「アジャイルERM」という言葉からは従来型ERMの「重たくどっしりとしたリスクマネジメント」よりも、「機敏に小回りを効かせるリスクマネジメント」を想像できると思います。私自身、組織が競争力を持つためにはERMにも柔軟性やスピードが必要だと考えてきましたので、敏捷性を意識したアジャイルERMの考えには強く共感するところです。

ちなみに、私が「組織にはこれが必要！」と強く考えていたERMアプローチは「網羅的にリスクを洗い出し、未然防止策ばかりに力を入れるよりも、多少の抜け漏れがあっても、大きなリスクにのみに集中し、但しそこにはしっかり手当てをする。それ以外のリスクについては顕在化しても、インシデント対応や危機対応でカバーをする。そのための有事対応力も日頃から磨いておく」というものです。この方が組織が硬直化せず、ハプニングが起きても柔軟に対応できると考えているからです。アジャイルERMは、この考え方に似ています。

ちょうど、2022年3月9日に、COSO*1からアジャイルERMに関するガイドライン（正式名称：「スピードと破壊の時代における組織の機敏性を可能にする（Enabling organizational agility in an age of speed and disruptions)」）が公表されました。本稿ではその内容も踏まえながら、もう少しアジャイルERMについて、私なりの言葉に置き替えてわかりやすく解説していきたいと思います。

同ガイドラインによれば、アジャイルERMとは、戦略立案やその実行に関わるリスクのアセスメントはほどほどにして、速やかに戦略・計画実行フェーズへと移行し、移行してからもリスク評価を継続的に行うことで、戦略・計画をブラッシュアップし、環境変化にタイムリーに適応させていくものです。一方、伝統的なERMでは、あたかも盆踊りのように、年1回、決められたタイミングでリスクアセスメントを行い、重大リスクを抽出しリスク対応計画を策定します。あとはひたすら、四半期または半期に1回程度のペースで、リスク対応計画の進捗をモニタリングする手法が取られます。アジャイルERMは、従来型のそうしたERM活動に対して「年1回、リスクを評価するだけで、今の環境変化の速度に追いつけるのか？」「新型コロナウイルス（COVID-19）感染拡大やロシアによるウクライナ侵攻のような事態が勃発し、リスクアセスメント実施当時と環境がガラリと変わってしまった時に対応できるのか？」といった問題提起から生まれたアプローチと言えるでしょう。

誤解のないように申し上げておくと、決して伝統的なERMを完全否定しているわけではありません。アジャイル開発が台頭している中でもウォーターフォール型のアプローチが依然として必要とされているように、従来型のERMアプローチにもメリットはあります。ただ、明確に言えることは、従来型のERMアプローチだけでは、今後迫り来るだろう大きな不確実性の波に太刀打ちしきれなくなっていく可能性が高いということです。したがってたとえば、従来型のERMで行っている年1回のリスクアセスメントは継続しつつ、期中ではすでに実行中の戦略や計画に対して様々なリスク評価手法を適用し、新たなリスクがないか、戦略の前提条件が変わっていないか等を評価することも１つの有効なアプローチと言えるでしょう。

「様々なリスク評価手法」と申し上げましたが、決して特別な評価手法を用いなければいけないという話ではなく、すでに世の中にあるリスク評価のアプローチを併用することで、アジャイルERMを実現することができます。たとえば、同ガイドラインでは次のような手法が紹介されています。

バリュープロポジション

なぜ、顧客が自社の製品やサービスを選ぶのかについて、シンプルな文章にまとめあげることで、市場や顧客ニーズとのミスマッチが起きてないか等について気づきを得ることができる手法

ブラックスワンワークショップ

ブラックスワン、すなわち想定外の事象が起きた場合に自社の戦略や計画、リスク対応等にどういう影響が出るかを評価する手法

アサンプション・リスク分析

戦略やプロジェクトが成り立つ前提条件を洗い出し、その前提条件が崩れた場合に何が起こるかを分析するリスク評価手法

シナリオ分析

中長期的な未来を、影響の大きい不確定要素を軸に、いくつかのシナリオに落とし込み、このシナリオをもとに戦略や計画の評価を行う手法

アジャイルERM実現のためには、もちろん上記以外にもたくさんの手法がありますが、私は、BCP（事業継続計画）で用いる経営資源分析（重要業務に必要不可欠な経営資源を特定し、その経営資源喪失に関するリスク評価を行い対策を検討するアプローチ）や、重要なリスクが顕在化した場合を想定した危機対応訓練なども、事後的に気づきを得るためのある種のリスク評価ツールとして使えると考えます。

アジャイルERMにはもう１つ大きな魅力があります。それはリスクテイク文化の醸成を促進してくれる点です。アジャイルERMは「石橋を叩くのはほどほどにして、さっさと渡ってみる。橋にヒビが生じたり、落ちそうになったり、あるいは失敗したりしたら、その体験から学習して次に活かしつつ前進する」という考え方ですから、ある意味、失敗を許容する文化が大前提になります。その大前提こそが、リスクテイク文化の栄養分になるわけです。そういえば、2021年6月改訂のコーポレートガバナンス・コードには次のような文句がありましたが、そうした考えにも資するアプローチと言えるかもしれませんね。

このように見ると、アジャイルERMは万能に思えますが、もちろん、そんなことはありません。アジャイルERMの実践にあたっては3つの留意事項があります。

1つ目。そもそも、ERMを従来のウォーターフォール型ではなく、アジャイル方式に変えるわけですから、組織風土にもメスを入れる必要があります。プロセスだけアジャイルっぽい型に入れ替えても機能しません。私自身も経験がありますが、いくら正論を語ったところで、当事者がアジャイルERMの精神を腹落ちさせていなければ、「やっぱり網羅的・徹底的にリスクを洗い出そう」「一度、決めたことはとにかく1年間やりきろう」という従来型ERMの発想になり、足並みが揃わなくなることは目に見えています。

2つ目。関係者のスキルアップが必要不可欠です。これはアジャイルERMだろうが、従来型のERMだろうが、どちらの手法を採用するにしても当てはまることです。多くの方が「リスクマネジメントは勉強しなくてもある程度直感でできる」と、大きな勘違いをされていると思います。そんなことはありません。問題発見力や問題解決力を身につけるのにはそれなりのスキル習得が必要ですが、リスクマネジメント力にもそれ以上のスキル習得やセンスが必要です。特に、リスク評価手法の例に挙げた「バリュープロポジション」や「アサンプション・リスク分析」などについては、言われてもピンとこない人の方が多いのではないでしょうか。気持ちだけアジャイルになっても、そこにスキルが伴わなければうまくいかないのは火を見るよりも明らかです。

3つ目。私はこれが何よりも大事だと思いますが、あなたの組織のERMが、そもそもあなたの組織の戦略立案等と密接に連携していなければ、どんな型のERMを採用しても意味がありません。長年、様々な組織を見ていますと、組織の戦略・計画立案とERMが完全に別個の活動になってしまっているケースが少なくありません。このような状態では、アジャイルにERMを回したところで、チェーンの外れた自転車を一生懸命漕いでいるのと同じです。このような場合は、何よりもまず先に、ERM活動と組織の経営活動とを統合することが重要です。

というわけで、アジャイルERM、いかがでしたでしょうか。「また、どうせ、金儲け主義の人間が考えた横文字の羅列で、大した意味もないだろ」と疑心暗鬼になっている方はいらっしゃらないでしょうか。気持ちはわかりますが、おそらくその指摘は当てはまらないです。アプローチや考え方を変えるだけで劇的な効果を得られる可能性があることは、アジャイル開発がすでに実証してくれています。

アジャイルERMについて、より詳しくお知りになりたい方は、ぜひ先述のアジャイルERMに関するガイドライン（正式名称：「スピードと破壊の時代における組織の機敏性を可能にする（Enabling organizational agility in an age of speed and disruptions)」）をご覧になってください。ただし、今のところ、原文（英語版）しか公開されていないのと、そもそもものすごく詳しい手順が書いてあるわけではありませんので、その点はご留意ください。

もし、もっとそれ以上のことを知りたい、相談したい・・・という方がいらっしゃいましたら、その時は一声お声がけください。きっと何かしらのお役に立てると思います。