ビジネスリスク(戦略リスク)アセスメント
ビジネス上の意思決定がよくないと思うのならば、それはリスク管理に問題があるのかもしれません。今回は冒頭に挙げた例を踏まえながら「ビジネスリスク(戦略リスク)アセスメント」を効果的に行うコツについてお話ししたいと思います。
具体例としては下記のようなケースが挙げられます
4・韓国企業の隆盛で失敗(シャープ)
・デジタルカメラの隆盛で失敗(コダック)
・動画配信の隆盛で失敗(ツタヤ)
など
ビジネスリスク(戦略リスク)とは
業界や会社によってその定義は異なりますが、ここでは「事業環境の変化」が「自社の事業計画あるいは予算計画」に影響を与えるリスクとします。
「事業環境」もまた定義の難しい言葉ですが、ここでは下記のように、外部の要因と内部の要因の組み合わせとして定義します。
事業環境のうち外部の要因
政治的要因(政府によるコンプライアンス要求や規制など)
経済的的要因(市場リスク(金利の変化、景気の変化)、価格圧力など)
社会的要因(顧客の嗜好の変化、社会的要求、競合企業の動向など)
技術的要因(あたらしい技術の誕生など)
PEST分析などのフレームワークを使うとまとめやすいです。
事業環境のうち内部の要因
人的要因(労働市場の動向、人材育成の成果など)
物理的要因(機械の故障、火災、盗難など)
資金の要因(資金調達手段、親会社の資金状況など)
経営リソース(ヒトモノカネ)ととらえるとまとめやすいです。
上記の変化を適切にとらえたうえで適切に対応することができないと、冒頭に挙げた例のようになることがわかると思います。
リスク管理のAIDMA
リスク管理がうまく機能していない場合、いくつかの理由が考えられます。その理由を整理するのに効果的なのが「リスク管理のAIDMAモデル」です。AIDMAとは、「消費者」が何か「ものを買う」までにどのような心理状態を経過していくのかを説明するためのモデルですが、これをリスク管理にも当てはめて考えます。「企業」が「行動を変化させる」までに至ると考えれば、だれかが何かをするに至るというおおよその構造は同じであることがわかるかと思います。
AIDMAとは
AIDMAモデルにおいては消費者はものの購入に至るまでに下記の心理状態を経過すると考えます。
・Attention:そのモノ/サービスについて存在を知る
・Interest:興味を持つ
・Desire:欲しいと思う
・Memory:そのことを記憶している
・Action:購入する
では、これをリスク管理に当てはめてみます。
Attention:経営環境の変化に(会社として)注意を払う
もし、ビジネスリスクの管理がうまくいっていない、あるいはビジネスリスクに対する管理が存在しないというならば、事業環境の変化が自社の経営に深刻な影響があるかもしれないとの認識ができていないのかもしれません。その原因はおそらく「これまでそのような危機にあったことがない」ということにあると思われます。
この場合の主な兆候としては下記のようなことが考えられます。
・経営管理部が会議運営しかしていない。(経営環境の変化に対応する責任のある部署が決まっていない)
・年初挨拶等で経営環境に触れるものの、具体的な施策がない。
・すでに市場シェアあるいは市場規模が縮小しており、赤字に陥ってる
これに対してリスク管理の責任者ができることは、例えば、経営陣の関心ごとをヒアリングし、まとめてみる、などが挙げられます。「会社として」経営環境の変化には関心を払っていなくても、役員一人一人が経営環境の変化に関心を払っていないことはほとんどありません。「会社として」関心を払えるようにするため(会社としてのアクションにつなげるため)、まずは役員一人一人の関心ごとを聞いてみることをお勧めします。
・Interest:自社に大きな影響を与えそうな要因のうち、特に重要なものを特定する
経営環境についての話はよく聞くものの、具体的に何が問題なのかが明確になっていないというならば、会社としての意思統一ができていないことに問題があるのかもしれません。競合他社も重要だし、顧客ニーズの変化も重要で、原材料価格も重要であるし、政治も経済も重要である、などと数えきれないぐらいに様々なものを重要視することは、なにも重要視していないことに似ています。また、「政治」や「経済」のように抽象的なレベルでは具体性を持ったアクションにつなげることはできません。例えば、「不正」といった場合、それは従業員等による横領など(被害者は会社)を指すのか、他人のクレジットカードの番号を盗んで使うこと(被害者は顧客)なのかが共通認識できていなければ、経営陣の意識する「不正」に対する適切なアクションは出てきません。
この場合の主な兆候としては下記のようなことが考えられます。
・経営陣の関心ごとが役員それぞれによって異なっており、それが両立しない。
・役員ごと、あるいは部署ごとに関心ごとが異なり、対立している。
・漠然とした課題であり、具体的になにを示しているのかがはっきりしない(上述の例)
これに対してリスク管理の責任者ができることは、例えば、経営陣がディスカッションする機会を設け、それぞれの役員が考えていることを共有し、互いの理解を深めたうえで、「会社として」なにが重要なトピックなのかを特定することをお勧めします。今すぐにプロモーションにお金を使わなければ競合に勝てないのか、それともまずは増えるアクセス数に対応できるようにシステムを増強するのが先か、あるいはグレーな法的問題を解決できる体制整備が先なのか、を会社として決める必要があります。二兎を追って二兎を得ることはまれです。
・Desire:自社が変革する必要があることを認識する
もし、会社がなかなか変わろうとしない、あるいはいつまでもなにも変わらないというならば、前述の経営課題を特定する評価軸に問題があるのかもしれません。そのため、InterestがDesireにうまくつながっていないということにあると思われます。
おそらく、この場合の主な特徴としては下記のようなことが考えられます。
・「一般論として」重要な課題を挙げている
→(この場合よく挙がってくるのが、地震、景気の低迷、ロシア問題など)
・「発生頻度と重要度」の2軸で考えている。
→(事務ミス、システムインシデント、ハラスメント)
・すでに重要視しているものに対して改めて重要であると定義しなおしている
→(アンチマネーロンダリング等法令対応、競合他社の動向)
これに対してリスク管理の責任者ができることは、会社として注意を払うべき項目を特定するときの評価軸を工夫する、などが挙げられます。その時に「発生頻度と重要度」という評価軸を提示して今うと、これまでに起こったことのない事態は低く評価され、よく起こる事態が高く評価されます。よく起こる事態であれば、ほとんどの場合すでに責任部署が定義されており、日常の業務としてリスクコントロールが行われているはずです。「会社として対応」が必要ということを「新しい組織が必要」あるいは「責任部署を新たに定義する」といった定義にすることをお勧めします。例えば金融機関であればアンチマネーロンダリングに対応する部署が定義されたのは比較的最近のことかと思います。事件事故が起こったことをきっかけに部署を新設するようでは、リスク管理ができていないとみなされることが多いかと思います。
・Memory:記録・周知し、関係者全員が同じ問題認識を持つ。
もし、「変わろう」とする意気込みが途中で消える、あるいは迷走する中で安直な解決策(のようにみえるなにか)をやって終わってしまうのであれば、その原因はおそらく「課題認識の共有」にあると思われます。
この場合の主な兆候としては下記のようなことが考えられます。
・課題に対して見当はずれな対応策がとられる。
・対応策が実行され完了するものの、課題が解決していない。
少子化に対して出産一時金を数万円増やすことの効果を考えればわかりやすいかもしれません。「少子化」に関連する策としては、出産一時金を増やすという策は関連する策であるといえるかもしれませんが、この策によってどれほど出生数の上昇が期待できるでしょうか。少子化という課題の本質が見えていない場合、このような課題に関連するものの課題の解決に至らない策が出てくることがよくあります。
これに対してリスク管理の責任者ができることは、例えば、具体的にどのような課題認識であるのか、どのようなディスカッションがなされたのかを記録し、それを対応策を作る部署の一人一人にまで周知する、などが挙げられます。
・Action:変革するための行動を起こすこと。その行動が現在の問題を解決するのに適切かどうかを検証すること。
対応→事業リスクアセスメントを毎年行うこと。次回のアセスメントにおいても同じアイテムが上がるようであれば、その対応策の効果が薄かったのかもしれない。(同じアイテムであっても事業へのインパクトが高くなったという可能性もある)
ここまでのことができていれば、あとひとつだけ気を付けることがあります。それは「やっている感」です。
「やっている感」の演出としては下記のようなことが考えられます。
・なにかを一覧にしてまとめた資料が委員会に提出される
・アクションプランの評価軸として「完了」か「未完了(遅延)」しかなく、「完了」の度合いが100%に近づく
・すでに実行されているもの、あるいは通常の業務が課題に対応するアクションとして提出される
これに対してリスク管理の責任者ができることは、例えば、対応策の評価として、課題が解決されたのかどうかという視点を持つことなどが挙げられます。改善策の策定と実行を担当する部署とリスク管理責任者がしっかりと話し合うことも重要ですが、それでもなお、実効性があるように思えないのであるならば、対応策そのものをディスカッションするのではなく、KPIを設定し、それを達成させるように導くほうが、組織としてよりよい形に近づけるでしょう。
終わりに
今回はビジネス上の意思決定について、リスク管理のAIDMAという枠組みで、リスク管理の責任者ができることをまとめてみました。