経営者に求められるリスクマネジメントの心構えと責任 ~経営者の皆様へ~
掲載:2020年03月11日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
コラム
リスクマネジメントについて、実務担当者向けの記事は数多く見られますが、経営者向けの記事は意外に少ないと感じます。しかしながら、「昨今の企業不祥事や大事故の鍵を握るのは経営者」と言っても過言ではありません。
なお、ここで経営者とは代表取締役はもちろんのこと、経営に携わる経営管理者(部門長や取締役)も含みます。事実、私たちコンサルタントもこれまでに数多くのお客様を見てきましたが、リスクマネジメントをうまく推進できている企業とそうでない企業の特徴に大きな違いが見られます。それも、突き詰めると経営者のあり方に行きつきます。
そこで本稿では、経営者の立場になろうと思っている方々、その立場になられたばかりの方々、または長年経営者の立場で業務をこなしてきたもののリスクマネジメントとしての知識習得がまだ追いついてないと感じていらっしゃる方々に向けて、昨今の経営者の課題と解決策をご提案させていただければと存じます。
そもそもリスクマネジメントとは
はじめに、リスクマネジメントについて少し整理をしておきます。リスクマネジメントとは、わかりやすく喩えるなら「大やけどをする前に、大やけどの痛みを想像して、そうならないよう前もって備えておくこと。そして、常にそういった備えができるようにするための活動」です。ここで「大やけど」とは、企業に損失をもたらすような事態のことです。具体的には例えば、顧客信用を失墜するような膨大な個人データの漏洩や、地震による基幹工場の損壊、サイバー攻撃などによるシステム障害、社員の不適切な発言・ふるまいによる自社製品に対する消費者の不買運動、会社が傾くほどの製品リコールなどを挙げることができます。
こうした「大やけど」に対する備え、つまり、リスクマネジメントを上手に行うことができた企業もあります。例えば、東京ディズニーランドやディズニーシーを運営する株式会社オリエンタルランドでは、将来の巨大地震を見越して多額の投資を行い、アトラクション施設の補強工事を行っていた※といいます。年百回を超える訓練を重ね、人命を守るためのスタッフスキルを磨いていました。財務インパクトを軽減するためにリスクファイナンス(特別な保険を組むこと)も行っていました。そして迎えた2011年の東日本大震災、スタッフの数々の自発的な対応により顧客から賞賛を浴びたことは周知のとおりです。またハード面・ソフト面の事前対策が功を奏して財務的損失も最小限に抑えられたといいます。もし、リスクマネジメントを行っていなかったら、次のような最悪のシナリオもあったかもしれません。
彼らがこうした最悪のシナリオと正反対の状態に持ってこられたのは、最悪の事態を事前に想像して必要な投資をしておいたからです。これがリスクマネジメントです。
では、そのようなリスクマネジメントを実現するために企業では実際にどのような取り組みをしているのでしょうか。最も典型的な活動は、いわゆる“ボトムアップ型のアプローチ”です。ボトムアップ型のアプローチとは、現場に近い関係者にリスクを出してもらい、その中から経営者が全社的に積極管理すべき重大リスクを決定し、対応を行うアプローチのことです。具体的には、まず部長や課長クラスにリスク調査票を配り、そこにリスクを書き出してもらいます。その意見を全社の事務局(例:リスクマネジメント室や内部統制室など)が集約・分析し、全社的に積極管理すべき重大リスク候補を選定・上申します。そして、経営者がその候補の中から重大リスクを決定します。一連の流れを書き出すと次のとおりになります。
【全社リスクマネジメント(ERM)におけるボトムアップ型アプローチの典型的例】
- 全社のリスクマネジメント事務局が、各部課長にリスク調査票を投げる
- リスク調査票を集計・分析し、全社のリスクマップを作る
- リスクマネジメント委員会に諮る
- 経営者が重大リスクとその重大リスクオーナー・主管部署を決定する
- 重大リスクオーナーの方針に基づき主管部署が重大リスクの対応計画を策定する
- 重大リスク対応計画を実行する
- 全社のリスクマネジメント事務局が進捗確認をし、経過をリスクマネジメント委員会で報告する
リスクマネジメントの失敗事例とその主な原因とは
しかし、世の中を見渡すと、「大やけど」をしている企業がいたるところにあります。では彼らはリスクマネジメントをやっていなかったのでしょうか。いや、曲がりなりにも大会社ですから、程度の差こそあれ何らかのリスクマネジメントをやっていたことに間違いはありません。実際に、そうした企業の関係者に話をお聞きしたことがありますが「むしろ、リスクアセスメントなど分析を細かくやっていた」とおっしゃっていました。では、なぜ事故や不祥事が起きたのでしょうか。
結論から言えば、その最たる理由は「リスクマネジメントに対する経営者のコミットメント不足」です。わかりやすく言うと、「売上や利益を追求する活動とリスクマネジメント活動のどちらをどれだけ優先するべきか、会社の何を守るためにどこまでの利益を犠牲にする覚悟があるのかを、経営者が明確かつ具体的に伝えていなかったせい」という意味です。
