世界一わかりやすく解説！「息を吸うようにリスクマネジメントする」方法

2025年5月27日、TECH+ セミナー「持続可能な経営のためのリスクマネジメント『リスクに負けないレジリエントな組織へ』」が開催された。企業を取り巻くリスクは複雑化・多様化の一途をたどっている。日常の業務にリスクマネジメントを組み込み、組織の対応力を自然に向上させることができるとしたら、いったい何が必要なのだろうか？

ニュートン・コンサルティングの勝俣良介氏による講演「『息を吸うようにリスクマネジメントをする』には？～『世界一わかりやすいリスクマネジメント実践術』解説セミナー～」より、リスクマネジメントを自然に行うためのヒントをお届けする。

ニュートン・コンサルティング株式会社取締役副社長兼プリンシパルコンサルタント勝俣良介氏

複雑化するリスクに対する企業の悩み

会社法やJ-SOX法の制定により、「内部統制の強化」が法的に求められるようになってから、およそ20年が経過した。この期間に、激甚災害やサイバー攻撃の増加、新型コロナウイルス感染症の流行などが次々と発生し、リスクマネジメントのあり方に大きな影響を与えている。さらに近年は、脱炭素や人権尊重といったサステナビリティ情報についても、情報開示が必要となっている。

こうした状況下で勝俣氏は、次のような悩みを聞くようになったという。

ウチの組織、リスク感度が低いんだよね……
リスクアセスメントを、もうちょっと上手くできないかな
AIリスクにどう対応していいか分からない
リスクマネジメント委員会を組成したけど、イマイチ盛り上がりに欠ける
「ポジティブリスク」「攻めのリスク」なんて言われているけれど、リスクアペタイト（※1）はどのように考えるべきだろうか？

（※1）リスクアペタイト：目標を達成するために、受け入れられるリスクの許容範囲

「総じて、リスクマネジメントの仕組みは導入したものの、その運用について悩む方が多いように思われます。こうした悩みを解決したいと思い、先日『世界一わかりやすいリスクマネジメント実践術』を出版しました。今日は、この本のエッセンスをお伝えしていきます」

リスクマネジメントは、危機を価値に変えることができる

はじめに、勝俣氏はこう問いかける。

「リスクマネジメントは本当に『役に立つ』のでしょうか？」

2024年は、1月2日に発生した羽田空港での航空機衝突事故を皮切りに、顧客情報流出、不適切動画の拡散、システム障害、データ改竄、品質不正など、数多くの事故・不祥事が発生した。こうした「失敗」の原因としてリスクマネジメントの不備が問われることは多い一方、「成功」の要因にリスクマネジメントが挙げられることはほとんどない。

「ところが、Pentland Analyticsの調査（※2）によると、『危機』に直面した企業はその後、株価が期待値を下回るか、それとも上回るかのどちらかであることが明らかになっています。横ばいということはありません。そして、危機対応後に株価が上昇した企業は、事前のリスクマネジメントをしっかりと実施していたことが判明しています」

つまりリスクマネジメントは、危機発生時の損失を最小限に抑えるだけでなく、企業価値の向上にも貢献する「役に立つ」活動だと言えよう。

＜参考資料＞

（※2）Pentland Analytics.(2020）Risk, Reputation and Accountability A GOVERNANCE PERSPECTIVE OF DISRUPTIVE EVENTS.（リスク、風評及び説明責任に関する調査報告書）

では、リスクマネジメントを組織全体で機能させるための、一手目は何だろうか？勝俣氏はまず、組織のリスクマネジメントには必ず「ブレ」が生じると指摘する。

「たとえば、『信用を失墜させる不正リスクは絶対に取らない』と経営者がいくら考えていても、『このごまかしをしないと上に叱責される』といった重圧から、現場でデータ改竄が起きてしまうことがあります。立場によって、人によって、『絶対取らないリスク』は変わってしまうのです」

「最初にすべきことは言語化です。何を目指しているのか？どんなリスクは覚悟しているのか？どんなリスクは絶対に取らないのか？これらを明確にし、リーダーシップをもって組織全体に伝えること。そのコミュニケーションこそが、あらゆるリスクマネジメントの出発点になります」

