リスク管理Naviリスクマネジメントの情報サイト

コラム

“組織の活力・対応力を向上させるリスクマネジメント”の実現方法

2019年11月18日

取締役副社長 兼 プリンシパルコンサルタント

勝俣 良介

取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介

計算機、パソコン、インターネット、スマートフォン、クラウドソーシング、VR、AR、AIといったように、様々な技術発展に伴い、企業の“できること”が増えています。一方で、大企業の不祥事や事故を横目に、コンプライアンス、コーポレート・ガバナンス、CSR、JSOX、内部統制、ESG、全社的リスクマネジメント(ERM)など、企業に“求められること”も増えています。企業の本音は「本業だけに注力したい」ところでしょうが、こうした環境変化をないがしろにすると、足元で大事故や不祥事が起き、企業存続が危ぶまれかねません。大企業の事故・不祥事の事例に事欠かないのは改めて説明するまでもないでしょう。

とはいえ、ステークホルダーに求められるがまま、盲目的に仕組み導入を進めていけば組織の活動は複雑になるばかりです。複雑になればどうしても形式的な取り組みが増えます。会議が増え、パソコンと格闘する時間が増えます。無駄が増えて組織の活力は失われていく一方です。さしずめ「重い鎧を身にまとって戦う状態」であり、大怪我はしないでしょうが、まともに戦えない。大事故や不祥事を起こさないまでも、企業成長も望めない状態。そうなってはまさに本末転倒です。

実際に、全社的リスクマネジメント(ERM)の仕組み導入を行った多くの組織が、次のような課題に直面しています。

  • リスクマネジメントに対して関係者の間にやらされ感が蔓延している
  • リスクマネジメントの効果が感じられない/効果の割に負荷が高いと感じる
    ・リスクマネジメント活動が経営と連動している実感がわかない
    ・2年目以降、新たなリスク情報がなかなか上がってこない
    ・重大事故が起きている
    ・重たいリスクがいつまでも解決されずに残っている
  •  リスクマネジメントの事務局として何をすればいいか迷走している

こうした課題は、全社的リスクマネジメント(ERM)のツールが先行した、いわゆるパッケージに業務を合わせる形で仕組み導入を進めた組織に見られる傾向です。「慎重を期したいが、関係者に理解を求め、1つ1つ丁寧に説明するのは非現実的。とにかくツールを導入して運用が“こなれてきて”から改善すればいい」――そんな思いから勇み足で導入してしまったのでしょう。結果、リスクマネジメント活動全体が形骸化します。形式的な業務が増えると、無駄な作業が増え本質的な業務の品質も下がります。不満や不信感も募ります。リスクマネジメントが企業不祥事や事故を防ぐどころか、かえって助長しかねないのです。だからこそ、目先の「ERMの仕組み導入」ではなく、その先の「組織の活力・対応力を向上させる全社的リスクマネジメント(ERM)」に主眼においた取り組みが重要になります。

「組織の活力・対応力を向上させる全社的リスクマネジメント(ERM)」とは

当社はリスクマネジメントコンサルティングのプロフェッショナルとして多くのお客様のERM構築のご支援をさせて頂いておりますが、その際に提唱しているのが、「組織の活力・対応力を向上させる全社的リスクマネジメント(ERM)」の導入です。

 組織の活力とは具体的には「嘘をつかない、コミュニケーションが活発、高速にPDCAがまわる、形式的な活動が少ない」組織をいいます。これらは昨今、メディアにとりあげられるような不祥事や大事故を起こした企業に大きく欠けている要素ともいえます。また、企業規模が大きくなると会議が増え、決裁プロセスが長くなり、意思決定が遅くなる――いわゆる“大企業病”などと揶揄されるこれらは、組織の活力とは対極に位置するものといえるのではないでしょうか。