企業名 | 発生月 | 概要 |
---|---|---|
ベネッセコーポレーション | 2014.6 | 委託先から大量の個人情報流出 |
日本マクドナルド | 2014.7 | 委託先(中国工場)による著しい品質違反 |
旭化成 | 2015.1 | マンション傾斜につながるデータ改ざん |
電通 | 2016.9 | 広告費の過剰請求、過重労働問題 |
ディー・エヌ・エー | 2017.3 | キュレーションサイトで著作権侵害、誤情報発信 |
日産自動車 | 2017.9 | 完成車の無資格検査 |
コインチェック | 2018.1 | 不正アクセスによる仮想通貨流出 |
スルガ銀行 | 2018.4 | シェアハウスに不正融資 |
ヤマトホームコンビニエンス | 2018.8 | 引越サービスの過大請求 |
セブン・ペイ | 2019.7 | 不正アクセスによるサービス停止 |
リクルートキャリア | 2019.8 | 個人情報保護法に抵触し、サービス停止 |
そのからくりをご説明します。経営者のコミットメントが不足した組織では、リスクマネジメント活動が形式的なものになります。リスクの洗い出しを迫られる部長や課長クラスは、ミドルマネジメントであり組織の中でも多忙を極める立場で、どうしても片手間になりがちです。実際のリスク洗い出し作業を、自分の部下に命じるケースも少なくありません。ところが部下もそこまで暇ではありません。しかも、その洗い出し作業を一生懸命やっても、そこで洗い出すリスクに対して、対策を講じなければならないのはその人になる可能性が高い。つまり、「リスクを出したい」という気持ちが生まれにくいのです。まして、頑張っても目に見える形で評価されるわけでもない。誤解を恐れずに言えば、リスクマネジメントは今日やらなくても明日すぐには誰も困らない活動です。今日やったとしても明日すぐに自分が何らかのメリットを享受できるわけでもないものです。そのような中、経営者もどこまでリソースを割くべきか、はっきりとコミットしない。リスクマネジメントに対して現場のモチベーションが上がらないのは、なおさらです。
しかも、リスクに対する目線も、経営者目線ではなく現場目線になりがちです。「現場が洗い出すのだからより現実的なリスクがでてくるはず」と言えば聞こえはいいですが、実際に洗い出されるリスクは些末なものになりがちです。そして、リスク調査票に書き出す程度の些末なリスクであれば、すでに組織として手を打っているものであることがほとんどです。仮に大きなリスクを書き出すことに成功したとしても、そのリスクへの対応には多額の予算が必要になります。大きなリスクへの対応のための予算獲得、つまり、経営者を説得するために、あれこれと手間ひまかけてデータを用意しようとするモチベーションはそこにはありません(たまに正義感溢れて、とてつもない強い意思を持って経営者を説得して成功した例もありますが…多くはありません)。このような状態ですから、「このリスクが大きいです」と現場が経営者に上げても、根拠データに乏しく、経営者の側としても思い切った意思決定をできない、ということになります。というわけで、総じて、リスクマネジメントは、日々、現場が業務として行っていることをスプレッドシート上に書き出すだけの作業になります。経営者も報告を聞いてせいぜい返すのは「うむ、良きに計らえ」といった返事。かろうじてやった感が芽生えますが、負荷が増え、実のない活動になります。形式的になるのはあたりまえです。
ひどいときには、このように身動きの取れない現場に対して「もっと数字を伸ばせ」という号令が経営から降りてきます。そちらは目に見える形で評価に反映されます。リソースが逼迫気味の現場からすれば、リスクマネジメントに時間をとるのか、数字を伸ばすことに時間をとるのか、どちらにどれだけ優先させるべきなのか、板挟みになります。上から聞こえてくるのは、「我社は、コンプライアンス第一!安全第一!」などというもっともらしい掛け声だけ。こうした形でリスクマネジメント活動を行う企業の顛末はどんなものになるのか、容易に想像できるのではないでしょうか。
それを裏付けるデータがあります。実は、弊社では過去に大きな事故を起こした企業の調査報告書から見て取れる傾向について分析・評価したことがあります。細かい分析結果はいつか改めてご紹介したいと思いますが、その際に共通で見えてきたキーワードが「組織風土・体制の不備」「経営倫理の欠如」「業務管理の不徹底」「社内教育不足」でした。下のグラフからもわかるように、経営の姿勢が問われる「組織風土・体制の不備」「経営倫理の欠如」だけで全体の理由の過半を超えています。
【図:大きな事故を起こした企業約10社のメタ分析結果】
あなたの会社は本当に大丈夫か
「経営者のコミットメント不足!? 何を馬鹿なことを。私たちの会社は違う。それなりに会社にとって何が大切か、周囲に言ってきたつもりだ」とお思いの方もいらっしゃるのではないでしょうか。本当にそうでしょうか。少なくとも、数多くの大企業を見てきた私からすると、そのようなことができている会社のほうが少ないように思います。では実際に下記質問にいくつチェックが入るか試してみてください。
