複合的リスクに対処するには縦と横の連携が不可欠

　今やあらゆる企業が多様なリスクにさらされています。

　メーカーを例にとってみると、中国で製造してEUに輸出する場合、中国はもちろん、EUの環境基準、品質管理基準もクリアしなければなりません。

　また、石油関連の企業であれば、複数の国をまたいでパイプラインを敷設しますが、その場合は国ごとの環境規制を遵守する必要があるでしょう。さらにこうした法令の遵守のみならず、万が一、パイプラインから石油が漏れたらどれくらいの賠償が必要か、補修用のパーツはどうやって調達するか、修理するベンダーはどうやって選定するか等々、検討するべき項目も数多くあります。

　一方で、実際の企業では、こうした問題はリスクが顕在化してから事後的に会議の中で報告され、個別の問題として、対処療法的に取り組むケースが少なくありません。

　私はこうした多岐にわたるリスクを「複合的リスク」と呼んでいますが、さまざまな問題が複雑に絡み合うため、対応に苦慮する声が数多く聞こえてきます。

　この問題を解決するうえで重要だと考えているのが「横の連携」と「縦の連携」です。

　複合的なリスクに対し、特定の所管部署だけで対応するのは限界があります。たとえば、ある工場の生産設備が壊れた場合を考えても、資材管理部、購買部、生産管理部、総務部など、さまざまな部署が連携をとらないと適切な対応は困難でしょう。これが「横の連携」です。

　もう1つは「縦の連携」です。これは、本部の方針を各拠点の末端まで徹底させることを意味し、グループが大きくなればなるほど困難になります。特にグローバル企業の場合、日本、ヨーロッパ、北米などの2極体制、3極体制になっていることも珍しくなく、全体の方針を末端の子会社の特定の部署にまで徹底させることは非常に難しいのが現実です。

縦と横の連携を強化する3つの方法

　縦と横の連携を強化するには、3つの方法があります。1つ目は「組織統合」です。関係するリスク所管部署をできるだけ1つにまとめることで、リスク管理を統合しようとする考え方です。たとえば、リスク統括部、総務部、法務部、コンプライアンス部を1つの部署に統合した地銀の事例や、物流部、購買部、生産管理部をサプライチェーン本部として統合したメーカーの事例などがあります。ただし、規模の大きな企業では、1つにまとめてしまうのが難しいケースもあるでしょう。

　そこで2つ目が「会議体」です。関係するリスク所管部署が集まって、より大きなリスクに関する情報を共有したり、統制活動の連携について話し合ったりする場を持つことです。「リスク管理委員会」や「危機管理委員会」などの名称で設置している企業も多いです。しかし、これにも限界があります。こうした委員会などは一般的に常設ではなく、半年に1回とか四半期に1回といった頻度でしか開催されないため、リスクに関する情報の共有や統制活動の連携を適時に行うには至りません。また、傾向として部長や次長クラスが集まっての報告会になるケースが多く、なかなか実務担当者のPDCAサイクルを伴ったミーティングにならないという問題もあります。

　そこで3つ目の方法として挙げられるのが「システム」を使って統合化を図る方法です。この方法は、システムでリスクの萌芽となる情報を関係部門が共有したり、統制活動の連携を強化するものです。従来からもこの種の試みは盛んに行われてきましたが、連携する情報や所管部署が限定的で、全社レベルのリスク管理と言えるレベルに達していないケースが大半でした。このような限界を克服して統合レベルを高めようとする手法が、いわゆる「GRCツール」の活用ということになります。

モジュール単位でリスク管理のベストプラクティスを集めたGRCツール

　GRCツールとは、端的にいえば「バラバラになりがちなリスク管理を連携させ、統合的なリスク管理を実現するツール」ということになります。コンプライアンス管理、資産管理、ベンダー管理、事故障害管理など、リスクはその種類によって管理方法が異なります。そこでGRCツールには、各リスク管理をモジュール化し、それぞれにベストプラクティス（解決方法の標準的モデル）を組み込んでいます。各企業は自社の状況やリスク管理方針に応じて、モジュールを取捨選択してカスタマイズし、既存システムとの連携を容易に実現することができるのです。


