Risk Oversight vol.57 リスクカルチャーの強化

主要な考慮事項

リスク文化とは「組織内でリスクを管理することやリスクを 受容することに対して推奨された一連の許容範囲内の 行動、協議、決定や姿勢」^[1] のことです。この定義はプロ ティビティがリスクマネジメント協会（RMA）と共同で実施 した調査において策定し、公的、私的、営利、非営利の 全ての組織に適用されています。リスク文化は、リスク管 理の基礎となる全ての要素をつなぐ接着剤の役割を果た します。なぜならば、リスク文化は共有された価値観、目 標、業務、ならびにリスクを組織の意思決定プロセスに、そ してリスク管理を業務プロセスに組み込む規律のメカニ ズムに反映されるからです。実際、そのことはリスクと報酬
（利益）のトレードオフが組織にとって本当に重要かどう かを見ることになります。

経営者が認識しているかどうかに関わらず、リスク文化は、 リスク管理の実効性を改善する上で、大変な障害となっ ている可能性があります。組織が進化すると共にリスク文化も進化するため、以下の事項を考慮し、自己評価や 内部調査、フォーカスグループ手法やその他の手法を駆 使して組織のリスク文化の現状を理解することは意味が あるでしょう。

• 組織全体の姿勢 ─ 組織全体の姿勢とは、リスク管理 やコンプライアンス、ビジネス上の責任ある行動に関す る組織のトップ、中間管理職、一般社員の姿勢の総合 的な影響力のことを指しています。一般社員が報告 先である管理者から日々異なるメッセージを見聞きして いると、経営トップからのメッセージはほとんど影響力を 持ちません。組織内の階層が多いほど、各層間の姿 勢に不一致が生じるリスクが高まり、同様に、中間管理 職や一般社員が当たり前のものとして認識している財 務や業務、コンプライアンス上の重要なリスクを上級経 営者が認識していない、というリスクも高まります。情報 が、組織内で上から下、下から上へ伝達される過程で 歪められ、現場と連携していないリーダーを生み出すこ とはよくあることです。^[2]
• リスク文化を推進する具体的な仕組み ─ リスク文化 を推進する具体的な仕組みは、組織の風土に影響を与えます。具体的な仕組みには、リスクガバナンス体 制を構成する企業のバリュー・ステートメント、行動規範 や倫理プログラム、方針や手順書、リスク管理委員会の 監視活動、インセンティブ制度、リスク評価プロセス、主 要なリスク指標に関する報告や実績のレビュー、そして リスク文化の改善プロセスなどが含まれます。また、こ れにはリスク選好に関する上級経営者と取締役会の 協議や、日々の企業戦略実行の場面で用いられるリス ク選好のリスク許容度・限度への落し込みも含まれます。
• リスク文化を推進する内部的要因 ─ リスク文化を推 進する内部的要因には、組織全体にわたる日々の活 動や意思決定（特に起業家的な活動に関して）の指針 となる企業の姿勢、理念、基本的な価値観などが含ま れます。内部的要因は、具体的な仕組みのように簡単 に見て触ることができないので、十分に注意を払わな ければなりません。例えば、リスク管理や内部統制の 責任に関する行動は、監査指摘事項の解決、内部統 制の不備への対応、指摘事項の上層部への報告や 報告事項に対する解決などに現れます。独立的なリ スク管理機能から提供される警告に対する上級経営 者の対応と同様、こういった活動がどれだけ適時に実 行されたかによって、組織のリスク文化がどのようなもの かがわかります。
• リスク文化を推進する外部的要因 ─ リスク文化を推 進する外部的要因には、規制当局からの要請や顧客・ 投資家等からの期待が含まれます。組織がこれらの 要請や期待をどこまで追求し、具体的な改善策を通じ て業務プロセスを整合させているかにより、組織の弾 力性が明らかになります。
• リスク管理に影響を与える可能性のある、副次的な組 織文化 ─ 複数の副次的な組織文化が存在すると、 環境の変化に対して機敏に対応ができ、画一的な組 織文化では対応できないような問題の解決、知識の共 有、顧客へのサービス提供が可能です。その一方で、 副次的文化は組織に甚大な害を及ぼすようなリスクをとる自分勝手な行動を許してしまうこともあります。^[3]
• 全体的組織文化との関係 ─ リスク文化は、単独では 成立せず、さまざまな面で全体的な組織文化からの影 響を受けます。リスク文化と組織文化は同一のもので ある、という主張もあります。リスクとは先行きに関する 不確実性です。したがって、企業は好ましいリスク文 化によって、「先行者」としてプロアクテイブになるともい えます。先行者は、他の企業が行動する前に、もしくは、 同様に主導権を握る企業と連携して、素早く特有の機 会やリスクを認識し、さまざまな選択肢を評価するため にそれらの知識を使います。このような文化は経営者 に対し、市場の変化が経営戦略の基礎となる重要な 前提条件を無効化する前に、時間的な優位性とより多 くの意思決定の選択肢を提供します。企業価値の創 造のための新しいビジネス機会の追求と、企業価値を 守る活動のバランスを良く保ち、どちらか一方に過度に 偏らないようにすることも望ましいリスク文化の例でしょう。

