企業経営とGRIC（１）リスク認知の基準

久々のnoteアップです。これまでこのnoteでは、ビジネスリスクマネジメントのプロセスを中心に書いてきましたが、ここからは、リスク管理の3本柱であるGRC（ガバナンス・リスクマネジメント・コンプライアンス）に、それを支えるI（インテリジェンス）を加えた「GRIC」について述べていきたいと思います。ちなみに、GRICは私の造語です。

企業経営のリスクマネジメント実現は、リスクマネジメントプロセスだけでは不十分です。その理由は、リスクマネジメントプロセスには、リスク認知の基準設定と、リスクマネジメントプロセスを実行する体制構築のあるべき姿が明示されていないからです。

リスク認知の基準とは、「何をもってそれをリスク（源）と判断するのか」の基準です。例えば、発熱の基準として体温37度を設定することがありますが、これは、37度以上の発熱症状がある場合、何らかの炎症性疾患が発生している確率が一定程度以上あると「一般的に」考えられるからです。平熱が35度台の人にとって、体温37度はかなりきつい状況でしょうし、平熱が36度台後半の人にとっては「ちょっと熱っぽいかな」といった程度の感覚でしょう。激しいスポーツの最中だと、一時的に体温が37度を超えることはあります。
つまり、体温37度は、平熱やスポーツなどの要因を取り除いた上で、発熱症状を示す疾患が発生している蓋然性（起こりやすさ）が一定程度の確率で存在すると推定されるという基準です。本来なら統計的仮説検定のロジックで説明すべきでしょうが、わかりやすさ優先で正確性をある程度犠牲にした内容であることご容赦ください。

それでは、企業経営での「体温37度」に当たる基準は何でしょうか？ありていに言えば、それは企業により異なります。損失覚悟でリスクを積極的に取りに行く企業であれば、リスク認知の基準は高くなるでしょうし、一方で損失に消極的な企業では、少しの損失であってもその発生をリスクとみなすことでしょう。
どのような企業の経営でも、「この基準を当てはめて判断すればOK」という物差しがあればいいのですが、あいにくどのリスクマネジメント国際規格もそのような基準を提供しておらず、「企業が自分で評価して決めましょう」という態度をとっています。それが、企業経営におけるリスクマネジメントの取り組みの低さにつながっていると考えられます。

ビジネスリスクマネジメントといえば、財務の改善や強化ではないかという意見も耳にすることがありますが、それも正確ではありません。財務諸表はあくまでも「ビジネスの通信簿」であり、それまで行ってきたビジネスの結果が数字になって現れたものです。粉飾会計を行なっても企業業績が改善しないのと同じように、ビジネスリスクマネジメントは、企業の経営戦略が適切か、現場の運営や従業員の勤務状況はどうか、経営資源（人・物・カネ・情報）は適切に管理されているかなど、経営状況をトータルに観察・分析することで初めて可能となります。

ビジネスリスクマネジメントは、企業のトップライン（売上高）の増大に直接寄与するものではなく、むしろ取り組み費用がコストとなってボトムライン（利益）を小さくしてしまうという批判があります。さらに、リスクマネジメントに取り組んだが、リスクイベント（リスクが現実化する事象）が発生しないとなると「リスクマネジメントは空振りだった」と言われかねません。
そのような批判は否定するものではないので、あくまでもリスクマネジメントに取り組む意思がある企業に対し、オンハンドでご支援するというのが我々のスタンスです。その一方で、企業業績が良く、経営状態に余裕があるときにこそリスクマネジメントを進めましょうという啓発活動も進めています。

私たちが、不調を感じてから病院にいくのと同様に、企業も、問題が明らかになってから手を打つことのほうが多いです。その場合、状況によっては打ち手が限られ、どのように企業や事業を畳むかという悲しい決断を迫られることも少なくありません。従業員が毎年健康診断を受けるように、企業も定期的にビジネスの健康状態をチェックし、問題の早期発見と対処が重要です。ビジネスリスクマネジメントはそのためのものであるという意識が広まると、元気な企業がさらに増えていくことになると思います。

次回は、ビジネスリスクマネジメントの実行体制構築に対する考えを述べたいと思います。