Risk Oversight vol.71 リスクマネジメント能力の成熟度を考える

主要な考慮事項

能力の成熟度フレームワークは、以下のような問いかけについ て経営者がより明確に思考する上での助けとなります。

• 特定のリスクを管理する上で、場当たり的に数名の適任者 に依拠しているか、それとも強固な能力を有し継続的な改 善を行っているか。
• 優先順位の高いリスクのそれぞれに対してインフラの改善 を行っていくにあたり、リスクマネジメント能力にどの程度の 実効性を求めるのか。
• リスクの種類に応じて、リスク対応と関連するコントロール活 動の厳格さと強固さを変える必要があるか。それとも、成熟 したリスクマネジメント能力を適用する上で、全てのリスクを 同じように取り扱ってよいか。

組織の能力と望まれるリスク対応を相互に整合させる上で、意 識的な選択を行います。リソースは限られているため、予想され るコストとベネフィットを考慮し、リスクマネジメント能力を選択的に 改善しなければなりません。ERMのゴールは、組織にとっての最 も重要なエクスポージャーと不確実性を識別し、それらを管理す るための能力の改善に焦点を当てることです。この理由のため に、リスクマネジメントのインフラに力点を置くことが重要になります。

成熟度の5  つの水準を以下に例示します。

• 成熟度の初期段階 (Initial Stage)では、リスクマネジメント は断片的であり、場当たり的に行われています。個々のリス クは縦割りで管理され、多くの場合、組織は事象に対して受 け身となります。戦略・方針や正式なプロセスは概して存在 しないため、組織のリスク管理は、自らのイニシアティブで行 動する経験豊かなマネージャに依拠しています。 また、リスクオーナーが明確になっていないため、アカウンタビ リティがほぼ存在しません。退職者が出た場合、彼らの仕 事を引き継ぐことが困難です。重要性の低いリスクについ ては初期段階でも良いかもしれませんが、厳格さと規律がよ り求められる領域においては、方向性の欠如が危機の温床 となります。
• 成熟度が連続・反復化の段階 (Repeatable Stage)になる と、所定の目的と要件を達成するために、リスク評価を含めた リスクマネジメント方針に関する基本的な仕組みとプロセス が整備されます。リスクマネジメントに人的リソースが割り当 てられ、特定の個々人の責任と権限が定義されます。この 段階では、結果に対する責任を特定の個々人に帰せられる ほど報告の仕組みが厳格ではないため、アカウンタビリティに 関する課題がまだ存在するかもしれません。このため、「留 意すべき事項」について、依然として人に依拠するところが 大きい状態にあります。しかし、プロセスの規律が高められ、 リスク管理のガイドラインが確立することにより、「反復」があり、 退職者によって生じる穴は初期段階ほど大きくはありません。
• 定義化の段階 (Defined Stage)では、戦略・方針とプロセス はさらに精緻化され、文書化が行われることにより、事業部 門や職能部門にわたって横断的により統一的なリスク低減 活動とリスク監視が実施されます。例としては以下が挙げ られます。
  • リスク委員会の仕組みが整備され、全社的リスクを総合 し、部門・機能間の協調を確保することに責任を有する 担当役員が指名されている。
  • 戦略・方針の遵守と意図したとおりのプロセスの実施を 確実にするために、コントロールの文書化と検証を行う強 固な仕組みが整備されている。
  • 役割と責任が明確に定義されている。精密な方法論に 支えられた強固なマネジメント・レポートは、適切な主要業 績指標と主要リスク指標を意思決定プロセスに組み入れ ることにより、より多くの価値を付加する。
  • テクノロジが他の全てのインフラ要素の基盤となり、機能 が向上したシステムの安定性と拡張性が増している。
  • 例外事項や「ニアミス」が適時に報告され、教訓や統制 の不備に基づく改善活動が行われており、「リスク感度と リスク認識の高い意思決定」が行われていることが明ら かである。
• 定義化の段階にある組織は、強固なリスク・ガバナンスとリス ク文化の基礎を構築する途上にあります。管理化の段階 (Managed Stage)では、新たなリスクを識別し破壊的な変 化が生じる可能性を検知するための予測、シナリオ・プランニ ング、およびトレンド分析など、より高度な定量化手法や信頼 性が実証されたモデル、データ・アナリティクスによる意思決 定の支援が見られます。正式なディフェンスライン・フレーム ワークが導入され、リスクの測定がパフォーマンス・ゴールと 紐付けられ、早期警戒システムが整備され、資本配分手法 の効果的な採用が行われます。 リスク選好（アペタイト）フレームワークも確立され、事業部門 に配分されるリスク許容度への切り分けが行われます。所 定のリスク許容度を超過しそうになる、あるいは超過した際 には、状況評価が行われ、必要に応じて是正措置が取られ ます。目標、ターゲットおよび業績指標はダッシュボードレポー ティングやドリル・ダウン能力備えた全社的システムに組み込 まれます。これらの強化された能力により、リスクに関する 考察の戦略設定、事業計画および業績管理への組み込み が促進されます。また、これらの能力によって、組織は他に 先んじて新たなリスク（および機会）を捉え、行動することが できます。
• 最適化の段階(Optimizing Stage)は能力が最も高い水準 であり、組織は管理化の段階にある能力の継続的改善にコ ミットしており、事業環境が変化する中でリスクマネジメント・ インフラの全ての要素が完全に合致した状態に維持されま す。リスクとリウォードの望まれるバランスを達成し、複数のリ スクにわたる分散化の効果を理解し利用するために、会社 全体を視野にリスク戦略・方針が評価・見直しされます。 最適化の段階では、ベストプラクティスが日常的に識別され、 組織にわたって共有され、リスクマネジメント能力の強化は、 外部および内部の状況が変化する中で、継続的に行われ ていくことが示されます。全社的に構築、適用された改善

