リスク管理の共通基盤「業務リスク地図」 ～実効性のあるリスク統合管理の実践～

初出: NRI Knowledge Insight 2009年7月号
Webサイトリニューアル時にファイルが撤去されたためnoteにて再録

１．実効性のあるリスク管理活動の必要性

近年、企業は、社会から様々な問題へのリスク対応を求められている。例えば、財務報告の正確性を担保するための内部統制(J-SOX)、法令を遵守した企業活動のためのコンプライアンスの強化、会社法が求めるガバナンス体制の整備などがあげられる。
このような企業への社会的要請の増大により、以下のような問題が現出している。

① 活動の重複による無駄
同じリスクに対し、異なる部署により、様々な似通った活動が行われることである。規制への対応とはいえ、この世界同時不況の中、リスク管理活動を担当する部署(リスク管理部署)の活動には無駄があると思われがちである。

② 活動に対する意識の低下
似通ったリスク対応活動が現場に課せられることで、やらされ感・徒労感を感じることである。リスク管理部署は、自部署の担当する領域の問題に対する個別の活動を優先せざるを得ないことが背景にある。

③ 経営判断に必要な情報の不足
リスク管理部署からのレポートが、個別の事案ごとに縦割りで報告されることである。経営の本来の役割として、会社全体としてリスクに対応するには、どこにリソースを配分すべきか、といった判断を行う必要があり、リスクの全体像を網羅的に把握することが求められる。

よって、この３つの問題に対応し、リスク管理活動の実効性を高めるためには、「リスクの全体像を網羅的につかめる」「複数のリスク管理部署の活動の連携が取れる」ことが必要なのである。

２．｢業務リスク地図」によるリスク管理

１）リスク管理の共通基盤の必要性

これらの問題に対する課題解決方策として、情報と活動を管理し、必要に応じて情報を取り出せる「業務リスク地図」の構築を提案したい。

「業務リスク地図」とは、リスク管理の活動や情報を整理し、連携させるための、全社の共通基盤である。具体的には、業務の種類を縦軸に、業務の流れを横軸に置いた「業務俯瞰マトリクス」を共通の管理単位として、業務の概要や担当組織、付随するリスクや顕在化している問題点を紐付け、一元管理するものである（図）。一元管理された情報は、発生頻度に応じて、業務リスク地図上に色分けして表示され、業務リスク地図を経由して取り出すことができる。

この「業務リスク地図」を整備することで、リスク管理部署は、以下の活動を効率的に行えるようになる。
・ リスクの全体像の俯瞰、活動のターゲティング
・ 情報の組み合わせ分析による原因分析、複数部署が連携した施策の立案、効果検証

例えば、事故への対応も、もともと認識されていたリスクが顕在化した場合と、リスクがあるという認識がなかった場合とでは、打つべき施策は異なる（後者ならば、現場のリスク感度を高めるところから始める等）。
このとき、事故対応を行う部署が保有する「事故情報」と、リスク洗い出しの担当部署が保有する現場の「リスク認識情報」を色分けして表示し、ターゲットとする業務を絞り込む。次いで、ターゲット業務に関連する組織を洗い出す。最後に、「事故情報」「リスク認識情報」を取り出し、組み合わせて分析し、ターゲットとする業務に応じた対策を立案する。

このように、対策の優先順位付けと、ターゲットとする業務に応じた対策の立案を行うことができる。

２）「業務リスク地図」設計のポイント

① 業務俯瞰マトリクスの縦軸に組織名を用いない
ここまでお読みになった読者の中には、業務俯瞰マトリクスの縦軸に組織名を用いればよいのではないかと思われる方もいるだろう。しかし、組織名を用いると、組織の間に落ちる課題を拾うことができず、リスク把握の網羅性に問題が生じる。

例えば、システム開発において、縦軸を業界別に編成された組織名（金融システム部、流通システム部、不動産システム部 等）に設定した場合、ある部署で発生したリスク要素と類似するリスク要素が、マトリックス上で異なる場所に位置づけられてしまう。縦軸が、業務系システム開発、消費者向けシステム開発といった業務のくくりで構成されていれば、「顧客ニーズ伝達の不備による仕様の誤り」といった要素は、業務系システム開発での共通したリスク要素としてカウントされる。

このような問題をあぶり出すためには、業務俯瞰マトリクスの縦軸を、業務の種類とすることにより、複数の組織を１つの業務として浮き彫りにするのが効果的である。

② 既存の情報を業務俯瞰マトリクスに当てはめる
では、「業務俯瞰マトリクス」の縦軸は、どのように設計すればよいのだろうか。

全く新しい縦軸を設計してしまうと、その縦軸に合わせた活動の再設計が必要になってしまう。また、これまでの情報の蓄積も活かせない。そのため、「業務俯瞰マトリクス」の設計に当たっては、複数のリスク管理部署が協力し、組織名や既存の情報との対応関係を確認しながら設計するのが望ましい。

組織名や既存の情報との対応関係を作ることで、既存の情報が「業務リスク地図」から取り出せるようになる。その結果、「業務リスク地図」の使い心地を確認しながら、より望ましい縦軸を検討することができるのである。

３．「業務リスク地図」の効果

NRIが支援したある企業では、２つのリスク管理部署の協力のもと、情報の当てはめと並行しながら、３ヶ月程度で業務リスク地図の第１案を設計した。
同社では、過去にも類似の試みはあったものの、個別の部署に閉じた検討に終始し、全社共通で使われる基盤を作ることができなかった。しかし、２つのポイントを踏まえた業務リスク地図の設計により、経営や他のリスク管理部署からの理解が得られ、会社のリスク管理の共通の基盤として認知されるようになった。

また、複数のリスク管理部署の活動連携が促進された。その一例として、「ノウハウの属人化」というリスクへの対策があげられる。
「ノウハウの属人化」に対しては、マニュアル・業務フローなどの整備による業務プロセスの可視化や、人材育成・採用などによるノウハウをもつ人材の増強が必要である。これまで、同社では、前者は品質管理部の担当、後者は人事部の担当と分かれており、リスク要因の分析も活動も連携していなかった。しかし、「業務リスク地図」があることにより、品質管理部が人材育成も含めてリスクの分析・施策の検討を行うようになるなど、両者の連携の環境が整ったのである。

このように、リスクの全体像を網羅的に捉えることと、リスク管理部署の活動を連携させることは、リスク管理活動の実効性・効率性を高めるために重要である。そして、その実現のためには、全社共通のリスク管理基盤に基づく情報の一元管理が重要である。