現状のリスク文化を評価した後、上級経営者は取締役 会の監督のもと、いかなる組織的変更が必要かを検討し、 それらを実行に移すべきです。望ましいリスク文化への 移行については、以下の事項が参考になります。

1. 好ましいリスク文化を組織に組み込む ─ リスク文 化は、企業のリスクガバナンスプロセス全般にわたっ て影響を及ぼすものでなければなりません。そうでな ければ、それはあってもなくても良い、または理論的な 概念でしかありません。具体的には、リスク管理の説 明責任や望ましいリスク管理行動はリスク管理委員 会のリスク管理憲章や方針、職務記述書や限度の 仕組み、手続き、報告ルールなどを通じて強調される べきです。
2. 好ましいリスク文化を最優先事項とする ─ 上級経 営者は、自らの行動や意思決定ならびにリスク文化がもたらす価値の定期的な伝達を通じて適切な行 動の在り方を示すことで、望ましいリスク文化を後押し しなければなりません。例えば、企業戦士のような組 織風土の推進や責任の所在が不明瞭な評価制度 の奨励、悪い知らせを伝える人間をやり玉に挙げるこ と、リスク管理機能からの警告の無視、誰もが好まし いリスク文化と明白に矛盾していることがわかる意思 決定は全て誤ったメッセージを伝えます。
3. 統合的に取り組む ─ 定期的な方針の伝達や啓蒙 活動、戦略の研修などは、単独では単なるお飾りに過 ぎません。業績予測や役割、責任、報酬システムと 適切にリスクを受容する行動を整合した統合的なプ ログラムでなければ、従業員に対して好ましいリスク 文化の重要な側面を強固なものにすることはできま せん。
4. 定期的に進捗状況を評価する ─ 従業員の行動の 新たな傾向や注意を要する姿勢や見識をモニタリン グすることが必要です。また、以下の指標を用いて 効果的なリスク文化を定量的・定性的に測定すること が必要です。
   • 上級経営者の後押しのレベル
   • 業務実行部門の「第一のディフェンスライン」として のリスクオーナーシップのレベル
   • リスク管理委員会やガバナンスプロセスの有効性
   • ビジネス上の重要な意思決定に際してリスクや負 担能力を考慮したという証拠
   • リスクに関する課題や報告された問題について取 締役会でなされた議論の質
   • 意思決定に際してのリスク選好ステートメントや、リ スク許容度・限度の仕組みの活用
   • リスクと戦略計画や方針との整合、統合
5. 変化の兆候を注視する ─ 前述の通り、従業員への 調査やフォーカスグループ手法はリスク文化を評価す る際のツールとして活用できます。独立したリスク管理機能や内部監査からの報告も評価リソースとして 有効です。リスク文化を強化するための変革が必 要かどうかを評価する際は、戦略や組織の変更によ る影響ならびに法規制の動向などの外部事象の出 現の検討が必要です。組織はそれぞれ異なります。 それゆえに、変化に応じてリスク文化を評価し、絶え ず調整することが重要なのです。

[1] 出典：2013 年 12月〜 2014 年 1月The RMA Journal “Risk Culture: From Theory to Evolving Practice,”より
[2] 出典：2011年 10月〜 11月NACD Directorship “Board should Monitor the Tone at the Bottom”, Dr. Larry Taylor.
[3] 出典：The  RMA Journal “Risk Culture: From Theory to   Practice”