企業不祥事、大地震、新型コロナ、ウクライナ戦争は想定外か リスク対応の失敗はなぜ繰り返される
![](https://newsatcl-pctr.c.yimg.jp/t/iwiz-yn/rpr/ishikawakeiko/00307656/title-1659230647832.jpeg?exp=10800)
これまで1,800社のリスクマネジメントに関する支援を行ってきたニュートン・コンサルティング株式会社は、7月21日にプレスセミナーを開催し、企業のリスクマネジメントに関して現在生じている課題について解説。大震災や新型コロナといった社会的リスクだけではなく、レオパレスの施工不備、ベネッセの個人情報流出、マンションや自動車会社のデータ改ざん、三菱電機の長年に渡る品質不正、三幸製菓の建物火災など、近年の不祥事一覧表を見ながら「全く想定外だったのか!?」と疑問を投げかけ、平時のマネジメントにおける問題点を指摘しました。
レビューが形骸化していないか
同社の取締役副社長 勝俣良介氏は、この10年間を振り返り、企業不祥事、大地震、新型コロナ、ウクライナ戦争、いずれも全く想定外かといえばそうではないと指摘。
災害という観点からも歴史を振り返ると、東日本大震災にしても熊本地震にしてもずっと起こると言われてきました。新型コロナにしても2003年にSARSを経験していますから全く予想外とは言えません。ウクライナ戦争にしても昨年の地政学リスクランキング第5位。*1データ改ざん、サイバー攻撃も以前から指摘されています。
認識済みのリスクであるにもかかわらず、対応の失敗を繰り返しているように見えてしまいます。
経営者は単に上がってきた報告を眺めて通り一遍の会話をする状態になっていませんか、と問いたい。例えば、災害であれば、大地震の直後ならしていた訓練を次第にしなくなってしまう。シンプルにわかっているリスクに対してのコミットメントが弱いんじゃないかと思います。あるべき姿を真剣に考えていない。
問題は、振り返りの形骸化、慣例化、惰性化にありそうです。
大体どの企業も1年に1回、全社一斉にリスクアセスメントはしています。ただ、今、昨今の不確実性のいろいろなスピード、環境変化を捉えると、それでいいのかどうか。今見ているリスクで本当に十分なんだっけ?といったモニタリング、レビューができていないのだと思います。今月は、何件事故が起こりました、コンプライアンス違反がこれだけありました、内部統制通報件数がこれだけありました、多分そういう起きた事故の話はあっても、自分達が経営上の目標とする登りたい山に登れたのか、モニタリングがちゃんとできているのかどうかを立ち止まって振り返っていない。例えば、売上1兆円を目指して出来なかった場合、リスクマネジメントの観点からどうだったのか、といった振り返りがありません。
数字の報告だけでその背景にある問題を議論しない。かんぽ生命の不適切販売やスルガ銀行の不正融資の第三者委員会も「問題が立ち消えになっていた」と同じような指摘をしています。何となく会議をしておしまい、の様子を報告書は浮き彫りにしていました。*2
リスクって何?といった会話をよく企業でします。その際、何の目的に影響を与えるリスクかは、言わなくても分かるでしょ、といった形で会話が成立してしまうことがあります。ところが、目的というのは、立場、役職、担っている役割とかが変われば、全部、全く異なる。そこを不明確にしたまま会話を進めれば、当然、ミスコミュニケーションが生まれる要因になるわけです
「何のため?」といった視点はリスク討議には欠かせない。日本語はそもそも主語が曖昧で、何となく会話が進んでしまうことがあります。それが一種のリスクになってしまうと指摘。毎回繰り返して問う、確認することが認識のずれやミスコミュニケーション回避につながるといえます。
当社が提唱しているエンタープライズリスクマネジメント(ERM)というのは、大体1年に1回、11月とか1月に全社一斉にリスクアセスメントをして、四半期に1回、リスクマネジメント委員会でその重大リスクに対する対応計画の進捗確認をする、これが典型的な形。でも、それをやっていると、ロシア、ウクライナとか、新型コロナなど突発的に大きな事象が発生したときに、数か月前にやったリスクアセスメントって意味あるの?となってしまいます
リスクマネジメントを日常的に続けるコツ
重大リスクに関する討議頻度を高めれば解決するのでしょうか。勝俣氏は短い時間であっても日常的に部門長との議論を習慣化するのが有効だと強調。
ある企業は、クライシスルーレットを作っています。七つの危機事象をルーレットに書いて、ルーレットで出た目に関して、15分、30分、部門長と議論する。それによって、今、自分たちの組織って十分なのか十分じゃないのかというリスクの再評価ができるようにしています。1時間とか2時間とか3時間とか取る必要はないんです。世の中にはいろいろな分析手法がたくさんあり、時間をかけずにできます。年1回、四半期に1回、単に「対応、対策やっているの?」、「ああ、そうか、やれているの。OKだね」だけではなく、5分とか10分使って簡単に別の視点から分析をしてみたり、評価をしてみたりする。うまく工夫していくとリスクマネジメントも面白くなります。
確かにゲーム性を取り入れていく方法は、継続するためには有効に見えます。
組織には階層があって、組織別にいろいろな目的・目標があります。会社全体の目標もあれば、事業本部、あるいは部、課、チーム、そういう単位でミッションなり目的・目標がある。全社が掲げる目的・目標、そこの不確実性をちゃんとコントロールして目標達成をできるようにしましょうという仕組みができればいい。
経営とリンクさせて日常的な目的・目標の中に自然と取り入れるには新たなマインド設定が必要になるのでは。
スリーライン・ディフェンスモデルをご紹介しましょう。これは、一線、二線、三線の考え方で、一線のディフェンスラインである直接部門は、業務部門こそがリスクマネジメントの責任者で、単にお客さまに納品するために業務をするだけじゃなくて、そこに関わるリスクは自分たちが出して、自分たちがマネージする。第二のディフェンスラインである間接部門は、それをサポートする立場。第三のディフェンスラインは、内部監査は、客観的な目で見て、「いや、その回し方はまずいよね」、「これ、やれてないよね」と横串を刺した有効性の評価をするような仕組みです。
![ニュートン・コンサルティング提供](https://newsatcl-pctr.c.yimg.jp/t/iwiz-yn/rpr/ishikawakeiko/00307656/image-1659230035428.png?fill=1&fc=fff&fmt=jpeg&q=85&exp=10800)
内部監査が要になりそうですが、企業の内部監査役は役割を果たせるのでしょうか。
現時点で内部監査役は組織における問題を十分指摘できないといえます。理由は、知識不足、役割認識不足。内部監査の視座を上げていくことが今後の課題ともいえます。当社としてもレビューの質が高まるように情報を提供していきたいと思います。
織田裕二主演ドラマ「監査役 野崎修平」(漫画原作:周良貨)では、監査役が幹部の不祥事関して単独記者会見を行うシーンがありました。原作は20年以上前の作品ですが、内部監査のあるべき姿を描いていた点は先見性があります。日本大学理事長が昨年逮捕された後の12月の記者会見では、監事(監査役)が記者会見に登壇しました。監事になって1年以上経つのに、「1年半前になったばかり」と逃げの姿勢で説明は充分ではありませんでしたが、今後のリスクマネジメントは内部監査役の活躍にかかっているのかもしれません。
*1 Top Risks 2022 from Eurasia Group(2022年1月3日発表)
https://www.eurasiagroup.net/services/japan
*2 社長が「驚いた」と言っている場合ではない 現場の声と苦情が届かなかったかんぽ生命
https://news.yahoo.co.jp/byline/ishikawakeiko/20200420-00173032