BCP、ERM、危機管理…そのリスク対策をムダに終わらせないためのチェック項目とは？

“リスク”という言葉の曖昧性

　リスクとは、目的に対する不確かさの影響だ。通常語られる、マイナスの意味だけではなく、プラスの場合もある。たとえば新しい法律が施行され、企業の活動にとって追い風になる場合も、リスクなのだ。

　こういうリスクをマネジメントし、目的を達成するために不確実性をコントロールすることが、リスクマネジメントの本意だ。当然、不確実なリスクに対する未然防止がある。そもそも発生事態を防ぐことが不可能な問題もある。こうしたすべてのリスクに対して、BCPや危機管理が求められる。

　では、このリスクマネジメントをどのように取り組むのか。一般にはリスクアセスメントのプロセスがあり、リスクを特定し分析評価する方法は確立している。その方法自体は特別なものではなく、ごく一般的にリスクを点数付けし分析をおこなうものだが、その指標はカタカナが多く、難しく捉えられてしまい、企業の担当者にとっては「自分たちが覚えるものではなく、実務担当者がやるもの」という意識になりがちだ。

　問題は、企業にとって「どこまでやれば良いのかがわからない」ということだ。これに対して勝俣氏は、「まず企業の目的・目標を定める」ことだという。期限内に工場を建設することや、目標の売上を策定するなどの目標から逆算することで、チームや組織のリスクマネジメントの達成基準は明確になる。

　さらに、一口にリスクマネジメントといっても、プロジェクトリスクマネジメント、品質リスクマネジメント、情報セキュリティリスクマネジメント、環境リスクマネジメント、事業リスクマネジメント、全社的リスクマネジメントなど様々なものがある。

　このうち重要となる、「全社的リスクマネジメント」（ERM：Enterprise Risk Management）とは、全社の目的に影響を与えるリスクコントロールを通じて達成確度を維持・向上する仕組みや能力のことである。勝俣氏は以下のようなフレームワークを示した。

リスクマネジメントと内部統制

　リスクマネジメントと内部統制の関係について、内部統制は企業の経営者の仕組みであり、戦略を遂行するための従業員や組織のコントロールのルール整備であり、これもリスクマネジメントの活動と連携するものだ。また品質に特化したISO9001（QMS）、環境に特化したISO14001（ESM）、情報セキュリティに特価したISO27001（ISMS）も、リスクマネジメントの全体の枠組みで捉えることができる。

リスクマネジメントレビューの重要性

　ここ数年の企業の事故や不祥事の数はおびただしく、東日本大震災以降の自然災害、地政学リスク、環境リスクなども枚挙にいとまがない。その都度、経営層からは担当者への注意喚起が行われ、BCPやERMの対策が講じられてきた。しかし、問題はこうした施策が長続きしないことだという。特に10年前の東日本大震災の直後には、BCPやリスク演習を導入する企業も増えたが、継続的に実施できている企業は少ない。また、想定外のリスクが勃発しても過去の認識済のリスクへの対応のみに終始してしまっている。年に一度ではなく、四半期に一回程度のリスク対応演習が望ましいが、多くの企業では導入が困難なのが実情だ。

　直近の課題としては、経済安全保障推進法がある。近年の新型コロナウイルスやウクライナ侵攻、サプライチェーンの混乱による民間事業者の重要物資の安定供給などの面からも、対応が求められている。とりわけ地政学リスクに関しては、短期的、中長期的にも対策が必要で、シナリオ分析や、シミュレーション訓練、経営資源分析などの取り組みが必要だ。

　現在企業に求められているのは、過去のリスクから学びつつ、想定外のリスクや新たなトレンドリスク対応を計画することだという。そしてそのために、最も重要なことは「マネジメントレビュー」だ。重大リスクに対して「多くの企業が施策を実施したところで、終始してしまう。その後に必要な視点による評価をおこない、施策の決定や見直しを継続的におこなうことだ」と提言した。経営が担うべき役割と現場が担うべき責任・役割を整理するためのマネジメントレビューの必要項目とモニタリングの方法を以下に示した。

リスク対応計画について

• そもそもリスク対応のゴール（あるべき姿）が決められてないのではないか？
• そのゴールはリスクオーナーが決めてないのではないか？

モニタリングの仕方について

• 単なるリスク対応計画の進捗報告会になっていないか？
• 単なる事故の報告・共有会になっていないか？
• 重大リスクや事故の共有をすれば必要な行動をタイムリーに取れると思ってないか？
• こうした重大リスク対応を通じて振り返りができていないのではないか？
• リスクマネジメント委員会参加者は、どの視点で評価・発言すべきか実は理解してないのではないか？

• 視点に合った（焦点の合った）報告資料が共有されていないのではないか？
• 報告書の振り返りも、「なんとなくできた」「なんとなく課題がある」としか思えない内容になっているのではないか？

リスク情報のアップデートについて

• 単なるリスク対応計画の進捗報告会になっていないか？
• 単なる事故の報告・共有会になっていないか？
• 重大リスクや事故の共有をすれば必要な行動をタイムリーに取れると思ってないか？
• こうした重大リスク対応を通じて最終的に振り返りができていないのではないか？
• リスクマネジメント委員会参加者は、どの視点で評価・発言すべきかを実は理解してないのではないか？

　まとめとして勝俣氏は「もっとも重要なのは、マネジメントレビュー。レビューしたいリスクは何か？ リスクの何をレビューしたいのかを問いつつ、しっかりと取り組んでもらいたい」と締め括った。