「企業のリスクマネジメント」というと、災害や経済の変動、情報漏洩などのネガティブな危機にどう対処するか、という考え方が一般的だ。
しかし、2009年11月に発行された国際標準規格ISO31000(リスクマネジメントの原則及び指針)は、「企業の目的がはっきりしなければ、リスクは生まれない」という、組織の存在意義から問う考え方をベースに策定された。その具体的な内容はどういうものなのか。
2010年9月15日、JSA(日本規格協会)主催で、ISO31000の規格説明会が千代田区の自治労第1会館で行われ、製造業やコンサルティング企業などの関係者約130名が参加した。
|
セミナーには企業の危機管理対策部門や事業戦略部門などから約130名が来場した |
-
リスクマネジメント規格国内委員会委員長を務める明治大学商学部教授の森宮康氏は冒頭、「よく『歴史は繰り返す』と言われるが、そこに関わる法体系、関わる人たちは時代によって移り変わる。実態を考えてみると歴史の『論理』は繰り返すが、ITバブルやリーマンショックなど、現実のリスクとの関わりは変化し続けている」と強調。企業が常に時代に対応したリスクマネジメントを行っていく意義を説明した。
|
「組織の目的が明確でないと、リスクも定まらない」と野口氏は強調した |
-
続いて、ISO/TMB/リスクマネジメントWG日本代表委員を務める三菱総合研究所の野口和彦研究理事が登壇、ISO31000について解説をした。
まず、ISO31000で定義されたリスクについて解説。これまでリスクは「発生確率と、被害の重大さの組み合わせ」という考え方が一般的で、リスクによるネガティブな影響をどれだけ最小限にとどめるかを重視していた。しかしISO31000ではリスクを「目的に対する不確かさの影響」と定義。企業であれば、売上などの目標に到達するまでに起こりうる不確定要素をリスクとし、リスクの影響には、ネガティブ・ポジティブの両面があるとしている。
リスクをこう定義したことについて野口氏は「そもそもリスクは、組織の目的や目標が明確でないと生まれてこないし、目標レベルによってリスクの度合いも違ってくる。例えば『1000万円の利益が出た』ことは、収益1億円を目標としている企業と3兆円を目標としている企業であれば当然影響が違ってくる」と解説した。
また、リスクマネジメントについて、組織内の誰が責任を持って進めるかを明確にすることが重要であることも強調した。
野口氏は「企業の目標とリスクマネジメントは密接にかかわる。高い目標を作れば、それに合わせた業務計画や人材などを用意する責任がある。経営者は単に『やれ』と指示して担当者を置くだけでなく担当者に責任と権限を与えるなど、積極的に関わらないと進まない」と力を込めた。
ISO31000には、環境マネジメントシステムISO14001のような認証制度がない。これについて野口氏は「認証規格にしないということは、ISOに提案した時点での前提条件だった。リスクマネジメントは組織経営に直結するもので、他人からお墨付きをもらうという類のものではない。また、ある組織での成功事例がそのまま当てはまるものでもない」と、説明した。
|
質疑応答も活発に行われた |
-
野口氏は品質管理への適用事例を用いて、リスクマネジメントをどのように組織で動かしていくかを解説した。まず、その企業での『良い品質』とは何かを定義する。そして、定めた品質を実現するにあたって市場ニーズや人材、財源や海外・他社との比較などの状況を把握した後にリスクを特定して対策を立てる、という流れだ。
対策を立てるときに注意すべき点として、野口氏は「社員の意識改革などは2~3年かかるが、こうした対策効果が発揮するまで時間のかかるものは後回しになり、総合的な成果が出にくくなる」と指摘し、時間がかかるものこそ率先してやるようにする必要があることを訴えた。
最後に野口氏は、ISO31000を有効活用するため「組織でリスクがあることをきちんと認識して対応する、リスクを見て見ぬふりをしない、という風土を作っていくべき。リスクマネジメント担当者も、担当分野だけではなく、組織全体のミッションの視点から検討をするべきだ」と締めくくった。
野口氏は「リスクマネジメントを実施することによって、企業が目指している状況に近づけている、という実感を持つことが大切」とも述べたが、ISO31000の導入は、やみくもにリスクを列挙するだけでなく、企業の存在意義を改めて問う作業となる。どこを目指して活動していくのか、企業改革の良いきっかけとなるだろう。
※この講演とセキュリティプラットフォームは一切関係ありません。