リスクマネジメント枠組み：指令及びコミットメント その２

「リスクマネジメントの目的を，組織の目的及び戦略と整合させる」ですが、これはあまり説明を要しないでしょう。戦略とは組織の目的を達成するストーリーであり、そもそも組織目標を持たない組織は、ビジネスでは存在しません。また、リスクマネジメントは経営戦略であることは以前にも申し上げたとおりです。
ここでは、組織目的、経営戦略、リスクマネジメント目的が整合していなければならないとされています。これは、リスクマネジメントを通じて達成したいことは、組織目的や経営戦略を支えるものでなければならないということを意味しています。消費者に安全な食品を提供することを目的としている会社であれば、食品の安全性を製造プロセスの全てにおいて確保することが戦略であり、リスクマネジメントの目的は、製造プロセスで発生する可能性があるハザードを除去低減することになるでしょう。

「法律及び規制を順守することを確実にする」というのも当然です。全てがそうだとはいえませんが、規則や規制は、社会の安全、正義、福祉を実現するための制約です。適切に設けられた法律や規制を遵守することにより、ステークホルダーからの信頼を獲得し、競争力を高めることができます。また、コンプライアンスの確保は、不法行為などの不祥事の発生の未然防止や、レピュテーションリスクの低減が期待できます。一方で、現在の経営環境に必ずしもそぐわない法律や規制がまだ数多く存在していることも事実です。「悪法も法なり」とまではいいませんが、そのような法律や規制の見直しが進むことを望みます。内部統制としては、J−SOX法やCOSOといった枠組みもありますので、これらを利用することもできます（公認会計士さんの得意分野です）。

「アカウンタビリティ及び責任を，組織内の適切な階層に割り当てる」は、組織の各階層にリスクマネジメントの責任をいかに付与するかということです。実際の方法は今後触れますが、原則は「経営とオペレーションの区別」です。「連携」じゃないのという意見もあるでしょうが、申し上げたいのは、経営とオペレーションのリスクマネジメント責任の違いを明確化することが大事だということです。一般的には、経営層は対外的な責任と内部統制、オペレーションは現場運用における責任をリスクマネジメントの中心に置くことになりますが、過去の企業不祥事事例では、経営層が負うべき責任を現場に押し付けるような説明をして、対応が炎上するといったこともありました。また、このようなやり方は、後々社内に深刻な感情的亀裂を引き起こします。
経営層が対外的に対応するための情報提供（これを私のところでは「弾込め」と呼んでいました）はオペレーションサイドの仕事になります。リスクマネジメントやクライシスの場面で、組織とステークホルダーの利益を最大限に守るためにも、経営層と現場の連携が重要であることはいうまでもありません。