小宮 豪
プロティビティ ジャパン
シニア マネージャー
前回と前々回で、ERM(エンタープライズ・リスク・マネジメント)における「リスク評価」と「リスク対応」の考え方、進め方について紹介してきました。
今回は本連載の締めくくりとして、こうした取り組みを「定着」させ、全社に「展開」するためのポイントを解説します(図1)。どのようにしたら取り組みが継続的なものとなり、組織に貢献し続けられるかについて考えたいと思います。
“プロジェクト”から“プロセス”へ
第1回で述べたように、ERMの取り組みは、「組織を横断し、事業体の全活動に一貫して組み込まれる」という特徴があります。すなわち、共通の方向性を持って、各組織の業務プロセスとして組み込まれます。
しかし、ERMに取り組めば即座に、共通の方向性を持ってプロセス化できるかというと、そんなことはありません。初めてリスク評価やリスク対応を実施する場合には、リスク・マネジメントに参画するメンバーが共有するリスクモデルやリスク定義などの“共通言語”(第3回を参照)の設定や、各組織で実際に評価や対応を行う社員には、研修やトレーニングをするなど、プロセス化を実現するための様々な準備が必要となります。
このため、当初はリスク・マネジメントの推進部門を中心に、プロジェクトを編成して取り組む企業が多いようです。プロジェクト化しての取り組みには、いきなり最初から全社を巻き込んで大々的に実施するのではなく、対象部門を限定し、パイロットという位置づけで実施する、という側面もあります。
ただ、プロジェクトを編成して取り組んでも、うまくプロセスへ移行できるとは限りません。実際にERMに取り組んだ企業の事例はどうかというと、プロジェクトは完了したものの、継続した取り組みにつなげることができなかったという例が少なくないようです。
その理由は様々です。例えば、経営陣の中でERMに取り組む意識がバラバラであったり、関与者の時間が十分に取れない、といった想定外の難題に直面することが考えられます。このほか、プロジェクトは完遂したものの、その先に進む力が残っていなかった、一通り進めることができて満足してしまった、推進担当者が変わってしまいうまく引き継がれなかった、というケースもあるでしょう。
ERMにおけるリスク・マネジメントは、評価や対応を一度実施したら終わりという類のものではありません。外部環境/内部環境の変化や組織のリスク対応の進捗度合いによって、リスクが新しく生じたり、リスクの重要性が変化したりします。かなり以前に実施したリスク評価に基づいてリスク・マネジメントを進めているうちに、既に重要でなくなったリスクに対して、限られた資源の多くを割いている、といった事態になりかねません。
かといって、プロジェクトの形態で継続していくのは、一般的にコストが高くつくものです。また、外部コンサルタントに依存していると、自社内にノウハウを蓄積できないという課題も残ります。こうした点を考慮すると、「最初のうちはプロジェクト形式とし、徐々に業務の一部としてプロセスに移行する」というのが、最も合理的な取り組み方法だと考えます。
“差分”に注目した効率化の工夫を
リスク・マネジメントを継続することについて「毎年そんなに大きな負担をかけることはできない」と考える経営者もいます。確かに、前述のようなプロジェクトを組むとそれなりの費用がかかりますが、果たして次回以降も同様なのでしょうか。
多くの場合、プロジェクトで作成した共通言語やツールはそのまま利用できるはずですし、大幅な見直しをしない限り、学習効果も期待できるはずです。リスクの評価に関しては、2回目以降は前回との“差分”のみが分かればいいのですから、負荷はかなり減るのではないでしょうか。実際、ある会社ではリスクマップを3年に1回の頻度で作成し、その間はリスクの変化に着目したワークショップを実施する、といったやり方をしています。
事業環境が激しく変化しないような業態であれば、このような方法が有効です。逆に、1年で環境が大きく変化するような業態であれば、毎年リスクマップを改訂すべきでしょう。このような自社に適した工夫をすることが非常に重要です。
変化に着目して事足りるのは、ERMがまさに継続的な取り組みだからです。前回のリスク評価から間が空いてしまった場合には、変化を追うというよりも、リスク評価をやり直す形になるでしょう。
