「いま、把握しているリスクだけで十分なのだろうか」という不安
「どうもうちの会社は、コロナへの対応が後手に回っているんじゃないか」
「そもそも、うちのリスク管理体制は、どうなっていたんだ」
「コロナがひと段落したら、リスクマネジメントのあり方を見直した方がいいな」
「ついては、君、うちのリスクマネジメントを再構築してくれたまえ。ひとつ、よろしく頼む」
このような光景が、今、日本の多くの企業で発生しているのではないだろうか。実際に、コロナの流行と前後して、「リスクマネジメントのあり方を見直したい」といった問い合わせを受けるようになった。4月7日に緊急事態宣言が出されるに至った今回のコロナ禍は、ほとんどの企業にとって、想定外の出来事であったということだろう。
リスクマネジメントのプロセスは、一般的に、①リスクの洗い出し、②リスクの評価・分析、③リスク対応という手順を経る。しかしながら、現在、多くの企業に共通しているのは、①リスクの発見のプロセスについて、「今、把握しているリスクだけで十分なのだろうか」という不安である。
無理もない。過去10年間だけ見ても、チュニジアの若者の焼身自殺に端を発しSNSを通じて大規模反政府デモへと至ったアラブの春、アイスランドやパキスタンの首相を辞任へと追いやったパナマ文書の流出、泡沫候補と言われていたトランプ大統領の当選、中央銀行によるマイナス金利の導入などは、多くの企業にとって想定外の出来事だったであろう。そして今回のコロナ禍により、東京五輪は延期され、緊急事態宣言により多くの企業人が自宅でテレワークにいそしむこととなった。これだけ「想定外」の出来事が現実に起こる世の中(※1)において、「リスクを洗い出せ」といわれても、どのようなリスクを、どうやって洗い出せばよいのか、頭を抱えざるを得ないだろう。
これまで、多くの日本企業におけるリスクマネジメントとは、「みんながやってるから」、「規則だから」という理由で、受け身的にやらされてきた色合いが強い。具体的には、2002年のエンロン・ワールドコム事件に端を発して日本に輸入されたJ-SOX法や会社法に基づく内部統制やコンプライアンスの仕組み、大震災や新型インフルエンザの流行などの一大リスクイベントを経てパッチワーク的に拡充されてきたBCP(※2)、近年では、環境省が旗振りしている気候関連財務情報開示タスクフォース(※3)などが代表的な取り組みといえる。
このように、いわば外圧によりリスクマネジメントが構築されてきたと考えれば、必然的に、そこで見ているリスクは「カバーすべきと指定された、特定のリスク」であり、自分たちで、自社の事業特性に合わせてリスクを洗い出したりする必要はなかったのである。いわんや、「想定外」が当たり前に起こる世の中である。さて、どのようなリスクを、どうやって洗い出せばよいのだろうか?
自社の事業特性・業界特性を踏まえたリスク・スクリーニング・フレーム
Riskという単語を英英辞典で引くと、“the possibility that something bad, unpleasant, or dangerous may happen”と記述されている。「起こるかもしれない、悪いこと、嬉しくないこと、危険なこと」とでも訳せるだろうか。では、企業にとって、悪い、嬉しくない、危険なことは何かと考えると、一義的には、自社のキャッシュフローの棄損であろう。つまり、企業が把握しておくべきリスクとは、「自社のキャッシュフローを棄損し得る、起こるかもしれない将来変化(※4)」と定義できる。
自社のキャッシュフローを棄損し得る将来変化は、多岐にわたる。
しのぎを削っている競合企業が極めて優れた新製品を開発することかもしれないし、自社製品を無価値化する代替品が出てくることかもしれない。もしくは、どこかでドローンを用いたテロが起こり、政局が混乱したり、サプライチェーンが分断されたりすることかもしれない。
「考え始めればきりがない」と思える多様なリスク要因を、自社の事業・業界特性を踏まえて効率的・効果的に洗い出すためのリスク・スクリーニング・フレームを紹介したい。
リスク・スクリーニング・フレーム
このフレームでは、将来起こり得る変化を、自社からの距離感、換言すれば、意識している度合いに基づき、3つに分類する。
一番左、最も自社に近いのは“FACT”であり、業界のプレイヤーにとって常識ともいえる(=「知っていること」を知っている)リスクである。例えば、国内内需向け消費財メーカーにとっては、国内の人口減が市場縮小をもたらすのはほぼ確実であり、直接的に自社事業・業界に影響を及ぼす変化と言える。
その隣に位置するのは“FAITH”である。ここには、業界構造自体を大きく変え得るが、年度予算や中計といった短中期的マネジメントサイクルにおいてはあまり意識されず、結果として「気にはなっているが、あまりきちんと考えられていない(=「知らないこと」を知っている)」リスクが存在している。例えば、バイタル計測機器やAI技術の進展により予防の精度が向上により病気になる人が激減したり、仮に病気になっても臓器ごと取り替えたりすることができるようになれば、製薬メーカーにとっては自社事業価値を大きく棄損し得るリスクと言える。
このFACTとFAITHについては、自社の事業の特性や、近年の業界動向に着目することで、見るべき範囲を特定することができる。自社の事業や業界が起点となり、見るべき範囲を広げていくという点で、「インサイド・アウト」アプローチと呼んでいる。
一方、最も自社から遠くには“FEAR”と呼んでいる領域がある。ここには、自社事業や業界とは一見無関係で、起こるか起こらないかよく分からない(=「知らないこと」すら知らない)将来変化が存在する。短中期的な事業運営においては、無視されがちなのがこのFEARの領域であり、なかなかこの領域には目をやりづらい。しかし、逆説的に、想定外の変化やリスクは、このFEARの領域からやってくるのである。
トランプ大統領の当選、Brexit、コロナの流行など、想定外の事態が矢継ぎ早に起こる現代においては、リスクマネジメントの初めのプロセスである①リスクの洗い出しを行う上で、あたり前のリスクであるFACT、業界自体を大きく変え得るFAITHに加え、知らないことすら知らないFEARにも目を向けておく必要がある。
本連載コラムにおいては、続く中編で、企業にとって極めて重要ながら、おざなりにされがちな“FAITH”領域、換言すれば、「気にはなっているが、あまりきちんと考えられていない(=「知らないこと」を知っている)」リスクを把握しておく重要性とそのための具体的な方法論について述べる。
さらに後編では、多くの企業で「見て見ぬふり」をされているがゆえに、「想定外」を生む元凶となっている “FEAR”領域について、「想定外」の意味を紐解きながら、そこに存在するリスクを把握するための具体的な方法論を紹介する。
(※1)現代は、VUCA(ブーカ)の時代と称される。VUCAとは、「Volatility(激動)」「Uncertainty(不確実性)」「Complexity(複雑性)」「Ambiguity(不透明性)」の頭文字をつなげた造語であり、Brexit(英国のEUからの脱退)やトランプ大統領の当選などが起こった2016年には、ダボス会議でも大きく取り上げられた。
(※2)Business Continuity Plan:事業継続計画
(※3)TCFD:Task Force on Climate-related Financial Disclosures
(※4)実際のリスクマネジメントにおいては、内部統制やコンプライアンスといった内部リスクを含めて取り扱うこととなるが、ここでは、本稿の論点となる「自社の外部にあるリスク(=自社の外部の変化のうち、自社のキャッシュフローを棄損し得る事象)」に焦点を絞って筆を進めることとしたい。
※記事は執筆者の個人的見解であり、日本総研の公式見解を示すものではありません。
関連リンク