いかがでしたか。チェックが半分以下(9問中4問以下)であれば経営者としてコミットメント不足と言わざるを得ません。
ところで、チェックリストの中に「具体的」という言葉を何度か登場させています。コミットメントの強さは、その中身が具体的であるかどうかに強く依存するからです。仮にコミットメントの中身に具体性がないとどのようなことが起こるのかについて、鉄道会社の例を挙げて解説します。
ある鉄道会社では、ご多分に漏れず「安全第一」を謳っていました。この鉄道会社は資金が潤沢とは言えませんでしたが、経営者はことあるごとに現場に対して安全第一を口にしていました。しかし、実際に列車の運行中、現場で異音・異臭がしたときのことです。その列車の運転士は、常日頃から「安全第一」という言葉を耳にしていますから、当然のように列車を停止し点検をはじめました。その分、ダイヤは乱れましたが、問題は見つからず運行を再開。大事には至りませんでした。ところが、その報告を聞いた経営陣は口にこそ出しませんでしたが「問題がなかったのに点検のために電車を止めたこと」「ダイヤを大幅に乱したこと」に対して、イライラしているのは明らかでした。そうしたことが一度二度続いた結果、運転士たちは忖度し始めます。「安全第一とは言え、よほどの理由がない限り、ダイヤの維持を優先させるべきなんだな」と。安全第一が看板倒れになっていったことは言うまでもありません。
この事例からわかるのは、経営者のコミットメントが具体的でないこと、すなわち、どこまで利益を犠牲にする覚悟があるのか明言しないこと、それが組織に計り知れないインパクトをもたらす可能性があるということです。
さて、あなたの会社は大丈夫でしょうか。
経営者の本気度を見せた会社の事例
リスクマネジメントに対して、経営者の本気度を見せた企業もあります。ある老舗の大手企業でのことです。経営は比較的順調で資金も潤沢にあります。幸いなことにこれまで一度も大事故を起こしたことはありません。そしてリスクマネジメントの取り組みも行っていました。しかし、過去数年、一歩間違えれば大事故につながったかもしれない事故が、数回、起きていました。「このままでは取り返しのつかないことが起きるかもしれない」と危機感を覚えた社長が、組織風土改革プロジェクトの立ち上げを指示しました。私どもも関与しましたが、ここでも最初に論点にしたのはトップのコミットメントです。
そこで、まずは「現状の課題認識と組織の長としてのリスクマネジメントに対するコミットメントの明文化」をゴールに設定し、部門長以上全員を集めたワークショップを実施しました。ここでは会社の原点、すなわち、経営理念やビジョン・バリューまでさかのぼり、そこからリスクマネジメントの基本方針について議論を行いました。さらにリスクマネジメントの基本方針それぞれに紐づける形で、部門ごとのより具体的なリスクマネジメント方針もその場で議論しました。最後に、そのリスクマネジメント方針をそれぞれの部門において浸透させるために、組織の長は向こう1年間どんな活動を行うのか、その場で明文化をし宣言をしていただきました。
部門長ワークショップ以後は、今度は各部門長が部長クラスに対して似たような活動を、そして部長クラスが課長クラスに対して似たような活動を推進し、全社に浸透を図っていきました。私もその場におりましたので肌感覚で分かりますが、経営者が何を大切にし、それを守るためにどこまで何を犠牲にする覚悟があるのか、間違いなく本気度が伝わったと思います。
経営者が明日からなすべきこと
これまでの話で、「経営者に求められるリスクマネジメントの心構えと責任」が何であるのか、おわかりいただけたのではないかと思います。そうです。繰り返し申し上げますが、トップのコミットメントです。中身に具体性の伴うコミットメントです。もし、本稿を読まれて、少しでも「これまでの自分のアプローチは不十分だったかも」と感じる点があったのであれば、今からでも遅くはありません。ぜひ、数字を伸ばすことだけでなく、ご自身のリスクマネジメントに対してのコミットメントのあり方も見直してください。
例えば、明日以降、次のようなステップを踏まれるのはいかがでしょうか。
1番目にはシンプルに、あなた自身が本稿から学んだ事実(コミットメントの大切さ)を他の役員にも伝えることです。この記事を回覧していただくのも手です。
そして、2番目には、会社としてリスクマネジメントに対してどのような覚悟で臨むのか、経営者の間でリスクマネジメントに対してどこまでコミットメントするべきか、意識統一を図ることです。次回または次々回の経営会議の議題に盛り込んではいかがでしょうか。会議の中で「何が大事で、何をどこまで犠牲にしてまでもそれらを守る覚悟を持つのか」について、役員や、あなたの手足になって全社のリスクマネジメント活動をとりまとめてくれる事務局としっかりとした話し合いができれば理想的です。
例えば、経営者の中での意識共有の図り方ですが、有効な方法の一つは、役員を一同に集めて次のようなディスカッションをすることです。
- 我々の会社にとって最も大切なことは何か?
