写真を拡大 (出典:IIA / OnRisk 2020: A Guide to Understanding, Aligning, and Optimizing Risk)

11種類のリスクへの認識度合い

米国に本拠地を置く内部監査人協会(The Institute of Internal Auditors:IIA)(注1)は、2019年10月に調査報告書『OnRisk 2020: A Guide to Understanding, Aligning, and Optimizing Risk』を公開した。これは2019年6月に、北米地域の企業の取締役、役員、および監査役を対象として実施された調査の結果をまとめたもので、次の11種類のリスクに対する、調査対象の方々の理解度合いや認識状況が分析されている。

- Cybersecurity:サイバーセキュリティ
- Data protection:データ保護
- Regulatory change:法規制の変化
- Business continuity / Crisis response:事業継続/危機対応
- Data and new technology:データおよび新しいテクノロジー
- Third party:外部への業務委託
- Talent management:有能な人材の確保
- Culture:企業文化
- Board information:取締役への情報開示
- Data ethics:データの取扱いにおける倫理
- Sustainability (ESG):サステイナビリティ(ESG)

本稿のトップに掲載した図は、上の11種類のリスクに対する取締役(Board)、役員(C-suite)(注2)、監査役(CAEs)(注3)の認識状況の違いを表している。3つのグラフの縦軸(Knowledge)は11種類のリスク(黒い点で示されている)それぞれに関する知識をどの程度持ち合わせているか、横軸(Capability)はそのリスクに対する自社の対応力がどの程度だと認識しているかを表している。

ここで、左側の取締役のグラフと中央の役員のグラフとの間で黒い点の分布を比べると、取締役のグラフのほうが全体的に右側に広く分布していることが分かる。これは役員に比べて取締役のほうが、様々なリスクに対する自社の対応力に関して楽観的な傾向にあることを示している。

また、グラフが4色に色分けされているが、これは各種のリスクに対してそれぞれ次のような段階にあることを示している。

[r:Recognize(認識)]
リスクが認識されているが、ステークホルダーはそのリスクに関する知識をあまり持っておらず、リスクに対応するための施策なども実施されていないような状態

[e:Explore(探索)]
リスクに関する理解が進みつつあるが、リスクに対応するための施策などはまだ検討中の状態

[d:Develop(開発)]
少なくとも経営層の間ではリスクに関して十分理解されており、リスクに対応するための施策などが開発されているか、もしくは既に導入されているような状態

[m:Maintain(維持)]
全ての関係者の間でリスクが十分理解されており、リスクに対応するための施策などが導入され、施策の効果がモニタリングされている