未来の失敗を予測する「プレモーテム分析」

さらに、組織内には「気付けないリスク」も存在する。

例えば、あるメーカーで、営業担当が納品時に顧客から「形状が不揃いだ」と、クレームを受けたケースを考えよう。工場長に品質管理の徹底を求めたところ、「そもそも自社の技術では完全に揃えるのは不可能だと言ったはずだ。当然、そのリスクは契約時に説明し、納得してもらうべきだった」と反論されてしまった。

このような部署間のコミュニケーション不全や認識の齟齬は、「気付けないリスク」を生み出す典型例だ。

「リスクについて議論する際、誰と、どこで話し合うのかを今一度考えてみましょう。案外、隣の部署の責任者とはコミュニケーションを取っていないのではないでしょうか」

こうした「気付けないリスク」を、さらに発見できるようにするためには、何が必要だろうか？

勝俣氏は、次のようなポジティブリスクの事例を紹介する。

東日本大震災が発生したとき、ソニーの半導体工場も大きな被害を受けた。このままでは、予定していた製品がリリースできなくなってしまう。韓国に同様の部品を製造しているメーカーがあったが、数年前の調査では品質要件に合致していなかった。とても無理だ。間に合わない。

しかし、本当にそうなのだろうか？

改めて調査したところ、現在では要件に合致しているレベルの製品が存在し、中には日本製より優れているものもあったという。

「気付けないリスク」に気付くためには、固定観念を排除する必要がある。そのために重要なのが、固定観念を取り払う「問い」だ。

たとえ同じ事象であっても、「どんなリスクがあるか？」という問いを異なる視点から繰り返し投げかけることで、毎回異なる答えが導き出されるのだ。つまり、多様な問いを通じて、私たちは無意識のうちに抱えている固定観念を打ち破ることができるのである。

「それを実現してくれる一つの手法が、『リスクアセスメントの技法』なのです。その中でも私の経験則から、これは絶対知っておいて欲しいという技法が『プレモーテム分析』です」

プレモーテム分析とは、何かを始める前に、「それが失敗すると仮定して、最もありそうな失敗シナリオとその原因は何か？」を予測し、事前に対策を講じる手法である。「登山の準備」をテーマに、分析例を紹介しよう。

A：「これから登頂を目指すわけだけど、最もありそうな失敗シナリオは何だと思う？」
B：「うーん。道に迷って、そのまま沢に降りて、遭難するのがありそうなパターンですかね」
A：「なんでそんなことになるの？」
B：「そりゃあ、迷ったかも……と思っても、実際に引き返すのは面倒だし、勇気がいるからですよ」
A：「まさにそれが、事前に潰しておかなきゃいけないリスクだね」

「このプレモーテム分析は、事業戦略であろうが、プロジェクトであろうが、目の前のちょっとしたタスクであろうが、すべてに応用できる技法です。皆さん、ぜひとも覚えてください」

リスクマネジメントを組織文化に「溶け込ませる」秘訣

プレモーテム分析のように、新たなテクニックを学んだとしても、形だけで「宿題をやらされているようだ」と感じられてしまっては意味がない。リスクマネジメントを、「息を吸うように」自然に行うためには、どうすればよいのだろうか？勝俣氏は、ISO31000（※3）の原則の一つである「統合」という言葉にヒントがあると語る。

（※3）ISO31000：リスクマネジメントの原則とガイドラインを提供する国際規格。

取締役会での承認、経営会議での意思決定、事業計画の策定、予算承認といった日常的な企業活動は、本来、すべてリスクと関係している。ところが多くの組織では、これらの企業活動とリスクアセスメントが切り離され、一年に一度の「盆踊り」のような特別な行事として扱われているのが実情だ。

そのため「既に組織が行っている活動に、どうすればリスクマネジメントを『溶け込ませられるか』を考えるべきです」と勝俣氏は提案する。

「意思決定の際に『取るチャンスは何か』『取らないことになる機会は何か』『負うことになるリスクは何か』といった言葉を使って会話をするだけでも、リスクを意識した判断ができるようになります」

有事対応力の向上も同様だ。勝俣氏は、次のような具体策も紹介した。