企業経営とGRIC（2）リスクマネジメント体制の構築

前回は、リスクマネジメントにおけるリスク認知の基準について述べましたが、リスクマネジメントプロセスに欠けているもう一つの柱である「リスクマネジメント体制」について触れたいと思います。

マネジメントや組織運営で「タイセイ」というと、「体制」と「態勢」の二つの同音異議語があります。前者は「組織や仕組み」であり、後者は「姿勢や準備状況」を意味します。前職の自衛隊では前者を「からだ体」、後者を「クマ（熊）態」と言い分けていましたこの二つの関係ですが、マネジメント的には「体制」を作ってから、いつでもアクションを起こせる「態勢」を整備するという流れになります。

リスクマネジメントの国際規格であるISO31000では、その日本規格であるJIS Q 31000/2019の「5.3 統合」で、「リスクマネジメントの統合は，組織の体制及び状況の理解にかかっている。体制は，組織の意図，目標及び複雑さによって異なる。リスクは，組織の体制のあらゆる部分でマネジメントされる。組織の全員が，リスクのマネジメントを行うことに対する責任を負っている」とされており、それ以外では項目的に触れられているに過ぎません。「このような組織や仕組みを作ればリスクマネジメントは問題ありませんよ」と親切に示してくれているわけではありません。
企業や組織がリスクマネジメントを進めていくには、リスクマネジメントを担当する部署の設置、従業者が守るべき規則の策定、リスクマネジメントの現状の監査などの対応が欠かせません。しかし、どのような国際規格などを見ても、そうした原則論しか語られていません。

これはある意味やむをえないことで、世界中の企業や組織、それらが行うビジネスの態様は異なっており、one-size-fits-all（さまざまな場面に対応できる）なリスクマネジメント体制は存在しないからです。そのため、実務においてはお客様の業務内容を詳細にヒアリングし、不安に感じていることを読み取り、それがどの程度深刻なビジネスリスクにつながるのかを、財務書類や現場調査で確認するという作業が行われます。そして、リスク対応の優先順位を決定し、リスク対応を可能にするリスクマネジメント体制を提案するという支援の流れとなります。大企業でもリスクマネジメント体制構築に苦労していますが、特に中小企業では、リスクマネジメントの専門人材が不足し、加えてリスクマネジメントへの投資余力も限定的であるというのが現実です。そだけに、真に対応すべきリスクの明確化と、必要十分な体制の構築が、ビジネスを継続しつつリスクマネジメント体制を構築・運用するための鍵となります。

リスクマネジメント体制構築につながるのが、ガバナンス（企業統治）とコンプライアンス（法令遵守）です。ガバナンスは、法令や基準など、社会のノルム（規範要素）に沿った企業経営を進めるために組織を制御する仕組みであり、コンプライアンスは、ノルムを守る姿勢や意識、行動を指します。
ガバナンスは、会社法における取締役の責務や、株式市場上場基準としてのリスク管理・ガバナンス体制整備にも示されています。コンプライアンスは、成文法である法令、民法における信義則や会社法における善管注意義務などの規範だけでなく、目に見えない社会規範や公序良俗も含みます。

ガバナンスやコンプライアンスというと、経営者の間では「売上につながらない」「堅苦しい」「面倒くさい」といった印象があると言われていますが、それらが不備であることで企業が問題を起こすと、場合によってはビジネスや市場から企業が「一発退場」を喰らう危険性があることに留意しなければなりません。また、売上を一足飛びに伸ばすことは難しいですが、ガバナンスやコンプライアンスの不備による不祥事がもたらす損失は限りがありません。その意味でも、ガバナンスやコンプライアンスは、組織やビジネスの大小に関わらず、あらゆる企業や組織が取り組むべき課題です。

ここまでで、GRICのG（ガバナンス）、R（リスクマネジメント）、C（コンプライアンス）について解説しましたが、世間ではあまり触れられていない最後の要素であるI（インテリジェンス）の意義と重要性について、次回は解説したいと思います。