていないわけです。企業の屋台骨を揺るがす大事故の発生を防ぐためには、リスクマネジメントを魂の籠もった活動にするため、私達が提唱するリスクマネジメント2.0に昇華させる必要があると考えます。リスクマネジメント2.0とは、先の5つの要素を加味したリスクマネジメントの活動を言います。
もちろん、これさえできれば企業はすべての事件・事故から開放される・・・そうは言いませんが、組織のリスクマネジメントを担う部門の関係者は、自分たちの今のやり方がリスクマネジメント1.0の落とし穴にハマっていないのか、5つのポイントを本当に実践できているのか、改めて観察し、課題認識をし、対応を考えるべきでしょう。
おすすめ記事
- 網羅的にリスクを洗い出すには?
- COSO-ERM(2017)は何がそんなにスゴイのか?
- 中堅・中小企業にこそ有効な「強い会社を作るリスクマネジメント」第1回:リスクマネジメントは全ての経営者がすでに日々やっている
- 中堅・中小企業にこそ有効な「強い会社を作るリスクマネジメント」第2回:リスクマネジメントに上手に対応する組織に共通する鉄則とは
- 中堅・中小企業にこそ有効な「強い会社を作るリスクマネジメント」第3回: リスクマネジメントを支える企業風土の作り方
- 中堅・中小企業にこそ有効な「強い会社を作るリスクマネジメント」第4回: 組織を管理するルールと仕組みの導入とは
- 中堅・中小企業にこそ有効な「強い会社を作るリスクマネジメント」第5回: リスクアセスメント(特定、分析、評価)はこうやる
- 中堅・中小企業にこそ有効な「強い会社を作るリスクマネジメント」第6回: リスクマネジメントして広報する
- リスクマネジメント実務者が身につけておきたいスキルと資格
- 内部不正防止に関する中小企業の好事例、改善策などを提示、「内部不正防止対策・体制整備等に関する中小企業等の状況調査」報告書を公表 IPA