ボヤン・イリッチ氏は、スイス・セキュリティ・ソリューションズの会長兼グローバルディレクターであり、グローバルセキュリティ、調査、リスク管理の分野で認められた専門家である。
ビジネスリスク管理(BRM)とは、組織が戦略目標の達成を妨げる可能性のある内部および外部の脅威を特定、評価、管理、監視する体系的なプロセスである。複数の権威ある情報源が示すように、BRMはもはやコンプライアンス部門のためだけの機能ではなく、持続可能なビジネス成長、ステークホルダーの信頼、市場の回復力を支える中心的な柱となっている。
私の職業人生の一部は、グローバル企業やスイスの中小企業(SME)におけるリスク管理基準とオペレーショナル・エクセレンスの構築、実装、発展に関わってきた。成功するリスク管理は、組織の戦略的オペレーションの中心的な部分である。それは、リーダーシップが組織内およびそのクライアント(ビジネス)内のリスクに体系的に対処するプロセスである。
ビジネスリスク管理フレームワーク
現代のBRMは、企業全体の思考とセクター固有のリスクガバナンスを統合し、ISO 31000およびQHSSE原則と整合している。これには、動的なシステムと部門横断的な連携を通じて管理される、有形および無形のリスク(財務、サイバー、オペレーション、環境、評判、地政学的リスク)が含まれる。
組織は、ISO基準に沿うことで持続可能なビジネスリスク管理を構築できる。持続可能なビジネスリスク管理(SBRM)には、GRI、CDP、SASB、国連グローバル・コンパクトなどの広く使用されているフレームワークがあり、これらは主要な柱にわたるベストプラクティスを定義している。
リスク管理方針とガバナンス
リスク管理方針の目的は、リスク管理活動と管理措置を設定することにより、リスクを許容可能なレベルで管理し、他の組織の方針、ガイドライン、規制に沿って、組織のパフォーマンス目標を最大限に保護することである。
ガバナンスは、ビジネスリスク管理が単なる活動の集合ではなく、組織の戦略目標、規制上の義務、ステークホルダーの期待と整合した規律あるシステムであることを保証する、構造化された監視、説明責任、意思決定のフレームワークを提供する。統合されたリスク管理ガバナンスには、オペレーショナルリスク管理ガバナンス、人的資本、ブランドと評判のリスク、ITとサイバーリスク管理ガバナンス、財務リスク管理ガバナンス、QHSSEリスク管理ガバナンス、そして新たにAIリスク管理ガバナンスが統合される。
リスクの特定
最初のステップは、組織にとってのリスクとその現れ方を特定することである。以下の主要なリスクがこの基礎となる。自然の力、本社および事業所の所在地、火災・爆発、破壊工作(財産損害)、公共の騒乱、生命への脅威、重要情報の完全性、機密性の侵害、詐欺、コンプライアンス違反、不正確または誤解を招く開示、そしてAIによってサポートされる情報とデータである。
リスク評価
第2のステップでは、特定されたリスクによって組織に生じる潜在的な損害と、その発生確率を評価しなければならない。これはビジネス固有であり、特別なリスクマトリックスを用いて各ビジネスにカスタマイズされる。各種の損害について、事象の潜在的な影響を決定する必要がある。
リスクを評価する際に最も重要なのは、発見された最も深刻な損害の種類である(例えば、場合によっては評判リスクが財務リスクよりも深刻である可能性がある)。リスク評価のためのリスクマトリックスは、リスク教育機関や専門ソフトウェア企業で入手可能である。
現在のリスクプロファイル
リスク評価の結果は、現在のリスクプロファイルとして表形式でまとめられる。これにより、リスクとその組織への脅威としての重要性の概要が得られる。リスクには3つの次元がある。予想損失、予想外損失、ストレス損失である。
「リスク」という用語は、損害のレベルと発生確率の関係として理解される。グローバルに活動する組織は、現在のリスクプロファイルを決定する際のサポートとして、世界経済フォーラム(WEF)の「グローバルリスク報告書」や「グローバル取締役・役員調査報告書」を利用できる。
リスク軽減
現在のリスクプロファイルは、リスク軽減措置の優先順位を決定する。リスクの特定と評価に続くリスク軽減の概念は、既存の措置の質と効率性を見直し、評価し、必要に応じて追加の改善を提案することを目的としている。
リスク軽減のための行動計画には、以下の項目を含める必要がある。リスクカテゴリー、トリガー、影響と改善措置(コストを含む)、現在と目標の分類、責任、期限、ステータスである。
目標リスクプロファイルとリスクレビュー
リスク軽減措置が現在のリスクプロファイルに与える影響は、目標リスクプロファイルにまとめることができる。リスクは通常、3カ月に1度のリスクレビュー会議で評価され、必要に応じてオペレーションによる標準的な月次チェックが行われる。
リスク管理をビジネスのDNAに組み込む
リスク管理は、年次監査や独立したチェックリストであってはならない。持続可能であるためには、日常業務、意思決定、企業文化に組み込まれなければならない。
採用、パートナーシップ、提供物と販売、製品とサービスの設計、サプライヤーの選定において、リスクベースの思考を取り入れる。リスクの所有権を、法務やコンプライアンスチームに限定せず、部門横断的なものにする。リスク思考を基盤に組み込んだ企業は、より迅速に対応するだけでなく、より早い段階でより良い意思決定を行う。
リスク管理を価値創造と結びつける
最後に、持続可能なビジネスリスク管理は、損失の回避だけでなく、成長の促進にも焦点を当てるべきである。この分野でトップにいる組織は、通常以下のことを行っている。
• リスク分析を使用して、イノベーションのリスクを低減する。
• 規則に従うことで、ステークホルダーの信頼を獲得する。
• 資金調達、保険、グローバルパートナーシップの獲得を容易にする。
要するに、優れたリスク管理は、失敗を避けることだけではない。それは戦略的優位性を獲得し、成功することである。
リスク回避からリスクへの備えへ
リスク管理における持続可能性は、リスクの不在を意味するものではない。それは、明確な目標を念頭に置き、システムに支えられ、人々によって推進される、計画的で意図的かつ対応力のある方法で不確実性に対処することを意味する。企業が、変化する規則、サイバーセキュリティ政策とAIの採用、気候関連の混乱、社会政治的不確実性など、多くの異なる問題に直面する中、リスクをリーダーシップのツールと見なす企業は、それをチェックボックスと見なす企業よりも優れた成果を上げる可能性が高い。
構築し、発展させ、改善する。企業には、目標と同じくらい先進的なリスク管理フレームワークが必要だ。
