自分の会社で「危機管理」「リスクマネジメント」を実践しようと思い立っても、どこから手を付ければいいかわからない。
そういった声を、時折耳にします。
「内部統制(業務適正確保体制)」を社内に導入しようとしたときが、その典型でした。

内部統制を社内に導入するときに、多くの会社がどうしたか。
多くの会社は、アメリカのトレッドウェイ委員会組織委員会が作成した「COSOフレームワーク」を頼りにして、「部署別のリスクの洗い出し」→「リスクの評価」という手順を踏んで、社内ルールを定めて、書面化していきました。
要するに、「うちの部署は、こんな失敗やミスをしたことあるよな。失敗やミスをしがちだよな。というリストアップ作業を行う。その失敗やミスは会社に与えるダメージはどれくらいの大きさかな。だいたい、こんなもんだろう。じゃあ、そういう失敗やミスをしないようにするためには、どうしようか。ダメージを最小限に食い止めるにはどうしたら良いだろう。何かルールを決めて、文書を残そうか」というものです。

その手法を全面的に否定するつもりはありませんが、だが、しかし、正直、ぶっちゃけ、手間だけかかって、会社の現場にとっては、めんどくさい。
「またルール増えたよ」「また書面作るのかよ」そんな不満が聞こえてきます。
私も、会社で働いていたら、同じように思います。

もっと言えば、これらは、自分たちでこういうことが起こりそうだなと発生を予測しただけで、担当者や現場の想定内のリスクの洗い出しにしかなりません。
企業で不祥事が発生するときには、洗い出されなかったリスク、リストアップされなかった失敗やミスが原因で起きることが多々あります。そうした予想外のものに対して、ルールは無力です。

さらに付け加えるなら、ルールを作れば作るほど、会社の活力は失われていきます
人は感情で生きる動物です。
「アレもダメ。これもダメ」と言われれば言われるほど、「だったら面倒くさいから、やらない」という考えになりがちです。
これが会社の閉塞感を生み出します。

では、会社が「危機管理」「リスクマネジメント」を実践するためには、何が、一番手っ取り早いのか。
答えは、他社事例を徹底的に分析すること、です。

ここに1つの例を紹介します。

「10年以上にわたって乗用車の欠陥を放置した米ゼネラル・モーターズ(GM)。メアリー・バーラ最高経営責任者(CEO)は議会公聴会で批判の矢面に立ったが、ダメージをひとまず最小限で食い止めた。バーラ氏流の危機管理で、反面教師になったのはトヨタ自動車だ。」

9695999693819691E2EAE2E3E38DE2EAE2E6E0E2E3E69793E3E2E2E2-DSKDZO7010696019042014EA1000-PN1-2

(日本経済新聞平成26年4月19日(土)朝刊より)

アメリカのGM社は、自動車のエアバッグが作動しないにもかかわらず、リコールを10年以上も放置していた件について、アメリカ議会公聴会でヒアリングされました。
その際、2010年にトヨタ自動車が意図しない急加速問題で、アメリカ議会公聴会でヒアリングされ、バッシングされた事件を徹底的に分析した、というのが、上に引用した記事の内容です。

要は、同業他社であるトヨタが公聴会でのヒアリングの結果、世の中からバッシングを受けたことを、GM社にも起こりうる危機であると捉え、その危機の原因を分析して、公聴会に対応し、危機を回避した、のです。

この行動が「危機管理」「リスクマネジメント」の入口であり、お手本です。

自分たちで失敗やミスを予測して洗い出すのではなく、他社で発生した不祥事、失敗、ミスを参考にする。
その不祥事、失敗、ミスの原因を、新聞記事やマスメディアの報道、その会社が発行したプレスリリースから読み解く。
そのうえで、その原因と同じことが自社で起きうるかどうかを判断する。
このステップを踏めば、「危機管理」「リスクマネジメント」をすることは容易になっていきます。
はっきり言うと、他社事例を分析していると楽しく「危機管理」「リスクマネジメント」ができるようになる。
他社事例を詳しく知っていればいるほど、「危機管理」「リスクマネジメント」の引き出しが増えていく。
果たして、自分たちの予測以上の問題に直面しても、慌てずに、その問題に対処できるようになっていくのです。

ただし、意識しなければいけないのは、失敗、ミスの原因の分析は徹底的に行う、ということです。
具体的に、従業員が会社の顧客データベースにアクセスして、顧客情報を盗み出し、その顧客情報を社外の第三者に売った、という事件を例に説明しましょう。

多くの場合、「従業員が顧客データベースにアクセスできたことが問題だ。盗み出せるようになっていたことが問題だ。だから、システムを強固な物にしよう。IDとパスワードと複数の人によるチェックが必要なことにしよう」となりがちです。

それも間違ってはいません。
しかし、事例分析としては浅い、浅すぎです。
もう一歩踏み込む必要があります。

従業員が顧客データベースにアクセスして名簿を盗み出した目的は、それを第三者に売ってお金を得ることです。
では、なぜ、お金が欲しかったのでしょうか。
従業員の身内に不幸があったのかもしれない。従業員の家のローンの返済がきつくなってしまったのかもしれない。従業員の子どもの学費が足りなくなってしまったのかもしれない。従業員が仕事でミスをして会社の財務に穴を空けてしまったので、バレないように補てんしようとしていたのかもしれない。従業員が仕事のストレスを溜めこみ、ギャンブル、水商売や風俗にハマってしまって、多額の借金を負ってしまったのかもしれない。・・・など、いろいろな動機が考えられます。

ここに書いた動機は、決して笑い話ではありません。いずれも過去に発生した不祥事の原因として報道されたものです。
動機の点まで掘り下げれば、従業員が身内や家庭内のできごとでお金に困っている場合に会社として何ができるだろうか、従業員が仕事でミスをしてしまった場合に会社としてどう対処したらいいだろうか、従業員がストレスを抱えてしまった場合に会社として未然に借金を防ぐためにはどうしたらいいのだろうか、ということを考える余地が生じてきます。
ここまで考えて、会社としての対策を考える。
これが、他社事例を分析した「危機管理」「リスクマネジメント」です。

一朝一夕で身につく物ではありません。
しかし、新聞の社会面を丹念に読むと、なぜ、社会面で報道されるような事件はなぜ発生したのか、それが自社で発生しないようにするためにはどうしたらいいのか、という「危機管理・リスクマネジメント」の感覚をつかめるようになっていきます。