- 我々の会社はどうなったら潰れるか?それは例えば何がきっかけで何がどうなり最後はどうなるストーリーか?
- 潰れるシナリオを回避するために、どこまでの利益を犠牲にする覚悟を持つのか?その覚悟をどうやって組織全体にわかりやすく伝えるのか?
- 我々は、こうした危機意識を組織全体に行き渡らせるために、どんな努力をするのか?
- 役員一人ひとりは全社に何をコミットするのか?
このほかにも、非常に有効な手段の一つとして「トップインタビューの実施」というものがあります。これは全社のリスクマネジメントの事務局が年に1回、社長に直接インタビューをして、リスクマネジメントに対する社長の想いや考えを拾うことを目的としたものです。実際、私達がリスクマネジメントの構築・改善支援をしたお客様では、必ず「トップインタビューの実施」というものをお願いしています。組織内部の人間だと社長に話を聞きづらいこともあろうかと思いますので、私達外部の人間であるコンサルタントがリスクマネジメントに対する社長の想いや考えを上手に引き出し、言語化(場合によってはリスクマネジメント方針として作文もします)し、リスクマネジメントの仕組み構築や運営に反映するためです。ちなみに、私どもが支援したヤフー様では、これ以後、毎年、全社のリスクマネジメント事務局が社長にトップインタビューをするのが慣例になっています。
終わりに
いかがでしたでしょうか。本稿では「リスクマネジメントとは何か」にはじまり、「リスクマネジメントが何故機能しないのか」「あなたは経営者としての責任を本当に果たせているのか」「他社ではどのような取り組みをしているのか」「あなたは経営者として何をすべきか」についてご説明してきました。
「何を偉そうに…。経営の何が分かるんだ!? こんな重たい活動できるわけがない」と、そう思われた方もいらっしゃるかもしれません。私達も、何も重たいリスクマネジメント活動をするべきと申し上げているわけではありません。「リスクマネジメント活動に経営者の魂が入っていないのであれば、むしろ、業務効率を妨げるだけなので、そんな活動はやらないほうがいいのではないか。逆に、やるのであれば、魂をきちんと入れてください」と、そう申し上げているだけです。
私、いや、私達は本気で会社・社会をよくしたいと考えています。ですから、形だけの活動になってしまっている世の中の数多くのリスクマネジメントのあり方を本気で変えたいと思っています。声を大にして申し上げます。みなさま、「リスクマネジメントが機能するも・しないも経営者次第」です。
【参考文献】
- 勝俣良介『世界一わかりやすいリスクマネジメント集中講座』 (オーム社、2017年)
- ニュートン・コンサルティング株式会社(2020)『企業不祥事分析結果報告書』
おすすめ記事
- 監査等委員会設置会社
- “組織の活力・対応力を向上させるリスクマネジメント”の実現方法
- 農林水産省 様
- 企業の不祥事は、なぜ起こるのか-ERM(全社的リスク管理)とコーポレート・ガバナンス-
- リスクマネジメント基礎の基礎
- 絵でわかるシリーズ「ERM」 リスクマネジメント「超」基礎講座 1時間目
- 絵でわかるシリーズ「ERM」 リスクマネジメント「超」基礎講座 2時間目
- 絵でわかるシリーズ「ERM」 リスクマネジメント「超」基礎講座 3時間目
- リスクマネジメント実務者が身につけておきたいスキルと資格
- なぜトップインタビューは必要なのか
- 企業の不祥事は、なぜ起こるのか-ERM(全社的リスク管理)とコーポレート・ガバナンス-
- 経営者のリスクマネジメント姿勢が企業価値にダイレクトに反映されていく理由と企業に求められる取り組みとは
- コーポレート・ガバナンス