また、「対応力」とは不測の事態が起こっても臨機応変に対応できる能力をいいます。企業は「不測の事態」が嫌いですから、将来を予測し、組織に降りかかるかもしれないこと(リスク)を認識し、あらかじめ必要な手当をしておけるようにリスクマネジメントを推進するわけですが、どんなに備えても世の中に完璧はありません。どんなに理想的な活動をしていても、不測の事態は起こります。リスクマネジメントの取り組みは当然として、そのさらに先の「組織の活力・対応力を向上させる全社的リスクマネジメント(ERM)」を目的にした取り組みが必要なのです。

【図:ニュートンが掲げる全社的リスクマネジメント(ERM)の目的】

“組織の活力・対応力を向上させる全社的リスクマネジメント(ERM)”の実現方法

では、そんな「組織の活力・対応力を向上させる全社的リスクマネジメント(ERM)」はどうすれば生み出せるでしょうか。組織の活力・対応力向上には次の3つがポイントになります。
 
  • 仕組み全体を俯瞰的・体系的に整理できる適切な柱(ERMフレームワーク)を持つ
  • データベース(ERMデータベース)を充実化させこれを活用する
  • ERM取り組みポリシーを掲げ、最適なツール選択を行う
仕組み全体を俯瞰的・体系的に整理できる適切な柱(ERMフレームワーク)を持つ

組織全体を俯瞰的に見つつ、必要な基本要素を抑え、仕組みの体系的整理を行うためには、やはり適切なフレームワークが必要です。フレームワークといいますと、知名度あるガイドライン「COSO-ERM」や「ISO31000」などが挙げられ、これらを活用するのも1つの手段です。

ただし、いずれをも理解・活用するにはそれなりの力量や時間を要するため、本稿では当社が自社内およびお客様へのご支援の際に活用している独自のフレームワークをご紹介します。下図は、ERMに必要な全ての要素とそのつながりを1枚の図で表現したものです。これをここでは「ニュートン・ERM・フレームワーク」と呼びます。

このフレームワークは、リスクの洗い出しから分析・評価・対応といった一般的なリスクマネジメント(リスク管理)プロセスはもちろんのこと、そもそも自社のリスクとは何で、どのような組織単位で、どのような手段で、どのようなアウトプットを目指してリスクマネジメントを行うのかなどを定めるERMの土台ともいうべき全社の共通土台(枠組み)、その礎となる(組織)文化から構成されています。

なお、「文化」とは言い換えれば「人の意識」を指します。この「文化」が底辺にあるのは、どんなに立派な仕組みが入っていても、それを運用するのが人である以上、そこに「人の意識」が伴わないと機能しないからです。例えば、あなたの会社が「リスクを発見しても、わざわざ会社には言いたくないなぁ」とか、「嘘をいって上司を困らせてやろう」という組織文化を持っていたらどうでしょうか。「リスクをみんなで洗い出そう!」と号令をかけても機能しないのは火を見るよりも明らかです。

【図:「ニュートン・ERM・フレームワーク」】

さて、このようなフレームワークがあると何が便利なのでしょうか。このフレームワークを使うことで、仕組み構築・改善の際の理路整然とした建てつけの設計、必要な要素の抜け漏れ防止、組織としての課題の所在や力を入れるべき点の可視化ができます。例えば下図は、ERMの要素を機能別に7ブロックにわけて表したものですが、ブロックそれぞれがどれくらいのパフォーマンスを発揮しているかを見ることで課題特定・仕組み改善を図ることができます。

【図:7ブロックに仕分けした「ニュートン・EMR・フレームワーク」】

  • リーダーズコミットメント力+ガバナンス
    トップの想いの正しい言語化、重要な会議や情報発信機会でのプレゼンス、そこに望む姿勢などを指します。リスクマネジメントに関する取締役の責任の明確化も含みます。
  • リスクコミュニケーション力
    どれだけ適切な人を多く巻き込み、本気のディスカッションができる機会を設けられているかを指します
  • 検証・訓練力
    特定されたリスクに対して対策が役に立っているか・いないかをどれだけ実践的かつ頻度多く検証できているかを指します
  • インシデント管理力
    事故が起きたときの対応やそこからの再発防止力を指します
  • 可視化力
    リスクマネジメント活動や現状の立ち位置・課題をどれだけ関係者にわかりやすく可視化できているかを指します
  • 盛り上げ
    どれだけ活動を魅力的にし、盛り上がる工夫を行っているかを指します

