経営に専門リスクを自分事として理解させるために何が必要か

毎度煽るような書き方ですみません。

★本記事は「法務系 AdventCalendar2020」（#legalAC)のエントリーです。

きぬんぬ（@sakufool04）さんよりバトンをいただきました、ささかわごうすけです。きぬんぬさんの記事、自分のチームでも少し近い立場の人がいるので、とても勉強になりました。

さて、きぬんぬさん同様、僕も今年初参加ですので自己紹介を。
ざっくり経歴としては、経営学部系の学部卒→信託銀行（不動産系→法務系→企画系、で途中でロースクール行って弁護士資格取る）→LINE（情報セキュリティ→セキュリティ、で途中でExecutiveMBA取る）という感じです。

これまで法務・セキュリティを生業としており、一方で経営方面ももっと強くなりたい我儘人間です。経営に関しては、信託銀行とLINEそれぞれでマネージャー経験があり、学部での経験からMBA取ってみたりということで、まだまだ頑張って勉強していってる最中の感じ。リスクマネジメント分野のプロ経営者になりたいなぁ、とかなんとか。

仕事に関する詳細な履歴は仕事の5つの柱＝金融・セキュリティ・法律・マネジメントにまとめています。

さて、そんな軸を持っている自分だからこそ書けること、課題として考えられることってなんだろう、というのが今回のエントリーです。

１．課題意識：専門リスクの放置をなくしたい

みなさんありませんか？やべーよこの問題、顕在化してないけど、爆発したらやべーよ、という事案で、なんかエスカレ途中どこかで止まったり、雲散霧消したり、ということ。

でも大概の場合、どこかで止まったままでも、爆弾は爆発せずに数年が過ぎ、人の入れ替わりや異動でみんな忘れた…頃に、ほんのわずかな確率で、不発弾のように爆発する、という（しかし当時の人はいないから誰も実質的な責任を取らず、しかし形式的な経営責任は生じる）。

そもそも専門家がどこまで気づけるかという問題もあるけど、覚えてますよね？直近のドコモ口座の事案、去年のリクナビの内定辞退率予測の事案、セブンペイの事案…これだけの大企業でも、一つ問題が起きるだけで、いとも簡単に事業からの撤退を迫られ、経営責任が発生するんです。

必ずしも冒頭で挙げたようなエスカレ等の問題がある組織ばかりでないと思いますし、自分が今いるところがそんな問題を抱えている、というわけではないのですが、専門性の高いカテゴリーのリスクって、どこかで理解が薄くなって、ハイレイヤーでの意思決定が必要なレベルの対策がおざなりになることもあると思うんです。で、僕はそういったことが起きないようにしたい。

こういった専門リスクの放置って、どこかのマネジメントレイヤーで現場放任が起き、いざ問題が起きると大きな問題となるけど、放任した人の責任感はどこか薄い。社長やCEOなら責任を負わない、ということはなく、問題の大きさで、誰でも責任負うことになるのにね。

でもそれって社長やCEOが悪いわけではないと思うんです、だって分かりづらいし。法務部門だと、訴訟とかは金額が出てくるから珍しくわかりやすい、しかしリスクって普段は目に見えないし、金額にも表しづらいよね。それは専門リスクを所管する専門家はよくわかっているけど、伝えづらい。じゃあどうすれば良いのか。

その原因分析と対策の前に、もうちょっと具体的な人間関係を見てみましょう。

e.g.法務／セキュリティのライン構造

たとえば法務／セキュリティだと、こんなラインの構造・レポートラインになっていることが多いと思います。

メンバー→Manager（Mgr.：法務部の課長とか）→Senior Manager（SMgr.：法務部長とか）→CLO／CISO／担当役員→CEO／社長・取締役（→取締役会）

多少階層とか呼び方は違うけど、多分こんな感じ。で、専門リスクの放置が起きやすいのは2パターン。①CEO／社長・取締役レイヤーで非専門家が関与する場合と、②ローテーションとかでSenior Managerや担当役員に専門性がない（かつそこまで興味・吸収力がない）場合。②はもうちょっと頑張れよ、という気もするのですが（自戒込め）、特にローテーション人事の場合って2年経ったら次のポジション、とかがあるので、本当に人（SMgr.／担当役員）によっては理解が進まないことが多い。

昨今の炎上事例で、大企業の担当役員なのに最低限の説明もできていない事例、よく見ますよね。あれなんて（内情は知らないけど）多分その最たる例で、あと数年でローテーションだったり退任だし現場に任せたぜ！→炎上→説明できん…（なんなら説明も人任せ）というのが透けて見えます。

ただ、こういった状況も実際には本人に悪気はないのが、より問題の根深さを感じますよね。
でも、これもさっきと同じで、SMgr.や担当役員を一概に責められない。じゃあどうすれば良いのだろう、と思った次第です。

メンバー・部下目線

反対の立場からの見方として、メンバー・部下である社内の専門家としては、このような点について問題把握し、問題があるなら対策を取らないとゆくゆく自分に火の粉が降りかかりかねないなわけです。

直ちに問題になるわけじゃない、むしろそんな問題はどんな企業でも多少なりともある、というのはその通り。
一方で、リスク発見当時、社内の専門家がリスクを上司に報告していたとしても、リスク発現時には大きく問題となって、（あの時リソース配分してくれなかったのに）こっちのせいにされることがある。仮に上司：「責任は俺にある（キリッ）」と言ってても、リスクを自分事として捉え、理解しない限り、経営態勢という点で実質的な再発防止にならなくて、引き続きリスクを負う。そんな未来が見えてきますよね。

このような専門リスクの放置問題が解消すれば、①適切な優先順位付けとリソース配分（人員・工数や予算等）がされて実質的なリスクの低減が図れるし、②専門家自身が（ポジションに見合わない）リスク判断をする必要がなくなり、（株主に対する）会社としての責任に置き換えられるという意味もある。そう考えると、あまり起きない問題出会っても、組織態勢としては大きな課題なんじゃないかな、と思った次第です。

２．原因：分かりづらい＋確実性が低い→自分事として捉えづらい→任せるの流れ

ここからは、わかりやすさと、あるあるの観点から、CEOが法務／セキュリティは担当役員に任せてるから！という事例をベースに説明しますね。

CEOにとって、法務／セキュリティのような専門的な部分はとても分かりづらい。そして爆発する可能性や、その予測の確実性が必ずしも高い分野じゃない。そうすると、うーん、よくわかんないし、社内の専門家からレポート受けてるから、それで！となりやすい。

もちろん信頼性の原則からすれば、任せるのはOKなのだけど、自分自身で必要な検討をしたうえで任せてるの？リソース配分の判断ってどうやってるの？とかいう点で問題がある。ここが最大の問題で、CEOが判断すべき事項まで、専門家に（役割期待以上の）判断を事実上させている、という状態が結構起きている気がします。

それと逆なのが財務。財務って、とっても専門性が高いんだけど、割と数字として見やすいから、効果が（内容にもよるけど）CEOに伝わりやすい。そうすると、CEOも財務部分についてはCFOに色々報告求めたり、材料集めて理解したうえで判断する、というのに繋がりやすいですよね。

うーん、じゃあどうやって ①興味持って自分事にしてもらうの？②理解してもらうの？をこれから考えていきましょう。特に①が難しいのと、②は普段から割とみなさん工夫してると思うので、①に比重をおいて考えてみます。

３−１．自分事にさせるために何ができるか：アクティブ・リスニングとCEO主体の物語り

どうやって興味持ってもらうのか、それはわかりやすくすること。↑で挙げた財務の例も、目に見える形になると、やばいな、気をつけなきゃって思いやすいよね。そこで一つあるのが周辺の爆発事例。ただ、周辺事例だけだと、時間の経過とともに薄れていきがちなのと、起きた事例しか示せないので、もうひと工夫が必要かな、と思っています。

