■リスクの評価
網羅性を考える上で、もう1つ重要なのが1つ1つのリスクの粒感、つまりリスクの大きさの調整だ。企業として優先的に対処すべきリスクを見極めるために全社的な洗い出しをするのであって、あまりに細かなリスクまで吸い上げることは効率的とは言えないからだ。

これについてもいくつかのやり方があるという。例えば部門の中でリスクの優先順位付けをした上で上位10∼20を本社にあげてもらう方法や、調査事務局がリスクの規模も含めて例を示す方法など。『財務上の「不正リスク』というような項目を挙げておけば、『伝票に上司が判子を押し忘れる』というようなリスクは小さすぎるという判断ができます。リスクは日常的なケアレスミスから、他社から買収されるというような巨大なものまでいろいろあるので、いかに粒感をそろえていくかも事務局の手腕です」(達脇氏)。

ただ、実際に企業を取り巻くリスクは財務と労務といった具合に、種類も性質も異なるため、粒感をそろえるのはかなり難しい。実践テキストの中では実例として、リスクの大きさの指標となる発生可能性や影響度を数段階に分けて回答者に選択してもらうケースや、具体的な金額の範囲から影響度を選んでもらう方法などを紹介しているが、達脇氏は「もともとERMは、性質の異なるリスクを同じ土俵で比較することに無理がある」と指摘する。それでも、同じリスクマップに載せて整理する理由は「いくつものリスクがある中で、組織としてどこから対策に取り組むか優先順位を決めるため。リスクの評価にあまり時間をかけるよりは、ある程度のいい加減さがあってもいいので(リスクマップの)右上にある大きなリスクにしっかりとリソースを集中させることが大切」とする。防災やBCP対策なら、関連するリスクが、他のリスクと比べどのような位置づけになるかが、経営判断を得る上でのポイントになる。最も注意すべき点は、細かなリスクに目を奪われて、企業にとって本当に対策を講じるべきリスクに手がまわらなくなってしまうということだ。

■継続的な監視
こうした洗い出し作業は初回が一番大変で、2回目以降は初回に洗い出されたリストをもとにしながら、年に1回、あるいは数カ月に1回程度のペースで継続して実施していくことになる。「2回目以降は、リスクがどう変化していくかを見ていくということが重要になります」(達脇氏)。企業はこれらのリスクをPDCAサイクルを通じて計画的に対処していくことが求められる。

新型インフルエンザやアスベスト問題など、それまで見落としていて新たに顕在化したリスクについても、一覧に加えて管理していけばいい。達脇氏は「会社をとりまく環境が変わるにつれリスクの性質も変わっていく恐れがあるので、繰り返し継続的に調査を行うことが大切」と話している。

■ERMへの取り組み高まる
ERMへの取り組みはすでに多くの大企業で行われている。トーマツでは、同社が開催するセミナー出席者らに対してリスクマネジメント体制の構築や運営についてアンケート調査を行っているが、2009年調査では、体制構築および運営の双方の項目の平均が80%を超え(下図表)、リスクマネジメントのすそ野が着実に広がっていることを裏付けた。「弊社主催のセミナー参加者ということで母集団のレベルが若干高いとは思いますが、調査を開始した2002年当時は40%程度だったことを考えると、かなり取り組みは進んでいると言えます」(達脇氏)。

また、各企業が優先するリスクについては、「情報漏えい」「財務報告の虚偽記載」が例年上位に位置しているが、近年では「地震・風水害など、災害対策の不備」や「感染症拡大による事業継続の困難」など、事業継続に関するリスクが上位にあがってきているという。