「Newton Risk and Cyber Security Forum」セミナーレポート -前編-
掲載:2024年10月23日
コラム

ニュートン・コンサルティング株式会社は10月9日、日比谷国際ビルコンファレンススクエアにて「Newton Risk and Cyber Security Forum 先進事例からみるリスクマネジメントの効果と真髄」を開催いたしました。
本レポートでは、講演されたERM/BCP/IT-BCP/サイバーセキュリティにおける成功事例と、当社が提供する“分野横断的”なリスクマネジメント手法の一部を前編・後編に分けてご紹介します。
講演内容
- 【前編】
- 【後編】
会社紹介
各界を代表する強くて元気な企業がこぞってニュートンを選択する理由
登壇者:代表取締役社長 副島 一也
はじめに、代表取締役社長の副島 一也(以下、副島)より挨拶と会社紹介がありました。
副島「ニュートン・コンサルティングは、リスクマネジメントを専門にコンサルティングを手掛ける会社です。2006年11月に、英国Newton ITの日本法人として逆進出する形で立ち上げました。大きな三本柱として、BCP・ERM・サイバー(ITガバナンス全般)におけるソリューションを提供していて、ビジョンに掲げる『【あの時もっとこうしておけば良かった】を世界から失くしたい』という思いを胸に日々活動しています」
当社はお客さまに付加価値の高いサービスを提供できるよう、社員の教育体制や働き方の改善も進めてきました。そして、理想の協働を実現するための枠組みとして現在、「NST(ニュートン・サクセス・トライアングル)」を推進しています。
副島「NSTは、理想とするニュートン・社員・お客さまは何か?を言語化したもの。リスクマネジメントは、トップが指揮し現場が一緒に活動することで、うまく動くようになる。だからこそ、どのようにお客さまとご一緒するかを大事にしています」

副島「また、当社では機能するリスクマネジメントの推進のために、NERMFと呼ぶ、『ニュートンERMフレームワーク』を提唱しています。リスクマネジメントは、ただルールだけを重ねても機能しません。対症療法的にやっていくのではなく、リスクアセスメントの仕組みを整えること、大変なことが起きにくい組織風土を作り、何かが起きても対処できる能力を高めることが重要です。そんな全体的な対応力を高めるリスクマネジメントを推進していきたい。そして、こうした思いに共感してくださったお客さまがニュートンを選んでくれているのかなと思います」
講演①ERM
圧倒的当事者意識を持ったERMにするには
-本気で成長を目指す企業のリスクマネジメントは何が違うのか?-
登壇者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
勝俣「ERMで重要なのは『本当に達成したいことは何なのか、そして、それに対して絶対に避けたい最悪の事態は何か』ということ。リスクマネジメントはあくまでそれを達成するための手段であって、達成したい思いが真っ先に来なくてはいけません」
事例の一つとして、リスクマネジメントがうまく回っている企業にはどのような特徴があるのか、今夏に実施した調査結果を提示しました。
勝俣「リスクマネジメントがうまくいっていると答えた企業では、『トップがERMに対して毎年自らの考えや方針を示している』、『トップの経営目標達成意識が高い』など、『トップのコミットメント』に関わる特徴が多く見られています」
実際に支援をしている企業でもこれと似たような特徴があり、成長企業ではリスクマネジメントを何のための手段として使いたいのかがはっきりしているといいます。

