リスクマネジメントの「形式化」を防ぐ!-現場力向上のポイント8選-
はじめに
目下のコロナ情勢上、日本の各社では事業継続リスクをはじめ在宅ワークの広がりによるセキュリティリスク、オペレーションリスク、ソーシャルディスタンス要求下での従業員の健康リスク等新たに識別・対応すべきリスクが溢れている状況です。
様々なリスクマネジメント活動に取り組む会社も、近年増えていますが、この機に自社のリスク管理態勢を見直すこともよいのではないでしょうか。
活動の初期はともかく、段々とリスクマネジメント活動が形式化・陳腐化していくことに悩む方もおられると思います。
ここでは下記のような活動をしている事業会社を念頭に、筆者が見聞きしたなかでリスクマネジメント部門が会社全体の活動を有効にするために、各階層に対して「仕掛け」る制度設計や活動のポイントを具体的な事例とともに紹介します。
【想定する状況】
・「リスク管理規程」などのリスクマネジメントの基本的なルールが策定されている
・「リスク管理部」などの全社的にリスク管理活動をサポートする部門がある
・リスク管理部が提供するフォーマットをベースに、各現場部門が主導的にリスクの特定・分析・評価を行いリスク対応を行っている
役割別のポイント
経営者向け対応ポイント
①経営者としての明確なコミットメント
リスクマネジメントの国際規格としてISO31000があります。2009年に第1版が出ていますが2018年に9年ぶりに改定がされました。これを受けてJISQ31000が2019年に発効しています。
これを受けた経産省のコメントを引用します。
『JIS Q31000 は、リスクマネジメントについて、あらゆる業態及びあらゆる規模の組織において、リスクに対する最適な対応を行うための指針を示すものであり、あらかじめ目的を設定し、これを達成するために、組織の意思を決定し、パフォーマンスを改善することで、組織における価値を創出し保護するための活動として規定しています。』
『今回の改正では、これまでの“担当者による個別のリスク管理”から “経営者による経営目的に沿ったリスクマネジメント”を目指す指針としました。』
出展:[リスクマネジメントの指針に関する JIS 改正](平成31年1月21日)
https://www.meti.go.jp/press/2018/01/20190121001/20190121001-4.pdf
リスクマネジメントが組織のビジョン・ミッションの実現に寄与するものである以上、経営者がコミットメントと意思を示すことは不可欠です。
リスクマネジメントの対象と目的は何か?どこまでやるのか?許容できるリスクと許容できないリスクは何か?
こうした問いに対して指針を示すことができるのは経営者だけです。
リスクマネジメントへの意思と決意を示されない限り、予算上の目標を負う各部門はリスク管理に積極的に動くことは難しいです。また各部門間の利害衝突時に適切な判断をする指針がないことは混乱を生みます。
②従業員に向けたメッセージ
明確なコメットメントや意思を固めても、それを社内に浸透させるには経営者が自ら発信するメッセージが必要です。
経営会議やリスク管理委員会で決定された対応方針が、一担当者が社内allメールで周知するのと、経営者自身が直接語り掛けるのはどちらが有効でしょうか。自身に置き換えると明確に後者であることが分かると思います。
また社内に広く伝達するうえでは、分かりやすい形で繰り返し語ることも必要です。実務的には下記のような形式で基本的な対応方針や重視するリスクについて、メッセージを出すとよいでしょう。
・「全社朝礼」「社員会」のような全従業員向けの場でのスピーチ
・ビデオメッセージ形式の配信
・社内のポータルページや社内広報誌など、社員向けの文字媒体での説明
・経営者自身が送信する全従業員向けのメール
「うちの社員はしっかりと自分で考えて行動できる」と思い、特段のメッセージはいらないと考える方もいるでしょう。
しかし経営者自身の言葉・考えがあるか/ないかは、想像以上に絶大な影響があります。内部統制で最も重要なのは「統制環境」つまり組織風土や経営者姿勢であることを今一度思い出してください。
マネジメント向け制度設計のポイント
経営者が明確な方針とメッセージを発しただけでは有効性は保てません。次は各フロント部門やバックオフィス部門を統括する執行役員・本部長等のエグゼクティブマネジメントが適格な対応を主導していく必要があります。
各マネジメントの意識や性格に左右されないように、「仕組み」として実効性を担保することが重要です。
③リスクマネジメント目標の設定
ビジネス上のKPIに基づく期間目標をマネジメントは持ちますが、同様にリスクマネジメント上の目標も設定し、期間内に対応について評価する仕組みは有効な仕掛けの一つです。例えば、次のような表現での目標を持つことがあります。
・「重要視するリスクの顕在化を適切に予防するため、所管部門内を適切に指導を行う」
・「重要なリスクに関連する事故の発生率を前年から25%低減する」
半期又は年次でこれら目標の達成度について、経営者及びリスクマネジメント部門と協議のうえ評価を受けます。
これによりある種の健全なプレッシャーを付加するとともに、PDCAとしての適切な振り返りを行い、次の改善につなげることができます。
④予算措置・リソースの確保
リスク評価の結果、影響や発生可能性を低減することが必要になる等、リスク対応の計画を策定することがあります。
こうした際、必ず予算の措置をとってもらうことが重要です。予算上の見積りがない活動は途中で骨抜きになってしまったり、ごく簡単な運用改善等で本質的なアップデートにならないケースも多々あります。
翌年度の事業計画や予算策定の際、本格的なリスクアセスメントとは別にプレアセスメントを行い、重要なリスクやそれに関わる対応や概括的な費用感を見積り予算に計上するなどの措置が有効です。
もし費用をそれほど伴わない運用改善が中心になる場合は、専任の人材等リソースの確保を行い、翌年度から走り出せる態勢を確保することが求められるでしょう。
⑤適切な階層にあるリスクマネージャーの任命
マネジメントは重要リスクへの対応をするための環境整備と指導をしますが、部門内で一連のプロジェクトを推進するには、適切な人員のアサインが必要です。
こうした「リスク対応の推進責任者」を選定する際は、部長又はリーダー等のマネージャークラスの人員を選ぶことが実務上は重要です。
リスク対応を推進するには、ビジネス活動と一定の調整が必要であったり、リスク許容度の判定等の難しい判断が必要になります。また関係部門の役職者の多くを巻き込みながら進めるため、仮に優秀であっても若手社員などが責任者として進めることは「貫目」が足りずどうしても困難な面があります。
少なくとも直接の責任者は一定の階層から識見・適正のある人材を選び、その補佐役として若手や中堅の優秀な社員をアサインするなどが良好なバランスでしょう。
現場部門や社員に向けた制度設計のポイント
リスクマネジメント活動の実際の担い手は、各事業部門等の現場組織とそこで働く社員です。
現場が意欲的かつ楽しく活動してこそ、初めてリスクマネジメントは実効性を持つといえます。ここではリスクマネージャー以下一般社員向けの施策例を紹介します。
⑥個人目標へのリスクマネジメント活動の取り込み
現在人事評価制度に目標管理を組み込んでいる会社は非常に多いと思います。
設定した目標に対して期末に振り返りを行い、達成度を評価するとともに、結果が昇格(昇給)や賞与の係数に反映される仕組みです。
リスクマネージャーやその補佐役等部門内でのリスクマネジメント活動の中核となる人材は、先ほどのマネジメント層と同様に個人目標の中に、リスクマネジメント活動に関わる目標を設定することが望ましいです。
これにより活動が単なる「ボランティア」から「業務・仕事」に変わり、より実効性を持つことが出来ます。
⑦報奨制度・賞賛機会
いくら大義名分があっても人間なので、いくら仕事でも、誰からも注目されなかったり評価されなければ、意欲を保持し続けることはできません。
良好な活動への賞賛やインセンティブ、それが広く社内に知られる機会があることで、現場力を高める一助になります。
具体的な施策例は下記があります。
・優れた取り組みをしている部門や個人への、全社朝礼等の社員が注目する場での表彰
・優れた取り組みをしている部門や個人への、社内広報誌やオウンドメディアへの掲載
・リスクマネジメント活動や取り組みの事例発表会
-この際審査員に役員を招聘したり、優秀賞の選定を社内投票で選出する等も盛り上がる
・社内ポータル、wiki等への一連の活動の掲載
⑧イベント・訓練・教育
従業員の意識や技能の啓発を兼ねて例えば「リスクマネジメント強化月間」「リスクマネジメントウィーク」などのイベントを開催することもよいでしょう。
こうしたイベントの際、例えば下記のような施策があると社内の意識向上に寄与することができます。
・著名な部外講師の講演やセミナー
・危機対応の机上、又は実働形式の演習・ワークショップ
・リスクマネジメントの標語募集、掲示
・リスクマネージャー等の現場部門によるプレゼンテーション
またこうしたイベントをセキュリティ管理部門やコンプライアンス部門など、他セカンドラインの部門と共同して開催すると、より効率的でかつ規模も大きく連携している様子も見えるのでよいでしょう。
最後に
今回は一般的な内部監査業務と離れ、リスクマネジメント部門を念頭にした取り組み事例をご紹介しました。
とはいえ、規模がそれほど大きくない事業会社では、内部監査部門はこうしたリスク管理の構築系業務を担うこともあります。また隣接する部門としてリスクマネジメント部門に助言する機会もあるでしょう。
今回の記事がそうした際に、役に立てれば嬉しいです。
※なおリスクマネジメントの仕事をするための参考書籍の記事も書いています。宜しければご参照ください。
投稿者プロフィール
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員