【「ニュートン・ERM・フレームワーク」誕生の背景】

「ニュートン・ERM・フレームワーク」の開発は、世の中の国際的な知見と当社が培ってきたノウハウをベースにしています。なお、世の中の国際的な知見とは、ISO31000やCOSO-ERMなどをベースにした考えを指します。これらは組織におけるリスクマネジメントのあり方に関してフレームワークや留意点についてガイドしたものです。また、当社が培ってきたノウハウとは、これまで2000社近いお客様に対して支援した実績から得られたものをいいます。

【図:ニュートン・コンサルティング社のERMのベース】
データベース(ERMデータベース)を充実化させこれを活用する

活動の効率性や有効性を上げるためには、リスクやリスク対策のデータベースを築くことが必要です。豊富なデータベースがあれば「もしかしたらリスク洗い出し漏れがあるのではないか」と言った不安や、「このリスクに有効な対策ってなんだろう」といった悩み解消にヒントを提示してくれます。こうしたデータベースを自社で持てれば理想的ですが、それにはデータを蓄積していくことが必要で、膨大な年月が必要になります。その部分については外部専門組織に委ねることも1つの手です。

例えば当社にはこれまでの支援経験を基にしたリスクやリスク対策に関するデータベースがあります。こうしたデータベースに基づいて、リスク洗い出しの網羅性についてある程度の担保や、現在お客様が採用しているリスク対策の妥当性について有益な情報提供を行うことができます。同時に、「ニュートン・ERM・データベース」には「リスクマネジメントが有効に機能していると感じている組織」の特徴と「リスクマネジメントが有効に機能していないと感じている組織」の特徴に関するデータもインプットされています。

これらを活用することで、お客様の現状の活動状況の評価などに役立てることもできます。

【図:ニュートンリスクDBの一部】

【参考:「リスクマネジメントが有効に機能していると感じている」と感じる組織の特徴】
ニュートン・コンサルティングでは過去に「リスクマネジメントが有効に機能していると感じている組織」と「リスクマネジメントが有効に機能していないと感じている組織」の違いについて調査したことがあります。その一部を紹介します。もちろん、これらデータは「ニュートン・ERM・データベース」
にも取り込んでいます。
 
《リスクマネジメントが有効に機能していると感じている組織に共通する5大要素》
  1. トップが火を噴いている
  2. キーパーソンに火をつけている
  3. 燃えやすいところに火をつけている
  4. 自分たちで木をくべている
  5. 燃やした火を絶やさないようにしている
 
トップが火を噴いているとは、組織の長がリスクマネジメントに関してリーダーシップを発揮しているという意味です。また、キーパーソンに火をつけているとは、組織のエース級の人材をリスクマネジメント活動に投入しているかどうかを指しています。燃えやすいところに火をつけているとは、リスクマネジメント活動を事務局だけでやらず、リスクの当事者になりうる組織、すなわち現場を巻き込んでいるかどうかです。さらに自分たちで木をくべているとは、自分たちの組織文化・特徴に合わせた仕組みづくりをしていることを意味します。最後に燃やした火を絶やさないようにしているとは、盛り上げる仕組みなどを導入し形骸化させないようにしているという意味です。
 
ERM取り組みポリシーを掲げ、最適なツール選択を行う

パッケージに自分たちの業務を合わせるのは危険であるという話をしましたが、「ツールを使うことが悪である」といっているわけではありません。自分たちの課題ややりたいことに上手く適合するツールを見つけ出し活用できるのであればそれに越したことはありません。会社全体のリスクマネジメント方針の明文化、リスクを洗い出しやすくするツールやアセスメントツール、リスク対応計画を策定・管理しやすくするツールなどがあれば、それを有効活用することで、組織の活力・対応力向上に一役買ってくれるでしょう。

このとき、ご留意いただきたいのは、「できるだけ社内コミュニケーションが活性化されるツールを選定すると念頭におくこと」です。なぜなら、リスクは組織のコミュニケーションが滞っているところに潜みやすいからです。よく「我社は縦割り組織なんだよなぁ」などといった声を聞きますが、リスクは人間が作った組織に都合よく当てはまる形で現れてはくれません。複数の組織にまたがった形でリスクが現れることは日常茶飯事です。

それゆえ、例えば部門員が複数名集まってリスクの議論をしながらリスクアセスメントを行えるようなツール、部門横断で議論ができる接点を設けるツールであるなど、社内コミュニケーションが活性化されるツール選定を心掛けましょう。

【図: ニュートンが取り揃える数十からのリスクアセスメント用ツールの一例】


ERMをツール先行の取り組みにさせないための工夫がもう1つあります。それはERM導入初期段階に意識すべき取り組みポリシーを定め、関係者と合意しておくことです。

ここでポリシーとは、「こうした仕組み導入にあたってどんなことを大事にしたいのか」などといったことをいいます。例えば、「分厚い文書よりも活動を大事にしたい」、「スモールスタートでPDCAをまわしながら徐々に理想的な活動にしていきたい」など――アプローチのスタンスを明確にするものです。

当たり前のように見えますが、このようにスタンスを明確にしておくと、活動にブレが生じたり、形式化するのを防げます。こうしたスタンスを明確にするための有効手段の1つがトップインタビューです。リスクをどこまでとるのか・とりたいのか――これは社長の一存ですから、ERMのスタンスについてもトップマネジメントの意向を直接確認することが何よりも大事だといえるでしょう。

この点に関して当社はお客様を支援する立場ですが、当社も支援する際に必ず取り組みポリシーを明確にしています。参考までに当社がお客様のERM導入をお手伝いする際に掲げている取り組みポリシーを次に紹介します。
 

【ニュートンのERMコンサルティングにおける支援ポリシー】

上記内容は、当社がお客様のコンサルティングを行ったときだけお客様の症状が回復すれば良いという対症療法ではなく、コンサルティング後も自走しPDCAが回り毎年、洗練されて経営に役立つ活動になるように――いわば、根本からの体質改善につながるようなERMコンサルティングの支援ポリシーです。より具体的にはこうした支援ポリシーに基づき、次のような取り組みを提唱しています。

「ツールありき・仕組みありき」とならないようにするため、みなさんもERM構築・運用の際にはぜひこの辺りを考えてみてください。

最後に

企業がこれからの荒波を乗り越えていくためには、組織の活力・対応力を向上させる全社リスクマネジメント(ERM)を備えることが必要不可欠です。全社的リスクマネジメント(ERM)の運用の成否が、これからの企業の鍵を握るといっても過言ではないでしょう。なぜならば、冒頭でも申し上げましたように、ERMへの取り組みを怠れば法的要件を満たせなくなっていき、事故も起きます。かといって、うまく導入・運用できなければ無駄が増え、企業の競争力を落とします。言い換えれば、リスクマネジメントの在り方・取り組み方でこれからの企業競争力に差がつくといえるでしょう。

その差をつける側に立つためにも、ぜひ、これまでに述べてきたポイントを押さえることを意識していただければと思います。

  • 仕組み全体を俯瞰的・体系的に整理できる適切な柱(ERMフレームワーク)を持つ
  • データベース(ERMデータベース)を充実化させこれを活用する
  • ERM取り組みポリシーを掲げ、最適なツール選択を行う

最初の取り組みがいい加減になってしまうと事業部門など組織の信頼を失い、徐々に組織横断の活動がやりづらくなるからです。コンサルティング会社を活用する場合にも、上記ポイントを押さえられるかどうか――で判断されることをおすすめいたします。本気で生きたリスクマネジメントにできるのか――それができる・できないは、この記事を目にしたあなた次第です。ニュートン・コンサルティングはいつでもご相談に応じます。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる