リスク評価段階で現場と経営層のコミットを得る
リスクが企業個別に異なるのと同様、リスクマネジメントの実装手順や手段に最適解はない。だが必ず求められるのが、リスクの洗い出しだ。
現状では、企業内にどのようなリスクがあるのか? 影響範囲は? 発生する可能性は? リスクはいくつあり、そのうち経営が関与すべきリスクの数は? 等を調べる必要がある。As-Isを踏まえた上で、「リスクをどう減らし、回避するのか」というTo-Beを描く必要がある。また、To-Beどおりに推進できたのかをモニタリングし、毎年1回程度見直すPDCAサイクルを回さなくてはならない(図2参照)。ここがつまづきやすい所だ。
図2 リスクマネジメントと一体となって機能する内部統制の全体図(クリックすると拡大します) |
まずリスクを計測できない。影響度や影響範囲は、担当者の主観による部分が大きく、定量評価は難しい。また、リスクマップでリスクに重み付けをするのは重労働だ。
「リスク評価の負荷があまりにも大きいので、次の期のリスク評価作業を実施しようとすると、現場から『この前やったばかりなのに、また評価するのか』と印象をもたれるケースがありました」(トーマツ 亀井氏)と言う。
リスクマネジメントの導入は、現場と経営層へ一定の負担がかかるため、当然、両者からの抵抗はある。また、現場と経営層にリスクマネジメントに対する意識のズレが生まれることも少なくない。
経営層は、他社の不祥事の事例を参考に自社リスクを洗い出す。一方現場は、日々の業務上の問題点を指摘する。「現場は『なぜこんなリスクを管理するのか』となり、経営層は『なぜ現場は社会問題に対処しようとしないのか』となりがち」(トーマツ 亀井氏)なのだ。
結果、リスクを低減すべき現場が、経営層からの命令を「なかったこと」としてしまう。こうならないためにも、経営層と現場の意識が乖離しないよう、リスク管理推進部門がファシリテータ(意見調整役)となるのが重要だと、同氏はアドバイスする(図3参照)。
また、社外の人材を活用するのも有効だ。たとえばコンサルタントをファシリテータとすれば、客観的な視点で、企業が管理すべきリスクを洗い出せる。他社のリスクマネジメント導入事例を参考に、自社固有のTo-Beを描くこともスムーズだ。
実際、東京ガス等では、コンサルタントを有効活用し、順調に導入を進めている。
キーマンの存在が導入成功のカギとなる
だが一方で、コンサルティングに任せきりにした結果、自社にマッチしないリスクマネジメントとなり、結果的に意味のない取り組みとなるケースもある。これは、リスク管理推進部門そのものに問題がある。
リスクマネジメントは、ボトムアップではなく、経営層の意思決定で乗り出すケースがほとんどだ。すでに社内や子会社で情報漏洩等の問題が起こり、火急的な対応を求められる場合もある。にわか仕込みの推進部門では、モチベーションが低く、具体的にどう管理すべきなのかが見えてこない。
そこで重要となるのが、リスク管理を実行するキーマンの存在だ。
三菱総合研究所 安全科学研究本部 安全政策研究部 リスクマネジメント研究チーム 佐藤洋主任研究員 |
三菱総合研究所の佐藤氏は「現場と経営層の相互の納得感を得るには、やる気のあるキーマンが旗を振る必要があります。キーマンの立場は様々ですが、現場の業務を知り、経営感覚を持つ担当者が適任でしょう」と話す。
東京ガスの吉野氏は、リスクマネジメントを推進するキーマンの1人だ。現場の理解を得るため、各本部の担当者を実際に訪問し、リスクマネジメント導入の趣旨や実施方法を説明。訪問回数は、1年間に79回にも及んだ。経営層に提出するためのドキュメントを作成した後は、最終確認のために、再度各本部を訪れる念の入れようだ。リスクマネジメント推進へのモチベーションが高くなければ、ここまで徹底するのは難しい。
「ERMを導入するにあたり、米国企業を7社訪問しましたが、『現場への導入は難しい』という意見が目立ちました。国内だけでなく米国でも、ERMの意識付けが難しいことに悩んでいるのです。そこで、『現場の理解を得ること』を最重要課題として、細心の注意を払いました。ただし東京ガスの場合、早期に経営層のコミットを得られたことが成功の大きな要因です」(同氏)という。
RMの意識付けには段階的な導入が効果的
吉野氏は、東京ガスがリスクマネジメントに成功したもう1つのポイントとして、「段階的な導入」を挙げている。「関係者の話を聞くと、さも一度期に『リスクに対する経営資本の最適配分を実行すべき』であるかのように書かれています。これは最初のハードルとしては高すぎると感じました。そこで東京ガスでは2003年を準備期間、2004年を試行期間、2005年を本格実施期間と位置付け、3ステップでの導入を目指しました。これにより、全社員のリスク管理意識を徐々に高められました」と振り返る。
段階的にリスクマネジメントを導入する際、(1)ある1部門をテストケースとする場合と、(2)1つのテーマに絞って全社導入するケースがある。双方のどちらを採用するのが適切かは、企業により異なるが、三菱総合研究所の佐藤氏は、(2)の導入を推奨している。
理由は、1部門をテストケースとしてリスクマネジメントを導入する場合、対象部門が「我々の部門はそれほどリスクが大きいのか?」と反発しかねないからだ。また、(2)だと、全社員にリスクマネジメントのイメージを浸透しやすいというメリットがある。
「まず、成果が出やすいテーマを決めて、そのリスクを減らしたり、なくすことを目標とすれば、全社員が達成感を得られます。これが、大掛かりなリスクマネジメントに取り組む際のトレーニングになるわけです」(三菱総合研究所 佐藤氏)と言う。
テーマを選ぶ際のポイントは2つ。成果を挙げやすいもので、かつ経営陣を含み全社員が納得するテーマとする点だ。
たとえば、情報セキュリティ対策が不充分で、日常的にパスワードを書いた付箋をPCに貼り付けている企業があるとする。その場合、「全社員でパスワード管理を徹底する」ことをテーマとする。これだと短期間で成果がはっきり見える。
また、環境対策は全社員が理解しやすいテーマだ。ゴミを分別したり、コピーや印刷の枚数を減らすと、コスト削減にもつながる。
三菱総研の佐藤氏は「一般的に取り組みやすいテーマは、情報システムの運用管理です。また、自社の不得意分野を対象とするのも効果的です。たとえば多くのエンドユーザーを抱える企業は、個人情報保護に対して先進的ですが、契約管理等が意外と徹底されていなかったりします。『気付いてはいたけれど、手を出せないでいた』分野は、かなり低いレベルで留まっている場合が多いですから、成果が出やすいのです」と話す。
経年変化を分析するにはIT活用は必須
では、リスクマネジメントにおけるITの活用はどうなっているのだろうか。先進企業のリスクマネジメントでも、ITを充分に活かしきれていないケースは多い。
日本オラクルプロダクトオペレーションズ・アプリケーションズプロダクト部ERMグループの川腰晃夫シニアマネジャーは、実際に先進大手企業を訪問してリスク管理状況を調査した。「各業務部門ではMS-Excelでリスクを管理している場合が多く、フォーマットがバラバラなケースが目立ちました。そうなると、リスク管理推進部門がそれを集計する際、作業量は膨大になります」と話す。さらにリスクを変更するたびに、業務プロセスとの関係を修正する作業も多くなる。ファイルの検索性にも乏しいため、リスク管理状況の経年変化を充分にモニタリングできない恐れがある。
経済産業省 経済産業政策局 企業行動課 遠山毅課長補佐 |
経済産業省の遠山氏は、「リスクマネジメントでは、何かあった場合にすぐに経営層に情報を伝達できる仕組みや、リスク情報を部門や全社員で共有する仕組みが重要です。最低限、これまで発生したリスクをDBに蓄積しておくことは必須です。原子力発電所の配管事故でも、リスクを知りつつも『後でやればいい』という認識が事故につながりました。リスクを継続的にモニタリングするには、ITを活用するのが効果的です」と説明する。
たとえば、オラクルのリスク管理ツール「Internal Controls Manager」では、各業務プロセスとリスクをヒモ付けて管理できる。文書管理のテンプレートを用意し、文書を作ると自動的に業務フロー図が作成される。業務プロセスやリスクの変更履歴をライブラリ管理可能で、リスク管理結果の経年変化を一覧できる。
またSAS Institute Japanは、金融機関向けのソリューションとして「Risk Dimensions」をリリースしている。同ツールはデータウェアハウジング機能を搭載し、データ管理やレポーティング等の機能を提供する。モンテカルロ法によるリスク測定システムとシームレスに連携できるため、与信戦略策定シミュレーションが容易だと言う。
一方、消費者からのクレーム情報をITで収集し、リスクマネジメントに活用している企業もある。東京ガスでは、クレーム情報を一元管理し、全社員が閲覧できるようにした。同じクレームを2度出さないよう、リスクを管理しているのだ。
富士通は、バランス・スコアカードを使った「CRM型リスクマネジメントソリューション」を展開。消費者からのクレーム情報をDBで一元管理し、消費者から営業マンまでをつなぐ仕組みを用意している。
実際、雪印乳業では同システムを導入。毎週開催する取締役会では、まずクレーム情報が報告される仕組みとなっている。
リスクマネジメント実施の有無が他社との差別化ポイントになる
日本国内では、まだSOX法のような厳しい法律はないが、徐々にリスクマネジメントや内部統制に関連する動きは活発化している。
2002年1月には、企業会計審議会が「改定監査基準」が示され、外部監査人がリスクアプローチを徹底する方向性が打ち出された。2003年4月の商法改正により、委員会等設置会社は、内部統制に関する基本方針を固め、企業内部の監査委員会が、業務決定や執行の監査体制を用意することを定めた。
リスクマネジメントへの取り組みは、どうしてもマイナスイメージで捉えられがちだ。「なるべくやりたくないが、やらざるを得ない」とイヤイヤ乗り出す企業もある。トーマツの亀井氏は「リスクマネジメントは企業の競争力を表すバロメータにもなります。たとえば『代表者による適正性の確認書』(代表者確認書)がその一例です」と話す。
2003年4月の内閣府令の改正により、有価証券提出会社は、コーポレートガバナンスに関する事項を盛り込み、その内容が正しいことを保証するため、代表者確認書を添付するようになった。現在のところ任意規定だが、主要銀行をはじめ、確認書を公開する企業はある。
たとえば中部電力では、PDFファイルをホームページ上で公開し、リスク管理や監査の執行状況が適正だとアピールしている。
リスクマネジメントに積極的に乗り出すか、もしくは法制化を待って重い腰を上げるかが、「負け組」と「勝ち組」の分水嶺となるかもしれない。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力