活動（例えば、シックス・シグマ）は、リスクマネジメントとの統 合・連携が確立されます。

以上が成熟度フレームワークにおける5 つの段階です。上記 の各段階で例示した基準は、それぞれの連続する成熟度の 段階が、リスク管理の更なる強化を反映していることを示して います。企業の能力の成熟度が高まると、リスク管理が成功 する見込みがより高まり、リスク管理が失敗する可能性はより低 くなります。成熟度フレームワークをリスクオーナーが一貫性を 持ち、かつ事実に基づいて活用することにより、組織全体のリ スクマネジメント能力の現状と目標とする状態を的確に理解し、 明確にすることが可能になります。

成熟度フレームワークの利用例としては以下が挙げられます。

• それぞれのリスク（例えば、規制、安全衛生、あるいはサプラ イチェーン・リスク）について、企業のリスクマネジメント能力 の現状を評価します。現状とは、一般的には、存在し機能し ている能力を意味しますが、能力を改善するために計画さ れているイニシアティブのうち予算が確保され着手済みのも のも考慮に入れます（これを改善後の状態ともいいます）。
• 適切なリスク対応を達成するためにどの程度の能力を追加 する必要があるのかを判断します。これを目標とする状態と いいます。目標とする状態を評価するにあたっては、可能な 限り現実的であることが求められます。その目的は、企業が ビジネスモデルを実行する上で、中核的コンピテンシーに最も 合致した合理的に期待される能力を選択することにあります。
• 目標とする状態はリスクによって変わることを認識する必要が あります。例えば、外国為替レートの変動に対する著しいエク スポージャーについては、少なくとも管理化の段階における能 力が求められます。原子力発電所の操業などに伴う業務リ スクについては、誤謬を許容する余地がほとんどないため、経 営者は最適化の段階を選択するでしょう。暴風、洪水、その 他の災害リスクについては、定期的な分析実施と保険付保 のみを必要とし、複雑なリスク・レポーティングの必要性はほと んどないため、連続・反復化の段階における能力が求められ ます。最も重要な情報資産とシステムに関するサイバーセキュ リティ・リスクについては、管理化の段階が目標とするでしょう。
• 現状と目標とする状態との間のギャップを識別した上で、 ギャップを埋めるための能力強化に伴う予想コストとベネ フィットの評価を行います。ギャップ分析の結果として策定 される行動ステップは、ビジネスプランに統合されます。

多くの場合、能力の改善は段階的に行われます。例えば、あ る会社の信用リスク管理能力の現状が、連続・反復化の段階 にあるとします。また、経営者が、これらの能力は管理化の段 階にあるべきとの決定を行ったとします。このギャップを埋める 上で、ギャップを一度に埋めるのではなく、能力改善の設計と 実施に対して段階的なアプローチを活用し、まずは定義化の 段階に進み、その後管理化の段階に進むことが望ましいかも しれません。

このアプローチは、従業員の変革に対する準備の度合いによ り沿っている可能性があり、成功の見込みを高める可能性もあ りますので、このアプローチは組織における混乱を低減します。 能力の成熟度フレームワークは、現状から目標とする将来の状 態への組織の移行のスピードを計画し、決定する上で、知識を 有する人員による慎重な検討と判断を促します。

全ての組織に当てはまるアプローチは存在しません。ある会 社における特定のリスクを管理する上での「ベストプラクティ ス」は、別の会社において同じリスクを管理する上で、不十分も しくは過度であるかもしれません。例えば、洗練されたモデル の適用は、売買取引を行っている組織では市場リスク管理に おけるベストプラクティスでしょう。しかし、価格変動リスクにさら されている取引が数えるほどしかない企業においては、エクス ポージャーは無視し得るほどのものであるため、そのような洗練 されたモデルは不要でしょう。全てのリスクについて最先端の 手法を採用する必要はありません。それができるほどのリソー スを持つ組織はなく、そうする事業上の合理的な理由もありま せん。このように、能力の成熟度という観点で思考することに より、リソース配分プロセスが円滑なものとなります。