本連載第1回では、ビジネスの成長とビジネスリスクマネジメントは表裏一体の関係にあり、リスクをビジネス戦略に関連づけ、アカウンタビリティ(説明責任)、コラボレーション、分析、可視性、効率性を企業全体で実現するための「リスクマネジメントプログラム」を構築することで、ビジネスの成長を促進し、リスクマネジメント自体の投資収益率(ROI)だけでなく、全体的なビジネスパフォーマンスの向上にも資することができると述べた。

 本稿では、リスクマネジメントプログラムを準備、計画、実行する上での“障壁”とその対策について、調査結果や事例を交えて解説したい。

リスクマネジメント活動におけるギャップ

 リスクマネジメント活動について語るとき、経営陣とリスク管理者の間には、認識の大きなギャップが存在することが多いのではなかろうか。

 つまりは、リスクマネジメントについて経営陣が語るとき、その興味は、いかにしてビジネスリスクへ対応していくべきか、具体的には、売上や利益、コストや株主への期待に対する不確実性をマネジメントし、事業を永続的に成長させていく“ゴーイングコンサーン”であったり、ビジネスを遂行する上での法的な影響や株価への影響などの“ビジネスインパクト”を最低限に抑えることであったりする。そして、最終的にリスクが顕在化した場合には、リスク対応が適切か、ステークホルダーへの対応は十分か、監督官庁への対応は適宜適切か―などをマネジメントする“アカウンタビリティ”が重要であると考えている。

 一方で、リスクマネジメントについてリスク管理者が語るとき、その興味は、各々の責任範囲に限定されてしまう。例えばコンプライアンスリスクのオーナー(責任者)であれば、J-SOX法や個人情報保護法などの法令対応は適切か、オペレーショナルリスクのオーナーであれば、事故件数、人による過誤やオペレーションプロセスの欠陥が適切にマネジメントされているか、そして、セキュリティリスクのオーナーであれば、バッファオーバーフロー、SQLインジェクション、サービス拒否攻撃などへの対策は十分かなど、限定された範囲における個別最適化された活動に終始してしまう。

リスクの考え方 現場と経営とのギャップを越える