イルマ・ベセラ氏は、革新的なカリキュラムで知られる総合的な博士号授与大学であるメリーマウント大学の学長である。
「リスク管理」と聞くと、多くの人は保険証券や法的メモ、あるいは「ノー」と言うコンプライアンス部門を思い浮かべる。ヒスパニック系学生支援機関である大学の学長として、私は異なる見方をしている。リスク管理とは、最も重要なもの──学生の機会、従業員が素晴らしい仕事をする能力、そして地域社会への約束を守る機関の能力──を守る規律である。
リスクはしばしば確率と影響の積として定義される。しかし実際には、確率の推定が正確であることは稀だ。バイアス、不完全なデータ、過信が我々の判断を歪める可能性がある。だからこそ、直感よりも規律あるシステムが重要なのだ。
平易に言えば、リスク管理とは、何が問題になり得るかを特定し、それがどれほど深刻かを理解し、リスクが許容範囲内に収まるよう実践的な管理策を講じる一貫した手法である。目標はリスクを排除することではない。それはしばしば不可能だ。適切な場合には意図的にリスクを引き受けつつ、防ぐことのできる損害を回避することである。
なぜ重要なのか
大学は、多くの企業と同様に、設計上オープンである。アイデア、人々、地域社会に対するそのオープンさは強みだ。しかし、それはリスクの表面積も拡大させる。
我々のような機関にとって、リスクは即座に現実となる。我々の学生の多くは第一世代の大学生であり、働きながら、子育てをしながら、あるいは家族を支えながら学んでいる。サイバー障害、水道管の破裂、奨学金支給の遅延は、他の場所では不便かもしれないが、我々の学生にとっては、学業の軌道を乱し、退学につながる可能性がある。
適切に行われれば、リスク管理は公平性の実現である。なぜなら、それは結果を運に左右されにくくするからだ。
優れたリスク管理とは
効果的なリスク管理は、棚に置かれたバインダーではない。それは予算編成、採用、IT、施設、学術、コミュニケーションを通じて実践に現れる。私の経験では、5つの要素が最も重要だ。
1. 譲れない事項の決定
受け入れられない結果を明確にする。我々にとって、それには重大な安全事故、機密データの漏洩、教育を中断させる流動性危機が含まれる。明確なレッドラインは、意思決定を迅速かつ政治的でないものにする。
2. 規律ある優先順位付け
すべてのリスクが同等の注意を払うに値するわけではない。影響と可能性によってスコア化された実践的なリスク登録簿は、リーダーシップが使命と安定性を真に脅かすものに集中するのを助ける。
3. 比例的で責任が明確な管理策の構築
管理策は予防的(研修、保守)、検知的(監視、監査)、是正的(インシデント対応、バックアップ)である可能性がある。私の経験では、最良の管理策には明確な責任者、定義された頻度、測定可能な指標がある。
4. 不可避への備え
事業継続性と危機コミュニケーションは、最初の実際のインシデントが発生するまで軽視されがちだ。机上演習、明確な意思決定権限、「初日」のプレイブックは、混乱と評判の損害を軽減できる。
5. 早期報告の奨励
多くの失敗は、人々が認識をためらう小さな問題として始まる。リーダーは、早期報告を奨励し、ヒヤリハットから学び、透明性を非難ではなくプロフェッショナリズムとして扱う文化を促進しなければならない。
リスク管理は保険よりも大きな概念であることを覚えておくことが重要だ。保険は財務的ショックを吸収できるが、失われたビジネスを回復させたり、データ漏洩後の信頼を再構築したり、サービス対象者への損害を元に戻すことはできない。私が見出したのは、最も強力なプログラムは、そもそもインシデントの可能性と影響を減らし、何かが発生した際の回復を加速させるということだ。
リーダーがトーンを設定する方法
リスク管理は究極的にはリーダーシップの規律であり、そのため完全に委任することはできない。リーダーは、それが単なるチェックボックスになるか、組織の運営システムになるかを決定する。
3つの行動が重要だ。
1. リスクを定例議題に含める。我々は、入学者数、在籍率、財務実績などの中核的なビジネス指標と並んで、主要リスクを検討している。
2. 基本に資金を投じる。サイバー衛生、予防保守、スタッフ研修、職務分離、適切な準備金は、見出しを飾ることは稀だが、危機を防ぐ。
3. トレードオフを明示する。すべての新しい取り組み──プログラム、ベンダー、パートナーシップ、提供モデル──はリスクを伴う。どのようなリスクを受け入れているのか。どのような軽減策に資金を投じているのか。軌道から外れていることを示す早期指標は何か。
実践的な出発点
限られたスタッフでも、組織は勢いを築くことができる。
1. 運営、財務、人事、評判の観点から、使命を脅かす主要リスクを特定する。
2. 責任者を割り当て、定期的なレビューを確立する。
3. フィッシングクリック率、繰延保守のバックログ、手元現金日数、重要な役職の充足までの時間などの早期警告指標を定義する。
4. 年に少なくとも2回の机上演習(ランサムウェア、異常気象、財務システム障害など)を実施する。
5. インシデント後、ループを閉じる。何が起こったのか。何が変わったのか。変更が維持されたことをどのように検証したのか。
使命保護としてのリスク管理
大学は人間の可能性を拡大するために存在し、その使命は信頼に依存している。リスク管理は、その信頼を守る静かで、しばしば過小評価される仕事である。不確実な時代において、それは我々の学生、機関、地域社会が自信を持って前進し続けることを可能にする。
あらゆる組織にとって、規律あるリスク管理は、混乱が不可避的に発生した際に、使命、戦略、成長を持続させるものである。
