90年代以降、経済社会の変化は、それまでと本質的に違うレベルのスピードに変わった。一夜にして伝統ある名門証券会社が消滅したし、米国のエンロン社もまた一夜にして消えた。近時、こうした例は枚挙にいとまがない。これらの企業には、ひとつの共通点が見られる。それは、リスクマネジメントに対する認識が不足していたことである。
一般に、リスクマネジメントというと、後ろ向きなイメージが抱かれがちである。しかし、ディフェンスのないサッカーではフォワードは機能しないがごとく、企業が攻めの経営をするには、避けては通れない。攻めの経営を進めていくなかで、企業は必ずリスクに遭遇することになるからである。
積極的にリスクを認識して対策を講じていける企業でなければ、攻め続けることはできない。その結果、結局は消え去る運命にあると言っても過言ではあるまい。
図1に示したのは一般的な情報ガバナンス/リスク管理の概念図である。情報のビジネス活用とリスク管理は車の両輪であり、片方だけということはありえない。リスクマネジメントなくしては、積極的なビジネスは、単なる無謀にすぎないし、攻めのビジネスなきリスクマネジメントは不毛である。
さて、このフレームワークでは、リスク管理はさらに「コントロール」と「ファイナンス」に分かれる。コントロールとは、いかにリスクを制御するかということであり、ファイナンスとは、金融的手段を用いていかにリスクをカバーするかということである。
コントロールは、さらに技術的対策と非技術的対策に分かれる。情報ベンダーの多くは「技術」を「商品」として提供するため、どうしても提案がリスクコントロールの技術的対策に偏りがちだが、教育などの非技術的対策や、保険をかけたほうが安いようなものに関して、そこまでの技術的対策をするのはもちろん得策ではない。コストパフォーマンスを考えた、両者のバランスが重要である。
図2は、一般的な形で、リスクマネジメントをプロセスに落とし込んだものである。
まず行われるのは、リスクの洗い出しと分析である。リスクは、強度(リスク発生時、どれだけ深刻な事態を引き起こすか)、頻度(リスクはどれだけの可能性で発生するものか)といった評価抜きでは適切な方策を打ち出すことはできないから、強度、頻度を2 軸としたリスクマトリックスにマッピングして、評価を行う必要がある。その上で、それぞれのリスクに対して強度・頻度を減らすために、どのようなリスク対策を講じるかが検討されなくてはならない。
しかし、リスクはすべてが予見可能なものではないから、いかにこうした手法でリスク対策を講じようとも、カバーしきれないリスクは残る。これらは、保有という選択肢をとることになり、引当金を積むなどの準備をすることになる。場合によっては、キャプティブ保険を設定するといったことも考えられるであろう。
このように、リスクマネジメントは、それを行うことによってリスクをなくすことが目的ではない。どんなに対策を行おうと、リスクは発生しうるという認識の下で行うものである。重要なのは、経営者が残存リスクを認識し、事故発生後の危機管理をあらかじめ考えておくことである。具体的には、マニュアルの整備やリハーサルといったコンティンジェンシープランの用意がこれにあたる。
世界のエクセレント企業で、リスクマネジメントを軽視しているところは皆無といってよい。欧米企業の内部監査体制と比べれば、日本企業のそれは、まだまだ脆弱であると言わざるを得ない。
今後、日本の企業がグローバル化する経済のなかで生き残っていくには、リスクマネジメントの重要性を再認識し、フレームワークと体制という抜本的なところから再構築していくことが求められるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR