Legal X Design

大阪で働く法務パーソンのはなし

リスク&クライシスマネジメント

X RISK MANAGEMENT

今週、トーマツから以下の調査レポートが公表されました。

www2.deloitte.com

 

日本企業は、国内においては、災害発生人材不足法令違反を、海外(アジア)拠点については、法令違反ガバナンス不全品質チェック体制不備を、この順序で優先すべきリスクと認識しているとのことで、順位の入れ替えこそあれ、上位3位の顔ぶれは前年と同じです。

 

企業リスクマネジメントおよびクライシスマネジメント実態調査

こちらのレポートは、日本の上場企業に「直接聞く」という愚直にして正確な調査で(有効回答数は430)、2018年版の「はじめに」では次のように述べられていました。

国内上場企業における「リスクマネジメント」および「クライシスマネジメント」の認知・認識とその対応状況を把握し、普及のための基礎的データを得ることを目的に実施した。本レポートは、「リスクマネジメント」ならびに「クライシスマネジメント」を対象にした調査結果である。
日本国内において最も優先すべきリスクは、2016年・2017年に引き続き「地震・風水害等、災害の発生」で41.9%の企業が選択した。日本国内で「原材料並びに原油高の高騰」を最も優先すべきリスクとして挙げる企業が増加し、海外拠点では「市場における価格競争」が増加した点は、今回調査結果の特徴の一つと言える。
クライシスマネジメントに関しては、前年と比較し「自然災害関連」が際立った伸びを示した。年初の大寒波により各地で最大積雪量を記録したり、記録的な集中豪雨、さらに大型台風の多発と上陸により企業の事業活動へ大きな影響を及ぼした1年だったのではないだろうか。

「企業のリスクマネジメントおよびクライシスマネジメント実態調査2018年版」

 

リスクマネジメントは、平時にするもの、クライシスマネジメントは、クライシス、すなわち危機/有事対応のこと、と私は理解しています。クライシスに対する備えももちろん大切なのですが、結局それは、平時からどんな準備をしておくかに尽きると思われます。

 

マネジメントしているリスクと着手すべきリスクは違う

 

本レポートで興味深いのは、国内にしろ、アジアにしろ、マネジメント対象リスクの上位と、優先対応が必要だと考えるリスクの上位は違うということです。

 

上位3位で比較すると、国内拠点では、「優先して着手が必要と思われるリスク」は、

 

 ①地震・風水害等、災害の発生

 ②人材流出、人材獲得の困難による人材不足

 ③法令順守違反(原文ママ

 

であるのに対し、「マネジメント対象としているリスク」は、

 

 ①地震・風水害等、災害の発生

 ②法令遵守違反(原文ママ

 ③情報漏えい

 

という結果でした。一層興味深いのはアジア拠点のほうで、こちらの「優先して着手が必要と思われるリスク」は、

 

 ①法令遵守違反

 ②子会社に対するガバナンス不全

 ③製品/サービスの品質チェック体制の不備

 

であるのに、「マネジメント対象としているリスク」は、

 

 ①法令遵守違反

 ②地震、風水害等、災害の発生

 ③情報漏えい

 

とのこと。「優先すべき」と認識しつつ、子会社に対するガバナンス不全は、マネジメント対象リスクでは10番目、品質チェック体制の不備は同様に8番目という結果。さて、これはどのように理解すればよいのでしょうか。

 

受容レベルまで対策が進んでいるのか、手をつけられないのか 

管理しているリスクと、手をつけなければならないリスクが違う。

これは、以下のようにポジティブにあるいはネガティブに理解することが可能ではないでしょうか。

 

<ポジティブver>

「マネジメント対象としているリスク」の上位は、すでに受容可能レベルまで統制手段がとられており、そうでない(新しい)リスクについて、着手が必要と考えている。

 

<ネガティブver>

なるべく早く低減なり転嫁なりしないと、顕在化したインパクトが大きいとは思うけど、手をつけられずにいる。

 

情報漏えいリスクは、上場企業であれば、可能な限りは対策しているので、これ以上はもう打つ手なしとお考えなのかもしれません。ちなみに、私の勤務先でも、情報セキュリティリスクは管理対象ではあるものの、優先対応には分類されていません。これは、ハード的な対応はこれ以上難しいというということだと思います。そして、情報は結局は従業員が手で扱うので、教育やモニタリングが必要なものの、こちらも何か新しいことをする、という発想はないのかもしれません。

 

子会社のガバナンス不全は、きっと、どこからどう手をつけてよいのやら、悩ましい企業が多いのでしょう。なにせ、私がそうですから。はたして「リスク」といえるのかよくわかりませんが、私の勤務先ではマネジメント対象であり、かつ、優先対応に分類されています。

物理的な距離もさることながら、親子会社はどうしても心理的な距離があり、まして国境を隔てると、言語も文化も違う。私の勤務先の場合、M&Aで取得したり、合弁の会社もあったりするので、当社の組織風土を持ち込むことは至難の業です。英語使えないところも多いし。。

 

以前、武田薬品のウェバー社長が、シャイアーを取得するにあたり、「シャイアーと新しい会社を作るのではなく、買収するのは、タケダのスピリットを重んじているからだ。シャイアーの幹部には、取得した後、タケダでタケダの価値観を1週間くらいみっちり勉強してもらう」というようなことをおっしゃっていて、いたく感心しました。そういう努力がなければ、子会社でガバナンスをきかせることは難しいですよね。

ガバナンスを効かせるというのは、人事権と金庫の鍵を握ること、と一般に理解されているように思いますが、子会社だって人間の集合なんだから、もっとそこにアプローチしていかないといけないのではないかと考えています。

そんなわけで、今年、私の勤務先では、企業理念やビジョン、行動原則などに込められた想いなどをまとめたハンドブックのようなものを和英で作る予定です。

 

「リスク」とは何か

ここまで、特に断らずに「リスク」という表現を使ってきましたが、「リスク」とはどういう意味か、定義がわかれています。

トーマツのレポートでは、リスクとは「企業の事業目的を阻害する事象」と捉えているようで、これは、前からの通説的な?理解と思います。

一方、2017年改定のCOSO ERMフレームワークでは、「リスク」とは、「事業戦略及びビジネス目標の達成に影響を与える不確実性」をいうと定義し直されました。つまり、阻害要因も事業機会も、両方がリスクというわけです。天候や為替変動などがわかりやすい例です。

今はまだ、「阻害要因」と捉えたリスクマネジメントが多いようですが、最近は、「不確実性」をリスクと定義してマネジメントする企業も増えているように思います。私の勤務先は、まだまだ過渡期です(規定上は「阻害要因」と定義しつつ、事業機会もリスクに認識している)。