　90年代以降、経済社会の変化は、それまでと本質的に違うレベルのスピードに変わった。一夜にして伝統ある名門証券会社が消滅したし、米国のエンロン社もまた一夜にして消えた。近時、こうした例は枚挙にいとまがない。これらの企業には、ひとつの共通点が見られる。それは、リスクマネジメントに対する認識が不足していたことである。

　一般に、リスクマネジメントというと、後ろ向きなイメージが抱かれがちである。しかし、ディフェンスのないサッカーではフォワードは機能しないがごとく、企業が攻めの経営をするには、避けては通れない。攻めの経営を進めていくなかで、企業は必ずリスクに遭遇することになるからである。

　積極的にリスクを認識して対策を講じていける企業でなければ、攻め続けることはできない。その結果、結局は消え去る運命にあると言っても過言ではあるまい。

リスク管理のフレームワーク

　図1に示したのは一般的な情報ガバナンス／リスク管理の概念図である。情報のビジネス活用とリスク管理は車の両輪であり、片方だけということはありえない。リスクマネジメントなくしては、積極的なビジネスは、単なる無謀にすぎないし、攻めのビジネスなきリスクマネジメントは不毛である。

　さて、このフレームワークでは、リスク管理はさらに「コントロール」と「ファイナンス」に分かれる。コントロールとは、いかにリスクを制御するかということであり、ファイナンスとは、金融的手段を用いていかにリスクをカバーするかということである。

　コントロールは、さらに技術的対策と非技術的対策に分かれる。情報ベンダーの多くは「技術」を「商品」として提供するため、どうしても提案がリスクコントロールの技術的対策に偏りがちだが、教育などの非技術的対策や、保険をかけたほうが安いようなものに関して、そこまでの技術的対策をするのはもちろん得策ではない。コストパフォーマンスを考えた、両者のバランスが重要である。

　図2は、一般的な形で、リスクマネジメントをプロセスに落とし込んだものである。

　まず行われるのは、リスクの洗い出しと分析である。リスクは、強度（リスク発生時、どれだけ深刻な事態を引き起こすか）、頻度（リスクはどれだけの可能性で発生するものか）といった評価抜きでは適切な方策を打ち出すことはできないから、強度、頻度を2 軸としたリスクマトリックスにマッピングして、評価を行う必要がある。その上で、それぞれのリスクに対して強度・頻度を減らすために、どのようなリスク対策を講じるかが検討されなくてはならない。

　しかし、リスクはすべてが予見可能なものではないから、いかにこうした手法でリスク対策を講じようとも、カバーしきれないリスクは残る。これらは、保有という選択肢をとることになり、引当金を積むなどの準備をすることになる。場合によっては、キャプティブ保険を設定するといったことも考えられるであろう。

　このように、リスクマネジメントは、それを行うことによってリスクをなくすことが目的ではない。どんなに対策を行おうと、リスクは発生しうるという認識の下で行うものである。重要なのは、経営者が残存リスクを認識し、事故発生後の危機管理をあらかじめ考えておくことである。具体的には、マニュアルの整備やリハーサルといったコンティンジェンシープランの用意がこれにあたる。