勝俣「これまでトップインタビューをしてきた中で興味深かったのは、『企業価値向上のためにクレイジーなリスクテイクができるようERMを整備したい』と答えてくださったこと。ただ、実際にこの企業の実態を見ると、思い描く“クレイジーなリスク”は幹部によってバラバラ。なので、ここではリスクテイクとは何か、リスクの最低ラインはどこか、などを密に議論しました」
しかし、多くの企業では、手段であるはずのリスクマネジメントが目的化してしまっているのが現状。続いてその原因を説明しました。
勝俣「一つ目の原因は、ERMの構造や、法規制、サステナビリティといった考え方の整理がうまくできていないこと。もう一つは、リスクマネジメントの方針書が形式的になっていること。先ほども申し上げたように、成長企業ではリスクマネジメントを何のために使うのかが明確です。これは本来方針書で示されるべきものですが、実際は現場社員にまで普及していないことが多々あります」
さらに、ほかに考えられる原因として「リスクマネジメントの方針書に、企業の“本能を奪う”要素が詰め込まれていること」、「リスクマネジメントを行える力量が備わっていない」ことがあるとしました。
勝俣「本来リスクアセスメントをする際は、『達成したい目標があって、そこに対して何がリスクであるか』という主観的なことを決めた後に、客観性や網羅性を取り入れるのが大事。しかし、現状のリスクアセスメントはそういう主観を奪ってしまうことが多い。あるいは、リスク感度の低さも考えられます。リスクマネジメントは自分の仕事ではない、と思ってしまうことで失敗に至る事例もたくさんありました」
そこで、当社ではリスクアセスメントを身近に感じてもらうための教育プログラムや、リスクマネジメントの仕組みづくりをお手伝いする支援も提供しています。
勝俣「ニュートン・コンサルティングでは、こうした課題に対して、表層的な支援ではなく、リスクマネジメントがうまく機能しない原因を特定し、企業が自立歩行できる本質的な支援を行っています。大事にしているのは、息を吸うようなリスクマネジメントです」
最後に、リスクマネジメントをうまく機能させるためのもう一つの課題として、「未然防止とレジリエンスのバランス」を挙げ、BCPのセッションへとつなげました。
勝俣「どれだけ事前にリスクを認識していても、想定外の事態は起きるもの。万が一に対する備えがあるからこそ、安心してフルスピードで走ることができるからです。これはERMのカバー範疇でもありますが、BCPという一つの大きなトピックになります」
講演②BCP
ERMとBCPの連動性が組織のレジリエンスを決める
-永続的な活動を見据えたBCP再構築のポイント-
登壇者:エグゼクティブコンサルタント 坂口 貴紀
坂口「BCPの再構築は、昨今どの企業においてもテーマになっています。特定の事象ではなく、オールハザードに対応しなければならない中で、自律性と統制のバランスをどう取っていくかがBCPのポイントです」

さらに、BCP再構築において各社が共通して抱える課題を分析しました。
坂口「BCP再構築の課題は、❶トップの関与・意思・メッセージが足りていない、❷現場は危機対応について本格的に考えるための時間を割けていない、❸事務局が実務をやりすぎている、❹過去のノウハウや知見・経験がまとめられていない、❺自社の特徴を捉えたBCPの考え方をすり合わせることができていない、❻環境変化に合わせてアップデートする仕組みが不足している、の6つ。これに対して、①トップが意思表明し伝達する、②経営陣が妥協せずに意見を一致させる、③事務局が本当にやるべきことに注力する、④現場を知る人が自分事として捉える、⑤“変化に適応する”ための土台を作っておく、という5つのアプローチを提唱しています」
ここで、ERMとの関連性として、「“変化に適応する”ための土台を作っておく」アプローチについて触れました。
坂口「ニュートンERMフレームワークでは組織文化を重要視していますが、ここがまさにBCPと絡む部分。トップの意思表明がなかったり、経営陣の間で意見が一致していないと、現場は指針がないまま仕組みや対策検討を行うこととなり、目標と乖離した活動や過剰な統制整備が進み、環境変化に対応できなくなってしまう。トップが現場を巻き込み、現場も最悪の事態を想定することで、全社レベルでのリスク感度向上にもつながる。このようにERMとBCPの連動性を高めることが、企業全体のレジリエンスを高めることにつながると考えています」
当社では、こうした“当事者主体”の活動を促進する手法を整理し、「ニュートン流5ステップBCP」に沿ったソリューションを提供しています。
坂口「これは、端的にいえば『何度もBCPを考えましょう』ということです。BCPは、回数を重ねて考える中でだんだんと理解されるもの。実際の支援では、トップの考えの変化なども取り入れ、その中で必ず守るべき事項などをあわせてBCPを整理していきます」
まとめとしてBCPの目的を再確認し、IT-BCPのセッションへのつなぎとしました。
坂口「BCPのゴールは、有事の際に当事者が迅速に行動できる状態を維持すること。これを実現するには、当事者=意思決定者と実務者双方が自律性を追求しながら、将来の課題に向き合うことが大切です。そして、BCPの中でもIT-BCPは個別に対応すべき分野。次の講演で詳しく解説します」
※レポートは後半に続きます。