SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

BCP、ERM、危機管理…そのリスク対策をムダに終わらせないためのチェック項目とは?

ニュートンコンサルティング セミナー「VUCA時代を生き抜くリスクマネジメント」レポート


 “リスク”という言葉には気をつけろ ── こう語るのはニュートン・コンサルティングのプリンシパルコンサルタント 勝俣良介氏だ。ニュートン・コンサルティングは英国で設立された「Newton IT」出身のメンバーに由来するリスクマネジメントコンサルティング企業。日本でも企業のBCPやセキュリティの構築支援を提供している。3年先も読めないVUCAの時代、リスクという言葉自体が、ミスコミュニケーションを生んでいると勝俣氏は言う。

“リスク”という言葉の曖昧性

ニュートン・コンサルティング 取締役副社長兼プリンシパルコンサルタント 勝俣 良介
ニュートン・コンサルティング 取締役副社長兼プリンシパルコンサルタント 勝俣 良介氏

 リスクとは、目的に対する不確かさの影響だ。通常語られる、マイナスの意味だけではなく、プラスの場合もある。たとえば新しい法律が施行され、企業の活動にとって追い風になる場合も、リスクなのだ。

 こういうリスクをマネジメントし、目的を達成するために不確実性をコントロールすることが、リスクマネジメントの本意だ。当然、不確実なリスクに対する未然防止がある。そもそも発生事態を防ぐことが不可能な問題もある。こうしたすべてのリスクに対して、BCPや危機管理が求められる。

 では、このリスクマネジメントをどのように取り組むのか。一般にはリスクアセスメントのプロセスがあり、リスクを特定し分析評価する方法は確立している。その方法自体は特別なものではなく、ごく一般的にリスクを点数付けし分析をおこなうものだが、その指標はカタカナが多く、難しく捉えられてしまい、企業の担当者にとっては「自分たちが覚えるものではなく、実務担当者がやるもの」という意識になりがちだ。

 問題は、企業にとって「どこまでやれば良いのかがわからない」ということだ。これに対して勝俣氏は、「まず企業の目的・目標を定める」ことだという。期限内に工場を建設することや、目標の売上を策定するなどの目標から逆算することで、チームや組織のリスクマネジメントの達成基準は明確になる。

 さらに、一口にリスクマネジメントといっても、プロジェクトリスクマネジメント、品質リスクマネジメント、情報セキュリティリスクマネジメント、環境リスクマネジメント、事業リスクマネジメント、全社的リスクマネジメントなど様々なものがある。

 このうち重要となる、「全社的リスクマネジメント」(ERM:Enterprise Risk Management)とは、全社の目的に影響を与えるリスクコントロールを通じて達成確度を維持・向上する仕組みや能力のことである。勝俣氏は以下のようなフレームワークを示した。

リスクマネジメントと内部統制

 リスクマネジメントと内部統制の関係について、内部統制は企業の経営者の仕組みであり、戦略を遂行するための従業員や組織のコントロールのルール整備であり、これもリスクマネジメントの活動と連携するものだ。また品質に特化したISO9001(QMS)、環境に特化したISO14001(ESM)、情報セキュリティに特価したISO27001(ISMS)も、リスクマネジメントの全体の枠組みで捉えることができる。

リスクマネジメントレビューの重要性

 ここ数年の企業の事故や不祥事の数はおびただしく、東日本大震災以降の自然災害、地政学リスク、環境リスクなども枚挙にいとまがない。その都度、経営層からは担当者への注意喚起が行われ、BCPやERMの対策が講じられてきた。しかし、問題はこうした施策が長続きしないことだという。特に10年前の東日本大震災の直後には、BCPやリスク演習を導入する企業も増えたが、継続的に実施できている企業は少ない。また、想定外のリスクが勃発しても過去の認識済のリスクへの対応のみに終始してしまっている。年に一度ではなく、四半期に一回程度のリスク対応演習が望ましいが、多くの企業では導入が困難なのが実情だ。

 直近の課題としては、経済安全保障推進法がある。近年の新型コロナウイルスやウクライナ侵攻、サプライチェーンの混乱による民間事業者の重要物資の安定供給などの面からも、対応が求められている。とりわけ地政学リスクに関しては、短期的、中長期的にも対策が必要で、シナリオ分析や、シミュレーション訓練、経営資源分析などの取り組みが必要だ。

 現在企業に求められているのは、過去のリスクから学びつつ、想定外のリスクや新たなトレンドリスク対応を計画することだという。そしてそのために、最も重要なことは「マネジメントレビュー」だ。重大リスクに対して「多くの企業が施策を実施したところで、終始してしまう。その後に必要な視点による評価をおこない、施策の決定や見直しを継続的におこなうことだ」と提言した。経営が担うべき役割と現場が担うべき責任・役割を整理するためのマネジメントレビューの必要項目とモニタリングの方法を以下に示した。

リスク対応計画について

  • そもそもリスク対応のゴール(あるべき姿)が決められてないのではないか?
  • そのゴールはリスクオーナーが決めてないのではないか?

モニタリングの仕方について

  • 単なるリスク対応計画の進捗報告会になっていないか?
  • 単なる事故の報告・共有会になっていないか?
  • 重大リスクや事故の共有をすれば必要な行動をタイムリーに取れると思ってないか?
  • こうした重大リスク対応を通じて振り返りができていないのではないか?
  • リスクマネジメント委員会参加者は、どの視点で評価・発言すべきか実は理解してないのではないか?
  • 視点に合った(焦点の合った)報告資料が共有されていないのではないか?
  • 報告書の振り返りも、「なんとなくできた」「なんとなく課題がある」としか思えない内容になっているのではないか?

リスク情報のアップデートについて

  • 単なるリスク対応計画の進捗報告会になっていないか?
  • 単なる事故の報告・共有会になっていないか?
  • 重大リスクや事故の共有をすれば必要な行動をタイムリーに取れると思ってないか?
  • こうした重大リスク対応を通じて最終的に振り返りができていないのではないか?
  • リスクマネジメント委員会参加者は、どの視点で評価・発言すべきかを実は理解してないのではないか?

 まとめとして勝俣氏は「もっとも重要なのは、マネジメントレビュー。レビューしたいリスクは何か? リスクの何をレビューしたいのかを問いつつ、しっかりと取り組んでもらいたい」と締め括った。

※本記事のニュートンコンサルティングが登壇するイベントが開催されます。
・Security Online Day 2022
・2022年9月16日(金)10:00~17:10
・参加料:無料
・登録:https://event.shoeisha.jp/ezday/20220916

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

京部康男 (編集部)(キョウベヤスオ)

翔泳社 メディア事業部。同志社大学卒業後、人材採用PR会社に就職後1994年から翔泳社に参加。以後、翔泳社の各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在は、嘱託社員の立場でEnterpriseZineをメインに取材・編集・書籍などのコンテンツ制作に携わる。 趣味:アコギ、映画...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16566 2022/09/06 09:31

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング