災害という観点からも歴史を振り返ると、東日本大震災にしても熊本地震にしてもずっと起こると言われてきました。新型コロナにしても2003年にＳＡＲＳを経験していますから全く予想外とは言えません。ウクライナ戦争にしても昨年の地政学リスクランキング第５位。*１データ改ざん、サイバー攻撃も以前から指摘されています。

経営者は単に上がってきた報告を眺めて通り一遍の会話をする状態になっていませんか、と問いたい。例えば、災害であれば、大地震の直後ならしていた訓練を次第にしなくなってしまう。シンプルにわかっているリスクに対してのコミットメントが弱いんじゃないかと思います。あるべき姿を真剣に考えていない。

大体どの企業も1年に1回、全社一斉にリスクアセスメントはしています。ただ、今、昨今の不確実性のいろいろなスピード、環境変化を捉えると、それでいいのかどうか。今見ているリスクで本当に十分なんだっけ？といったモニタリング、レビューができていないのだと思います。今月は、何件事故が起こりました、コンプライアンス違反がこれだけありました、内部統制通報件数がこれだけありました、多分そういう起きた事故の話はあっても、自分達が経営上の目標とする登りたい山に登れたのか、モニタリングがちゃんとできているのかどうかを立ち止まって振り返っていない。例えば、売上１兆円を目指して出来なかった場合、リスクマネジメントの観点からどうだったのか、といった振り返りがありません。

リスクって何？といった会話をよく企業でします。その際、何の目的に影響を与えるリスクかは、言わなくても分かるでしょ、といった形で会話が成立してしまうことがあります。ところが、目的というのは、立場、役職、担っている役割とかが変われば、全部、全く異なる。そこを不明確にしたまま会話を進めれば、当然、ミスコミュニケーションが生まれる要因になるわけです

当社が提唱しているエンタープライズリスクマネジメント（ERM）というのは、大体1年に1回、11月とか1月に全社一斉にリスクアセスメントをして、四半期に1回、リスクマネジメント委員会でその重大リスクに対する対応計画の進捗確認をする、これが典型的な形。でも、それをやっていると、ロシア、ウクライナとか、新型コロナなど突発的に大きな事象が発生したときに、数か月前にやったリスクアセスメントって意味あるの？となってしまいます

ある企業は、クライシスルーレットを作っています。七つの危機事象をルーレットに書いて、ルーレットで出た目に関して、15分、30分、部門長と議論する。それによって、今、自分たちの組織って十分なのか十分じゃないのかというリスクの再評価ができるようにしています。1時間とか2時間とか3時間とか取る必要はないんです。世の中にはいろいろな分析手法がたくさんあり、時間をかけずにできます。年1回、四半期に1回、単に「対応、対策やっているの？」、「ああ、そうか、やれているの。OKだね」だけではなく、5分とか10分使って簡単に別の視点から分析をしてみたり、評価をしてみたりする。うまく工夫していくとリスクマネジメントも面白くなります。

組織には階層があって、組織別にいろいろな目的・目標があります。会社全体の目標もあれば、事業本部、あるいは部、課、チーム、そういう単位でミッションなり目的・目標がある。全社が掲げる目的・目標、そこの不確実性をちゃんとコントロールして目標達成をできるようにしましょうという仕組みができればいい。

スリーライン・ディフェンスモデルをご紹介しましょう。これは、一線、二線、三線の考え方で、一線のディフェンスラインである直接部門は、業務部門こそがリスクマネジメントの責任者で、単にお客さまに納品するために業務をするだけじゃなくて、そこに関わるリスクは自分たちが出して、自分たちがマネージする。第二のディフェンスラインである間接部門は、それをサポートする立場。第三のディフェンスラインは、内部監査は、客観的な目で見て、「いや、その回し方はまずいよね」、「これ、やれてないよね」と横串を刺した有効性の評価をするような仕組みです。

現時点で内部監査役は組織における問題を十分指摘できないといえます。理由は、知識不足、役割認識不足。内部監査の視座を上げていくことが今後の課題ともいえます。当社としてもレビューの質が高まるように情報を提供していきたいと思います。