イメージ(Adobe Stock)

米国の調査で今年の最優先事項はリスク管理

リスク管理は経営幹部の注目を集めており、ガートナーの調査によると*)、2026年の最優先事項としてリスク管理を挙げたCEOは2025年と比較して52%増加している。この変化は、今日の組織がますます高度なテクノロジーによって形作られ、より速く変化し、相互に関連し合うリスクに直面している状況下では当然と言えよう。

*)訳者注:「ガートナー調査(Gartner surveys)」とは、世界的なIT・コンサルティング企業であるGartner社が定期的に実施し、発表している調査報告のこと。米国のビジネス環境では、主観的な予測よりも「Data-driven(データ駆動型)」の意思決定が求められる。ガートナーの調査は、数千社規模のグローバル企業のリーダーから直接回答を得ているため、統計的な裏付けとして説得力を持っているとされる。

経済・規制・地政学的な変動が重なり、現在の事業環境において、リスク管理の中核的な責任を中央リスクチームに任せる従来のリスク管理手法は、不十分となっている。これは多くの場合、中央リスクチームへの通報が、リスクがインシデントにまで発展した後になって行われるためであり、その結果、他の問題に発展してしまうのだ。例えば、サイバーインシデントはIT部門だけに留まらず、サプライチェーンの混乱、規制上のリスク、さらには人材流出へと連鎖的に影響を及ぼすこともある。

ビジネスリスクオーナーは*)、リスクの特定と対応を改善するための権限と、リスク管理における重要な役割を担っている。しかし、ガートナーの調査によると、ビジネスリスクオーナーの88%はリスク管理に高い意欲を示しているものの、リスクオーナーとしての期待に応えられる自信があるのはわずか35%に過ぎない。

*)訳者注:「リスクオーナー」は「リスクの影響を受ける当事者(業務部門)」であり、3つの「ディフェンスライン」で言えば、リスクオーナーは「第1ライン」となる。

このリスクに対する自信のギャップは、組織にとって構造的な脆弱性となる。リスクオーナーが躊躇したり、許可を待ったり、リスク管理プロセスを「実際の業務」とは切り離して考えたりすると、組織が最も重要なリスクを組織的に、かつ積極的に効果的に管理する能力が損なわれてしまう。

このギャップを埋めるためには、リスクリーダー*)はリスクオーナーに対し、現在の環境が要求するスピード・徹底・自律性をもってリスク責任を認識し、対応できるよう指導する必要がある。そのためには、事業リスクオーナーが適切なリスク行動を学び、実践することで、リスク管理システムを構築し、あたかも反射的に行動するかのように迅速かつ正確に対応できるようになる。以下の3つの実践的なステップは、企業がこうした反射的な行動を身につけるのに役立つ。

*)訳者注:「リスクオーナー」は「リスクの影響を受ける当事者(業務部門)」であるが、「リスクリーダー」は「その活動を推進・支援する実務責任者」という役割である。3つの「ディフェンスライン」で言えば、リスクリーダーは「第2ライン」となる。