小宮 豪
プロティビティ ジャパン
シニア マネージャー
前回は「ERMにどう取り組むか」というテーマで、現状のリスク・マネジメントの課題を踏まえ、ERMへの取り組みを三つのステップ(図1)に分けてご紹介しました。三つのステップとは、「リスクを知る」「リスクへの対応を考える」「取り組みを定着・展開する」です。
これから3回にわたり、ステップごとに、実務上の観点から必要とされる要素と、実施に当たってのポイントを紹介していきます。今回は「STEP1:リスクを知る」について解説します。
最初の一歩は「組織として管理すべき重要なリスク」の把握
リスク・マネジメントに取り組むのに当たっては、まず組織として管理すべき「重要なリスク」が何であるのかを識別する必要があることは説明するまでもないと思います。
読者のなかには、改めて問われるまでもなく、重要なリスクの把握などできているとお考えの方もいるでしょう。確かに日々業務をこなしていくなかでは、意識的に、または、無意識のうちに、リスクを考慮しているでしょう。
しかし、そのようなリスクはかなり主観的なものであり、組織としてリスク・マネジメントに取り組むうえでのリスクとして整理できているかと言うと、必ずしてもそうではありません。客観性や網羅性があるか、共通認識されているか、といった点で不十分なケースが多く見られます。
そこで、ERMの具体的な取り組みとしては、まず「組織として管理すべき重要リスクの識別」から始めることになります。このステップは大切であり、決して疎かにすることはできません。ここで識別されたリスクが、その後に続くリスク・マネジメント・プロセスの対象となるからです。いい加減な判断をして、本当に重要なリスクが検討対象から抜けてしまうようなことになれば、リスク・マネジメントの取り組み自体が意味の無いものになり兼ねません。
成否を左右するリスク洗い出しの“下準備”
「リスク・マネジメントの本を読み、見よう見まねで実施したものの、期待した結果が出なかった」。「体裁だけは何とか整えたけれど、それ以降の組織的なマネジメントがなかなか進まず、リスク評価をしただけで終わってしまった」。
リスク・マネジメントの導入に取り組んでいる企業から、こんなお話をよく聞きます。いったい何がいけなかったのでしょうか。
リスクを知るためには、「網羅的にリスクを特定し(洗い出し)たうえで、そのリスクを評価し、重要なリスクを識別する」ことが必須です。ところが上記のようなケースでは、いきなりリスクの洗い出しに取りかかり、本来その前に必要とされる下準備がされていなかった、ということが多いように感じます。地味な作業ですが、下準備による“地ならし”の出来が、その後のリスク・マネジメントの成否に大きな影響を与えます。
では、下準備としてどんな作業が必要なのでしょうか。例として、筆者が企業の取り組みを支援する際に実施している、3段階の準備作業を紹介しましょう。すなわち「プロジェクトアプローチの定義」「リスクの共通言語の設定」「リスクの特定と評価」です(図2)。
プロジェクトアプローチの定義:目的を明確にして、意識付けをする
経営者や現場の責任者/担当者に、あなたの会社、もしくは部署のリスクを挙げてみてください、と言ったら、それぞれが日頃から頭を悩ませているものを、いくつも挙げることができるでしょう。しかし、そもそも「何のためにリスク・マネジメントをするか」「リスクとは何か」といった、前提となる基本的な考え方が共有されていなければ、挙がってくるリスクは、テーマもレベル感もバラバラになってしまいます。
こうした事態に陥らないためには、まずリスク・マネジメントの目的をはっきりさせることが重要です。例えば「会社の持続的発展のため」「中期計画のブレを最小化するため」というように、具体的な目的を設定する必要があります。
併せて、どのレベルの組織を対象としてリスク・マネジメントに取り組むのか、その範囲も決めておきます。企業グループ全体としてリスクをとらえるのか、グループ内の個社としてリスクをとらえるのか、といったことを、企業グループのガバナンスや事業のリスク・プロファイルの違いによって決定します。事業計画を対象とする場合には、組織に関して、事業計画の策定単位とERMの実施単位とを整合させなくてはなりません。
目的の明確化には、もう一つ重要な点があります。それは、目的の設定いかんによってリスク評価の“軸”が変わってくる、ということです。この点については、後述のリスクマップの説明の際にご説明します。