ここで用いることができるのが、「サイバースレット・ナラティブ」（物語で考えるサイバー攻撃の危険性）というツール・手法。

　このツールは、起こりうるサイバー攻撃に関して、ストーリーを作成するためにパートを4つ用意する。
　具体的には、重要な事業活動とそれに伴うリスク、その事業活動を支えるシステム、起こりうる攻撃の種類とその影響、最も行動を起こしそうな攻撃者の4つである。これら4つのすべてについて詳細を洗い出すことにより、企業はリスクを認識するとともに、優先順位をつけてリスクの修復を進めていくことができる。
　サイバースレット・ナラティブの作成は、社内のサイバーセキュリティのグループが主体となって進めるべきだ。しかし、加えて以下の人たちからも協力を得なければならない。
ハーバードビジネスレビュー　2020年9月号ー経営者がサイバー攻撃を予測し、対処する方法「サイバースレット・ナラティブ」で想定するーより抜粋

ありがちな言葉で置き換えれば、きちんとストーリー・シナリオを組んで考えることで、CEOに自分事として捉えてもらおう、という感じ。その作業自体はサイバーセキュリティのグループが主体になるけど、CEOを含む経営陣、オペレーション、ＩＴシステム、その他関連する専門家の協力も必要（↑の「加えて以下の人たちからも協力を〜」がこの人たち）。

周辺事例については、このストーリー、シナリオと絡めて説明するのが、CEOが自分事として捉えるために最も効果的なのではないかな、と思っています。

あと、この中で大切なのは、ナラティブ、という部分。

「ナラティブ」とは「語ること」を意味しますが、ストーリーテリングのように出来上がった物語を語るのではなく、より自由に一人ひとりが主体となって語るイメージを持つ言葉です。
「ストーリー型」から「ナラティブ型」へ。いま求められるコミュニケーションの変化とは　より抜粋

（わかりやすさのために）↑ではシナリオ、ストーリーと言っていましたが、出来上がったものじゃなくて、きちんと参加者が物語の作り手になる、ということですね。もちろんCEOに1から10まで関与しろ、というのは時間的に無理なので、段階毎に必要な議論に関与する、というのが重要なのだと思います。

ハイレイヤーの関与になればなるほど、時間がない中で理解できるようにお膳立てする、というのは（3−2で説明するものの）みなさんやってますよね。そのお膳立ての塩梅なのだと思いますが、単に理解させるためのお膳立てでなく、CEOが関与するレイヤーの事例やディスカッションポイントを設ける、というイメージかな、と思いました。CEOに自分語りしてもらうのも一つの手だけど、その事例に引きずられがち（で主題に戻って来づらい）という課題もあるので、一長一短。

そして、結構重要だと思うのが、経営陣に自分事として捉えてもらい、理解してもらうための手法としては、単に説明者から意見を説明すれば良いのか、ということ。

行動経済学と合理的意思決定

こんな時によく思い出すのが、行動経済学。経済学は合理的経済人を前提とするのに対して、行動経済学は、現実にあるような、不合理な人の行動も踏まえて人の行動を分析します。よくありますよね、後から振り返ると自分の行動って不合理だったな（涙）ってこと。

僕が学んだケースでは、強硬して不合理な意見を主張をする上司に、反対意見をどう伝えるか、というもの。単に説明しても聞いてくれないよね？どれだけきれいなパワーポイント作っても、そのパワーポイントプレゼンテーションをそもそもどうやって聞いてもらうの、聞き入れてもらうの？という話。

