PR

「危険があるから気を付けて」とは言わない

「リスクマネジメント」をどう意味で使っているか。

 経営者が成果を上げるために、ある程度の危険を覚悟で前に進み、失敗しないようにうまく舵取りをすること、でしょうか。私のビジネスは、情報を守るためのソフトとサービスを顧客に提供するとともに、リスクをとる自信を顧客に与えることです。

(写真:菅野 勝男)

 顧客を訪問した際、「ぜひともリスクをとってください。我々が手伝いますから」と申し上げています。「こういう危険があります、気を付けてください」とは言いません。

 リスクは常に存在します。ですから問題はリスクにはないのです。問題はリスクをマネジメントせずに、無謀な活動をしてしまう点にあります。今回の経済危機を招いた金融サービス業は、リスクは確かにとったわけですが、慎重にリスクをマネージしなかったため、向こう見ずになってしまった。

 問題は失敗にもありません。リスクをとって失敗したとしても、そこから学び、次の機会に成功すればいいのですから。リスクをとって失敗しなければ学ぶこともできません。

それではリスクをどのようにマネジメントすればいいのか。

 リスクを見極めた上で、経営として判断していくことです。こう答えると多くの顧客から「言うことは理解できる。だが、どうやってリスクを定量化すればいいのか」と質問されます。確かに、リスクを見極めることは難しい。

 まず、トランザクションを含む情報とそれを扱う業務プロセスを見わたして、脆弱性がどこにあるかを考えてください。脆弱性があれば、それが問題になる確率を次に考えます。もちろん、数学的に処理できる話ではありません。最後は経営の判断になります。

 例を一つお話ししましょう。当社がある企業を買収しようとしたときのことです。当社が相手企業の業務プロセスを調べたところ、情報に関する脆弱性が発見されました。報告してきたチームのメンバーに私は「問題があります、と言うだけではなくて、問題を定義する手伝いをしてほしい」と伝え、次のようなやり取りをしました。

 「その脆弱性は深刻か?」「かなり深刻です」「実際の問題として発生する確率は?」「それほど大きくはないです」「このまま買収に踏み切ったとして、どのくらいの期間でその脆弱性を修正できるのか?」「3~6カ月いただければ」。

 ここまで話をした上で、私は「買収に踏み切る。脆弱性に関しては3カ月以内に修正してほしい」と指示しました。結局、その脆弱性による問題は起こらず、 3カ月以内に修正でき、無事買収を終えることができました。このように、ビジネス側、マネジメント側の人間とテクノロジー側の人間が対話することが欠かせません。