【リスク対策】経営提案は「機」を待つ

先日リスク対策勉強会のための記事をまとめあげたわけですが、そこで気づきました。
「あれ、経営提案って結構な壁じゃね？」

ということでリスク対策の経営提案について記載していきたいと思います。

事前準備（種まき）

何だってそうだと思いますが、いきなり経営提案をするのはハードルが高いので探りを入れるフェーズが最初に来ます。

やることリスト
１）可能な限りステークホルダーごとにニーズを拾い上げる
２）影響力を行使できる準備をする
３）経営資源を確認する
４）情報収集をする

１）可能な限りステークホルダーごとにニーズを拾い上げる

以下の観点でヒアリングをしていきます。というか普段から意識してコミュニケーションを取ります。

▼事業者側
・何をミッションとしているのか
・何が起きたらミッション達成が難しくなるのか

▼受益者側
・何が起こったらどう困るのか
例）情報漏洩が起こったらどう困るの？本当に困る？
・もしインシデントが起こったらどうしてほしいのか
例）寄付金領収書が紛失したら控除されるはずの金額の補填だけで良い？

２）影響力を行使できる準備をする

リスク対策は全社的に動くプロジェクトになるため、腰が重いプロジェクトです。そのため、影響力を行使できる準備をしておく必要があります。
例えば「影響力の武器」などを参考に強めておくと良いと思います。

人を動かす6つのアプローチ、「影響力の武器」とは？

一例ですが、上げておきます。
▼返報性（reciprocation）：例）普段から何かお願いをされたら出来るだけやるようにしておく。お願いされなくても進んで手伝っておく。
▼希少性（scarcity）：例）アンテナを張っておく。今しかない！みたいな時を逃さないようにしておく。
▼権威（authority）：例）リソースを使えるくらい、えらくなる。専門家と繋がっておく。
▼コミットメントと一貫性（consistency and commitment）：例）ヒアリングを通してミッションを達成するコミットメントを上げるコミュニケーションを取る。
▼好意（liking）：例）「同じゴールを目指す仲間である」ことを表明しておく
▼社会的証明（social proof）：例）周辺のNPO全体で一斉にやる。

これ以外にも、各ステークホルダーと仲良くなっておくことだけを意識するのも良いと思います。「私はあなたを応援したい、そして私はそのためにこれをやりたい」という意思表明が出来ると良いのかも。

３）経営資源を確認する

経営資源を事前に確認することは経営提案をする上で重要です。
▼ひと：全体の残業時間や、入職率、退職率
どのくらいコミットしてくれるか、コミットした人の離脱率はどれくらいか知っておくと良いです。結局やる！ってなっても人がやるいないと実行出来ないです。
また、人の流動性が高いということはリスク対策のやり方も影響します。

▼もの：事業の数や、使っているシステム
事業の数が多ければその数だけ業務フローを書く必要があります。どこが会社にとって最も重要か把握し、そこから手を付けるなど考える必要があります。一個やってしまえばあとはそれをロールモデルとして推進しやすくなります。
使っているシステムは確認しておくと各システムの重要度がわかります。例えば、全事業共通で顧客管理システムを使っているのと、各事業で一時的に使っている顧客管理ファイルのどちらがリスク値高くなるかは言わなてもわかると思います。

▼かね：リスク対策に使えるお金
会社全体の利益率でみることも重要ですが、各事業の売上なども見ていけると良いです。リスクが発生すると事業すべての売上が落ちます。最悪0まで落ちることもあると思います。
そのリスクを下げるために、どのくらいまで保険としてお金使いますか？松竹梅にするとこんな感じです。みたいな提案で使うことになります。

▼情報：事業に必要な情報
顧客情報だけではなく、事業に必要な機密情報が何であるか確認することも重要です。定性的にも定量的にもその情報の価値は高いなら、守る必要があります。
お金だけでは判断できないことも情報を加えると判断がしやすくなるケースもあります。

上記含めこのあたりを意識すると良いです。

経営資源とは？ヒト・モノ・カネ・情報との違い

４）情報収集をする

当然と言えば当然ですが、情報収集をしておくことも重要です。
常日頃からの情報収集が、提案の時の一押しに使うことが出来ます。

さて、ここまで準備が出来たら、あとは経営提案をしていきます。
機会としては、自分から攻めていくか、時を待つかの2択です。

経営提案の流れ（攻めるパターン）

自分から攻めていくパターンです。
事前準備でヒアリングした意見を元に、正攻法でリスク対策を提案していきます。

ここで重要なのは経営者や事業責任者のコミットを引き出すことです。
そのため、経営者や事業責任者が必要な情報を整理し、ストーリーを作っていきます。

ぶっちゃけこの方法で通すのは難しいです。
影響力がある人しか出来ないです。あと、やっても現場の意識が追い付かないです。

経営提案の流れ（機を待つパターン）

提案・実行含め難易度が低いのが機を待つパターンです。

具体的には、以下のような機会を待ちます。
・法改正
・同規模、類似事業者でセキュリティ事故が発生する
・自社でセキュリティ事故が発生する
・自社で新しい事業を作る

ただし、これらの場合時間が圧倒的に足りなくなります。
そのため、どれだけ事前に準備ができているかが肝になります。
事前ヒアリング、提案資料の用意、ベンダーとの調整などです。

個人的にはこの手法をお勧めします。
ほぼ確実に上記機会では、経営も現場も意識レベルで重要度・緊急度がはねあがるからです。

まとめ

力がなかった私は、機会を使って経営提案をしてきました。
それが本当に良いのかはわかりません。本当は機会なんてなくてもやることが良いのですが、きついです。

しっかりやっていた企業から来た人が、NPOやベンチャーに入ってすぐに「やるべき！なんでやらないんだ！」みたいに騒いだって伝わらないのがほとんどです。

なので最低限出来る対策を進めながら、機が来たら一気に進められるようにしておくことが最も良いんじゃないかなーと思っています。