詳細は『名古屋商科大学ビジネススクール ケースメソッドMBA実況中継04 行動経済学』（岩澤誠一郎・著）を読んで貰えると嬉しいのですが、端折ってしまうと（先生ごめんなさい）、きちんと共感を示したり、積極的傾聴、アクティブリスクニングをしてから、客観的情報を提供して自身に改めて考えてもらう。そうすることで、色んなバイアスを少しずつ剥がしていって、合理的な意思決定をしてもらう。

強硬に不合理な意見を主張する上司を説得するのはパワーポイントプレゼンテーションじゃなくて飲み会だろ！と当時授業で話していたのを思い出します（このご時世だとなかなか難しいですが）。

今回議論しているのは、必ずしも反対の意見がされているものではないのですが、興味を持ってもらいたいけど持ってもらいづらい、という点では応用できる方法なのかな、と思ったのでご紹介でした。

３−２．理解させるために何ができるか

さて、それでは興味を持ってくれたCEOにどう理解してもらうか。
こっちは普段から努力している人も多そうなのであくまで参考程度にいくつか例を挙げていますが、むしろ色々みなさんの知見を共有してもらいたいです。理解だけでなくそれが3−1で述べた興味や自分事にすることにも繋がる工夫も多いと思いますので、ぜひ多用していきましょう。

①理解できる言葉に置き換えていく

これはまあ当然ですね。専門家でない役割の人にとっては分かりづらい専門用語が並んだ時点で理解する気が失せますし、調べる時間も取りづらい。なので、可能な限りで言葉を置き換えて、非専門家にわかりやすい言葉にする必要があります。

②可能な限りで数字化し、事例を挙げる

これはそもそも難しい、と言っていた部分なのですが、事例を挙げると、実際の当該事例の損失額がどれくらいなのか、わかりやすくなりますよね。個人情報漏えいのように、発生したから直ちに損失が生じるものでなくても、事例を通じた補填額の推定や、それによる事業撤退等の具体的な影響内容、事業の停止期間やパートナーの離反からの逸失利益の算定など、分解をすれば理解も進みやすくなるものです。

③ハイレイヤーほど対象を絞る

これも当然のようになされていますが、ハイレイヤーへのアプローチほど、対象を絞る必要があります。そりゃ守備範囲が広いんだから当たり前だよね、延々と重要度の区別も付けずに報告してても、むしろ話が耳に入ってこないよね。

４．まとめ＋経営学・コミュニケーション論の専門性

ということで、ここまでで、専門リスクをレポートラインにいる非専門家にどう興味を持って自分事にしてもらうのか、どう理解してもらうのかについてお話してきました。

みなさん、読んでみていかがでしょうか？なるほど！目からウロコだ！と思っていただけたでしょうか？

僕的には、多分そうじゃないと思うんですよね。あーそれ俺も思ってた、うん、これはやってた、そんなの当たり前だよね、という感想の方が多いのかな、と個人的には思っています。

ここが経営学とかコミュニケーション論の難しいところで、専門性がありながら、みんな普段多かれ少なかれ関与があるから、結果として考えが合ってる、実践してることも多いんですよね（そういった意味では法務／セキュリティの方が外側からはよっぽど専門性を認めてもらいやすい）。
でも１プレイヤーであればともかく、マネジメントとして重要なのは、結果として合っていることでなく、それをある程度体系的に点検できているのか、漏れがない態勢を確保できているのか、ということなのだと思います。

あまりに細かなフレームワークは柔軟性や運用に耐えないことも多いけど、（結果合ってるという）センスに依拠する個別対応の積み上げにも限界があるから、その辺りはえバランスなんだろうな、って思ってます。

あとはやっぱり記事形式の限界として、自分で考えながら議論をしていくことに限界があること。ここは今回なるべく気をつけたつもりですが、やっぱりケース・メソッドには敵わないな、と思い、どうすれば良いか今後も検討していきたいと思っています。

そんなわけで、例によってそこそこ長くなってしまいましたが、明日12/11は10ru（@oga10ru）さんのエントリーです、楽しみにしてます！