　たとえばBCP（事業継続計画）のモジュールであれば、A地域で地震が発生した場合、それによって同地域の工場への影響はどうか、人的・物的被害はどうか、自社最終製品のサプライチェーンへの影響はどうか、製品在庫や資金繰りへ影響などはどうか、といった具合にその影響範囲を想定できます。もし、ここでサプライチェーンが寸断されて、在庫不足の影響が企業にとって非常に大きいとわかれば、中間地点に倉庫を用意し、一定の在庫を用意しておく必要性を見出すことができます。

　こうした分析について各企業が項目から作り込みを行う場合、その手間は図り知れず、いつまで経っても作業が終わらないということになる恐れがあります。その点、GRCツールの事業継続管理のモジュールでは、分析すべき項目があらかじめ用意されているので、項目に沿って情報を収集していけば、災害の事業への影響を体系的に分析し、組織、資産、ベンダーなどの関係するリスクを統合的に管理したBCPを作成できる仕組みになっています。

　健康診断では身長や体重、血圧、コレステロールなど、分析項目がある程度決まっていますが、同様にGRCツールを活用してリスク管理を行うに際しても、ポリシー管理やベンダー管理、資産管理などのリスクの種類ごとのモジュールに、それぞれ標準テンプレートが用意されているのです。

　もう1つ、GRCツールで重要なことは、モジュール間で情報を連携できることです。たとえば、ベンダー管理モジュールでベンダー評価に関する情報を入力すれば、事業継続管理モジュールにも同じデータが自動的に連携し、BCPを策定する際に活用できます。

　たとえば、地震で生産ラインが止まったケースを想定してBCPを立てるとき、生産ラインでキーになるパーツを調べ、そのパーツを製造しているメーカーを調べると、そこにベンダー評価が表示されます。すると「コストは高いけれども、BCPの観点からはこのベンダーは外せない」といった判断もできるようになるのです。

GRCツールはまずはリスクが高いところから導入すればいい

　ただし、GRCツールはあくまで手段に過ぎません。導入しただけで問題が解決するわけではないのです。GRCツールでリスクを効果的に管理したうえで、そのリスクにどう対処するべきか明確に判断できる体制も必要でしょう。どの組織がリーダーシップを取るのか（インターナル・ポリティクス）は非常に難しい問題ですが、GRCツールの導入の検討を行うことで、会社全体に全社的リスク管理の必要性を浸透させたり、問題意識を持ってもらうことも大切です。

　そのうえで、GRCツールは最もリスクの高いところから導入していくとよいでしょう。最終的にはリスクを統合管理することが目的ですが、すべてのモジュールを一度に導入する必要はありません。たとえば、企業の中でベンダーの納期遅れが問題になっているなら、まずはベンダー管理のモジュールを入れて、納期が遅れそうなベンダーの管理から始めればよいでしょう。金融機関や医薬品メーカーなどの規制産業であればポリシー管理やコンプライアンス管理から、石油などのエネルギー関連や装置産業ならば、資産管理から始めればよいのです。

　たとえ資産管理からはじめても、環境対策でポリシー管理が必要になったり、補修のためにベンダー管理が必要になったりするなど徐々に利用シーンは広がっていきます。そうした際に、必要に応じてGRCツールのモジュールを追加していけばよいのです。従来、パッチワークの対応になりがちで、同じような過ちを何度も繰り返すことがありましたが、少しずつGRCの領域を増やしていくことで、体系的な統制体制を構築できるのです。

　また、GRCツールを導入することで、業務の実態が可視化される効果も期待できます。たとえば先の多国籍にまたがるパイプライン敷設の例でいえば、GRCツールによりベンダー管理をしてみると、パイプの調達先がグループ全体で10社もあることがわかったものの、実際に必要な調達先は2社でよかったといったようなことです。

　GRCツールを入れることで、各地域・部署・あるいは人がいかにリスク管理をバラバラにやっていたかが把握できるわけです。かなり統合が進んでいる会社でも、統合の度合いを高めるとともに、統合できていない部分が可視化されるという効果も期待できます。

　いずれにしても、日本企業の場合、事業はグローバル化・複雑化しているにもかかわらず、経営管理手法は従来のままというケースが多いのが現状ですから、今後、GRCツールを使って、さまざまなビジネスリスクを統合的に管理していく必要性が高まることは明らかだと思います。

　9月13日の「攻めの危機管理を実現する　GRC戦略セミナー 2011～経営活動の複合的リスクを洗い出す～」では、こうしたGRCツールの活用方法について、わかりやすい事例を交えながら、さらに具体的な手順とともにお話させていただく予定です。 （談）