経営者の意識とリスクマネジメントの本質

経営者はサイバーリスクなどのサプライチェーンリスクに対して、どのように対処していくべきなのか――。

まず、注意すべきなのは、リスクそのものの捉え方である。現在の社会にはさまざまなリスク同士が連関しているので、あるリスクを最小化すると別のリスクが大きくなるという構造になっている。つまり、個別のリスクだけを取り上げそれに対処しても、全体最適化にはならないという社会のリスク構造があるのだ。

また、これまでの日本的経営では、過去の「失敗に学ぶ」ことが推奨されてきたが、それは単なる再発防止策であって、リスクマネジメントではない。

「リスクマネジメントは未来の可能性を考えること。再発防止は過去しか見ず、過去の痛みをリスクと読み替えているだけ。何が起こる可能性があるのかを先取りし、リスクを体系的に捉えることがリスクマネジメントの本質です」と野口客員教授は断言する。

サイバーセキュリティーリスクに関しては、専門部署が自分の専門性だけで対応するという形ではなく、経営者が、サイバーリスクを組み込む形で重要な経営リスクとして対応をしなければならなくなっている。サイバー担当者に任されていたリスク判断に、経営者の視点が必要になっている。

その際に必要なのは「論理力」だ。

「ある機能を持つものを使っていたら、どんなリスクが想定されるか、ということは論理的に導き出せます。経営会議で自社にとっての重要なリスクは何かを話し合い、そのうち、サイバー機能に関連するリスクを分析し、問題が生じたときにどういう機能が失われるかを検討しリスク対応の重要性を決める。個社ごとにそれぞれ自社にとっての重要なリスクを、そしてサプライチェーンでは、サプライチェーンとして重要なリスクを特定することが大事です」と野口客員教授はアドバイスする。

そこで、重要なのは、許容できるリスクと許容できないリスクを弁別していく。つまり、意思を持ってリスクを選択し、受け入れるリスクを明確にするということだ。いわゆる「リスク共生」の考え方である。本来は、サイバーリスクが重大な影響を持つような状況によれば、サイバーの有効性だけではなく、自社で運営できるレベルを考えて運営するサイバーシステムを選択することも重要になる。

サプライチェーンという大きなものを守るには、それに見合う努力が必要だ。

事業で求める価値が大きいほどリスクも大きくなる。それを守るには、再発防止策のように「過去の失敗に学ぶ経営」ではなく、「未来の可能性を考える経営」に変わる必要がある。

サプライチェーンリスク、サイバーリスクの対策をリスクマネジメントとして行うことは、自社のマネジメントを強化し、より強い経営力を獲得するチャンスでもあるのだ。