事業環境の不確実性が高まる中、企業に求められるリスク管理のレベルは大きく変化しています。
サイバー攻撃、法令・規制対応、サプライチェーンリスク、内部不正や労務問題など、リスクは年々多様化・
高度化しています。もはや一部門だけで管理できるものではなく、経営主導で全社横断的にリスクを把握・
統制する「全社的リスク管理(ERM)」の実践が不可欠です。
1.重要なのは「発生後対応」から「予兆管理」へ
多くの事故や不祥事は、突然発生するわけではありません。その前段階には、ルール逸脱の常態化や軽微な
トラブル、ヒヤリハットなどの兆候が存在します。これらを見過ごさず、組織として可視化・対応方法の
ナレッジなどを蓄積し、早期に手を打つことが、重大リスクの顕在化を防ぐ鍵となります。
リスク管理は、起きてから対処するものではなく、起きない状態をつくる活動へと進化しています。
2.リスク情報の蓄積が経営の質を高める
感度を高めます。蓄積されたデータは、再発防止や業務改善だけでなく、将来的なリスク予測にも活用可能
です。
1.データの一元管理と共有
各部門に散在するデータを統合し、組織全体で横断的に利用。
2.迅速な意思決定
リアルタイムなデータに基づいて客観的に判断をし変化に対応。
3.業務の効率化と脱属人化
データやナレッジを共有することで特定の担当者に依存をしない。
担当者が変わっても過去データを確認し対応。
4.DXの推進
増加するデータを一元的に管理することで俯瞰的な管理が可能。
Excelでは集計に時間がかかるがデータを蓄積することで集計の手間が省略。
3.KRIによる定量的モニタリングが広がる理由
Key Risk Indicator(KRI:重要リスク指標)を設定し、月次などで定期的にモニタリングする企業が増えています。KRIを活用すれば、リスクの増減を数値で捉えられるため、感覚や経験に頼らない管理が可能になります。前年同月比較によるトレンド把握や、Key Goal Indicator(KGI:重要目標達成指標)など目標値を含めた指標設定により、経営層・現場双方が共通認識を持ちやすくなる点も大きなメリットです。
また経年変化などを確認し、どこに重きリスクがあるのか俯瞰的にモニタリングをすることが重要となります。
<KRIモニタリングのプロセスと特徴>
1.重要リスクの特定と優先順位付け
組織にとって重要なリスクを洗い出し、優先順位付け。
2.KRI候補の抽出と設定
特定されたリスクの先行指標となる具体的なKRIを抽出。
3.閾値の設定
KRIの数値がどの範囲内であれば許容範囲か、どの値を超えたらアクションが必要かを定義。
4.データの収集と測定
週次や月次など定期的にKRIの値を収集し、測定を行う。
5.モニタリングと分析
収集したデータと閾値を比較して、リスクの状況などを分析。
経年変化なども分析し、リスクへの対応方法の見直しなどを検討するのも重要。
6.アクションと責任者の定義
閾値を超えた場合など、特定の結果が出た際に誰がどのような対応をとるかをあらかじめ定める。
7.継続的な見直し
KRIの有効性を定期的に検証し、環境変化に応じて見直し。
このようにKRIによる定量的なモニタリングを行うことで、リスク管理に関して組織全体で共通の基準でリスクを認識できます。またリスクの予兆を早期に把握できる点もあります。
4.全社リスク管理を「仕組み」で支えるために
全社的リスク管理をするためには下記のことが重要となります。
1.リスクの網羅的把握と抜け漏れ防止
個別部門では見落としがちなリスクをリスクマネジメント委員会などで全社視点で洗い出しを行い、
網羅的に把握をし重複や抜け漏れを防いで、統合的なリスク管理を行うこと。
2.迅速な意思決定と対応
リスク情報を可視化・共有することで、経営層はより的確な判断を下し、変化する環境に迅速に対応を行うこと。
3.組織全体の意識と連携の強化
経営トップが主導し、全社員がリスク意識を共有し、部門間の連携を強化する組織文化を醸成する
こと。
こうした取り組みを継続的に実践するには、属人的な管理から脱却し、全社で使える基盤が欠かせません。GRCSが提供するERMTは、リスク情報の一元管理や柔軟なKRI設定を通じて、全社リスク管理の高度化を支援します。自社のリスク管理を次のステージへ進めたい方は、ぜひ詳細をご確認ください。
徳永 拓
株式会社GRCS 執行役員 MTシリーズ開発責任者
大阪大学大学院工学研究科卒業後、日本ヒューレット・パッカード株式会社にて、国内開発セキュリティ製品のコンサルティング、製品企画、戦略策定に従事し、市場No.1のシェア獲得に貢献。その後、2016年にGRCSに参画し、全社リスク管理をはじめとするクラウドサービス等の開発およびマーケティング責任者に就任。