”STATE OF Enterprise Risk Management 2020”に学ぶリスクマネジメントのこれから
掲載:2020年01月29日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
コラム
State of Enterprise Risk Management 2020という報告書がISACA(※1)より発表されました。これは全社的リスクマネジメント(ERM)に関する企業の整備・運用状況調査報告書です。報告書は下記より入手することができます。
https://www.isaca.org/-/media/info/state-of-enterprise-risk-management-survey/index.html
同報告書が英語で書かれていることもあり、本コラムでは、リスクマネジメントに関する最新動向を把握しておきたいという企業のリスクマネジメント事務局の方(またはそれに近い立場にある方)向けに、この調査報告書の内容と、そこから企業のリスクマネジメント担当者として何を取り入れればいいのか、について数多くの企業を実際に見てきたリスクマネジメントコンサルタントの立場から解説するものです。
目次
State of Enterprise Risk Management 2020とは
State of Enterprise Risk Management 2020(以後、ERM Report 2020)は、ISACA(※1)、CMMI Institute(※2)、Infosecurity Group(※3)の3つの国際的なセキュリティやリスク管理向上を目指す団体が、企業のERM活動にヒントを提供することを狙いとして、企業のERMの整備・運用状況について共同調査を行った結果をまとめたものです。
なお、調査対象は6大陸140カ国4,625名におよび、「金融業界」や「保険」、「製造」、「医療」等、全17業界をカバーしています。
評価項目は下記に示す7カテゴリです。
- リスク意識
- 増加した、または減少したと感じるリスク
- (認識している)リスク種別
- 採用しているリスクマネジメント手法
- リスクマネジメントの成熟度
- 予想するリスク
- リスクの監視および報告
※1 ISACAは、情報システム、情報セキュリティ、ITガバナンス、リスク管理、情報システム監査、情報セキュリティ監査等、情報通信技術専門家の国際的団体
※2 CMMI Instituteは、組織の、製品開発、サービス優良性、労働力管理、データ管理、サプライヤ管理ならびにサイバーセキュリティを含めた主要ビジネスのパフォーマンスのベンチマーク化とその水準向上促進を目的とした団体
※3 Infosecurity Groupは、ISACA同様の目的で、Reed Exhibitions UK Ltd.が運営する様々な知見提供を目指したリーディング団体の一つ
ERM Report 2020調査結果
同報告書によれば、この調査から明らかになったことは以下4点です。
- 組織は自分たちのリスクを良く理解しているが、リスクマネジメントの実行に関しては大幅に改善の余地がある
- 新たに登場し、かつ、今後の課題として認識されているのがサイバーセキュリティリスクである
- 新たに登場しつつある新しいテクノロジーリスクに対する懸念は、クラウド関連リスクを観察することで見えてくる
- テクノロジーリスクが大きいものの、伝統的なリスクも相変わらず組織の心配の種となっている。伝統的なリスクに対する懸念事項は、地理や業種によって異なる
1.組織は自分たちのリスクを良く理解しているが、リスクマネジメントの実行に関しては大幅に改善の余地がある
「組織は自分たちのリスクを良く理解している」とは、組織が直面しているリスクそのものが何であるのかと、そのリスクが顕在化した場合にどのような事態が想定されるかについて認識しているという意味です。また、「大幅に改善の余地がある」とは、組織内のリスク意識(組織にとって何が重要なリスクであるかについて認識できているかどうか)とリスクマネジメントの成熟度における問題点を指しています。なお、ここで成熟度とは「活動のPDCAがどれだけしっかりと回っているか」を5段階で表したもののことを言います。
リスク意識における問題点は、組織の階層間、特に経営と現場との間でリスク意識に大きな乖離があるということです。今回の調査では、経営層においてリスク意識が高く、階層が下がっていくにつれその意識が小さくなることが明らかになっています。具体的にはリスク意識が高い人の占める割合が、経営層でほぼ9割なのに対し、スタッフレベルでは5.5割にとどまっています。
また、リスクマネジメントの成熟度における問題点は、リスクマネジメントプロセス(リスク特定、リスク分析、リスク評価、リスク対応、モニタリングおよびレビュー)における成熟度にばらつきがみられるということです。これら5つのプロセスの中でも、リスク評価、リスク対応、モニタリングおよびレビューの成熟度が相対的に低いということがわかっています。これはつまり「リスクを特定するのは得意だが、特定したリスクに対して対応はおろそかになりがち」とも言えます。それを裏付ける一つの証拠といえるでしょうが、昨今注目の的になっているサイバーセキュリティリスクは重大リスクの一つとして多くの組織にて認識されているものの、リスク評価や対応が追いついていないようだと報告書は指摘しています。リスク対応をすべきかどうかの判断基準のことをリスク基準と呼びますが、サイバーセキュリティリスクにおいて、この基準を明確に定義・設定していた組織は全体のたった35%だったことが判明しています。
2.新たに登場し、かつ、今後の課題として認識されているのがサイバーセキュリティリスクである
今日、企業が認識している重大リスクとはどのようなものでしょうか。以下のグラフは、今回調査した対象組織が認識している重大リスクを多い順に並べたものです。これによれば9つの重大リスクが認識されており、最も大きいリスクとして認識されているのが情報セキュリティ/サイバーセキュリティリスクです。それに風評リスク、財務リスク、オペレーショナルリスクが続きます。企業が認識している現時点の9つの重大リスク
報告書では、これら重大リスクへの対応難易度に対する調査結果も出しています。それによると、対応難易度が高い重大リスクは、1位が「情報セキュリティ/サイバーセキュリティリスク」、2位が「風評リスク」、3位が「政治リスク」となっています。
3.新たに登場しつつある新しいテクノロジーリスクに対する懸念は、クラウド関連リスクを観察することで見えてくる
同報告書では、テクノロジー分野における新技術関連リスクについては、既存技術となりつつあるクラウド関連リスク台頭の変遷を観察することが大きなヒントになりそうだ、と述べています。なお、ここで新技術関連リスクとは、たとえばAIやIoT、ブロックチェーン技術、5G等のことを言います。
では、「既存技術となりつつあるクラウド関連リスク台頭の変遷を観察すること」が、こうした新技術に関するリスクマネジメントの何に役立つといえるのでしょうか。報告書は、そうした新技術関連リスクが何であるかの認識や、それぞれのリスクの大きさを正しく捉える上で役立つと言っています。なぜなら、今回の調査で「見聞きしたことがあるリスクや、いま目の前にあるリスク」ほど大きいリスクとして認識されやすく、そうでないリスク…たとえばまだ普及しきっていない新技術関連リスクほど、軽視されがちであることがわかったからです。つまり、新技術に関するリスクの認識や大きさ算定については、人の直感に頼りすぎるのは危険とも言えます。かつてのクラウド関連リスクがそうであったように、技術の黎明期においては組織のリスク認識は薄いが、こうした技術はある時点から急激に普及し始め、組織の抱えるリスクも急激に膨らみ、リスク対応が追いつかなくなります。そうならないようにするためにも、新技術関連リスクに対しては、心しておくことが必要だとのことです。
4.テクノロジーリスクが高いものの、伝統的なリスクも相変わらず組織の心配の種となっている。伝統的なリスクに対する懸念事項は、地理や業種によって異なる
今回の調査では、「サイバーセキュリティやテクノロジーリスクに対して組織が一番警戒心を持っていることが明らかになったものの、だからといって伝統的なリスクに対する懸念がなくなったわけではない。伝統的なリスクについては、引き続き、地理的要因や業種によって取り組むべきことが求められるようだ」と述べています。
なお、伝統的なリスクとは、前出のグラフでも見られたテクノロジーリスク以外の重大リスクのことであり、たとえば風評リスク、財務リスク、オペレーショナルリスク、コンプライアンスリスク等のことです。また、地理的要因や業種によって取り組むべきリスクとしては、例えばオセアニア地域では風評リスク、ヨーロッパでは風評リスク・コンプライアンスリスク、アフリカでは財務リスク・オペレーショナルリスク・テクノロジーリスク・政治リスク、アジアではコンプライアンスリスク・テクノロジーリスク、ラテンアメリカでは財務リスクとなっています。
これら1から4までの4つの結論を受けて、同報告書は次のようなアクションが望ましいとまとめています。
- 必要と思われるリスクマネジメントプロセス箇所の成熟度を上げ、リスクマネジメントのパフォーマンスの強化を図ること
先のリスクマネジメントプロセス(リスク特定、リスク分析、リスク評価、リスク対応、モニタリングおよびレビュー)の中の、リスク対応やモニタリングおよびレビューの成熟度が低いといった結果を受けての提言です。まず体系的なリスクマネジメント活動になるように仕組みを昇華させることが望ましく、その上でリスク対応プロセスの成熟度を特に上げることを検討するのが望ましいなどと述べています。
- リスクに対する理解を組織の深い階層まで浸透させること
「リスクに対する理解を組織の深い階層まで浸透させること」とは、階層間、特に経営と現場との間でリスク意識に大きな乖離があるという発見を受けての提言です。若手の担当者をリスク対応検討メンバーに加えることを検討するのも手であると述べています。
- 将来直面しそうな分野での課題や防衛手段を特定しておくこと
サイバーセキュリティやクラウド関連リスクなど今回重大リスクとして上がってきたものへの検討を進めることが重要であると述べています。また、これから台頭してくるであろう新技術関連リスクに対して特に意識的に目を向けて観察するようにしておくことが重要だと述べています。
- リスクマネジメントを全社的な活動(ERM)にするために、経営レベルで具体的なアクションをとること
新技術関連リスクのようにタイムリーに認識することが容易ではないリスクがある以上、現場が経営の意向を汲み取って速やかに動けるような仕組みを作っておくことが重要であると述べています。具体的には、例えば経営層のリスク基準(経営がリスクをとる・とらないの境界線)を明確化しておくこともその一つです。
ERM Report 2020から取り入れられること・取り入れていただきたいこと
ERM Report 2020の内容は先述のとおりですが、リスクマネジメント事務局の方々にとってより有益なものとなるように、報告書が推奨する今後のアクションそれぞれに対して、リスクマネジメントコンサルタントとしての考察を以下に加えておきたいと思います。
必要と思われるリスクマネジメントプロセス箇所の成熟度を上げ、リスクマネジメントのパフォーマンスの強化を図ること
筆者も報告書と同様の意見です。これは企業が注目すべき大きな問題の一つだと考えます。組織がリスクマネジメントにおける懸念事項として真っ先に挙げる傾向が強いものが「リスク特定」です。多くの組織が「リスク洗い出しに抜け漏れがあるのではないか」という心配をしています。しかし、過去の企業不祥事や大事故を振り返ってみると、「リスクが特定されていなかったことが原因というよりは、むしろ、そのリスクに対する対策が不十分だったことが原因のケース」が多く見て取れます。今回のISACAの調査でもその問題が浮き彫りになったと言えるのではないでしょうか。企業のリスクマネジメント事務局におかれましては、今一度、既存対策に対する監査や評価について確認することをおすすめします。
リスクに対する理解を組織の深い階層まで浸透させること
「リスク意識を組織全体に浸透させる」というアクションそのものについては賛成ですが、同報告書が言及する、より現場を巻き込むなどの手段だけでは不十分であると考えます。特に日本においてはリスクアセスメントをボトムアップ・アプローチ(現場からリスク情報を吸い上げて対応を検討するやり方)がメジャーだからです。日本の企業でも経営層のリスク認識度は高いとは思いますが、問題はリスクマネジメント活動の重要性やそれらの情報発信においてリーダーシップが十分に発揮されていない点にあります。したがって「リスク意識を組織全体に浸透させる」ためには、トップダウン・アプローチ(トップからリスク情報をおろしていくやり方)を採用したり、トップの考えを言語化し、そうした情報をトップから発信していく工夫をするなどしていく必要があると考えます。リスクマネジメント事務局におかれましては、自組織の浸透活動に、こうした点が考慮されているか再確認してみることをおすすめします。
将来直面しそうな分野での課題や防衛手段を特定しておくこと
「これから台頭してくるであろう新技術関連リスクに対してもアンテナをはることが重要である」という報告書の提言は非常に重要なポイントです。なぜなら、「企業が直面するであろう近い将来の重大リスクをいかにタイムリーにキャッチするか」というのはリスクマネジメントにおける至上命題の一つだからです。報告書では「どうやってアンテナをはればいいのか」といった点までは言及していないので、筆者の考えを述べておきます。新技術関連リスクやその大きさを認識するのに関係者の直感に頼るのが危険なのであれば、直感に頼らないアプローチが重要です。具体的には、例えば「近い将来、当社を脅かす可能性のあるリスクは何だと思うか」という問いかけをするのではなく、「近い将来、台頭してくる技術は何だと思うか」というような問いかけに変えるのも一つの手だと思います。また、「この分野のリスクに関してだけ別のモノサシを使う」、「他の分野のリスクとは分けて、別だしで考える」などといった方法も採用できるでしょう。リスクマネジメント事務局におかれましては、自社のリスクアセスメント手法について、こうした点が考慮されているかについて見直しをされることを推奨します。
リスクマネジメントを全社的な活動(ERM)にするために、経営レベルで具体的なアクションをとること
報告書の「リスク基準の明確化」という提言を受けても、「何点以上・何点以下というリスク基準なら我社でも設けているはず」と考えるリスクマネジメント事務局の方が多いのではないかと思います。確かに、筆者が見てきた組織でも、そのほとんどがリスク基準を設けていました。しかし、ここで重要なことは「経営の意向を反映したリスク基準を設けること」です。「経営がリスク基準を設ける」といっても「何点以上・何点以下」といった点数を示すのではなく、そうした点数設定のヒントとなる考えを示すことを言います。具体的には、例えば「当社は、原則、当社のブランドに影響を与えることについてはリスクを極力取らない。また、当社の強みや商品品質、食材選定を犠牲にするようなリスクのとり方はしない」というような考えのことです。リスク基準が決まっていると言っても、それはなんとなくリスクマネジメント事務局が決めたもので、経営の意志が必ずしも反映されていないものも多いのではないでしょうか。リスクマネジメント事務局におかれましては、こうした本質を理解した上で、自組織のリスク基準について改めて再確認してみることを強くおすすめします。