現代の企業活動では、外部の力を借りずに全てを自社内で完結させることはほとんどありません。日常的なお取引以外にも、スポットでの相談や発注もあり、自動車を始めとするメーカーの部品調達の例だけでなく、サービス業においても1年を通じて様々なパートナー・外部スタッフと一緒に仕事を進めているはずです。定型の品物の発注業務などは、ミスを防ぎ効率化を進めるために、電話からFAX、メール、そして専用のシステムなどに移行しつつあります。しかし、定型化できない、システムに乗りづらい発注業務はたくさん有ります。例えば、ウェブサイトの制作や広告プロモーション、店舗設計や建物の建築などは、目的や用途、周辺環境や条件、目標など様々な要件を示しながら打ち合わせを進めなければなりません。官公庁がそのような発注をする際には随意契約はほとんどできないので、プロポーザルやコンペの競争入札による選定となります。公平を期するために個別の打ち合わせができないため、提案に際しての条件となる詳細な仕様書が提示されます。ところが、民間企業の発注業務でこのような詳細な仕様書を準備することはほとんどありません。発注スキル不足をカバーするコスト協力スタッフ、協力企業の力を借りて良い仕事をしよう、良い結果を出そうとするならば、明確な指示を出さなければなりません。発注スキルが求められますが、これが難しいのです。近年ではDX(デジタルトランスフォーメーション)の推進が叫ばれ、慌ててビジネスのデジタル化やビッグデータ活用などに取り組む企業も増えています。ところが、昭和を引きずるような風土、経営陣の企業では「とりあえず」任命された「名ばかりCIO(最高情報責任者 Chief Information Officer またはChief Intelligence Officer)」のDX担当役員や担当部長は何から手を付けて良いかわからず、目的や目標も明確にせずITベンダーを呼び丸投げしている所も多いといいます。自分がよくわからないので部下に発注先の候補をいくつか出すように指示をすると、よほどの知見がない限り大手や有名なベンダーを中心に出すことになります。自分たちに発注スキルが無くてもなんとかしてくれるだろうという期待と、もし期待通りのものができあがらなかった(稼働後に問題が発生した)場合、ベンダーに責任を押しつける事もできる(保身)という安心感(保険)から、結局は割高であっても大手に発注することになるのです。手段が目的化するよくある例です。 CIO同様にCROが求められるべきだが業務のIT化と同様にリスク管理の重要性が認識される欧米では、近年CRO(Chief Risk Officer 最高リスク管理責任者)を置く企業も増えているといいます。アメリカのコンサルティング企業Deloitteのレポート(2019年)では、「リスク管理に投資し、特にリスク管理を最も重要な戦略的あるいは財務上の目標の達成に結びつける企業は往々にして、比較的高い成長率を達成する」としています(ZDnet JAPAN「最高リスク管理責任者を任命すべき理由とは--調査で明らかになった4つのポイント」より)。欧米でCxOが注目されると、それをいち早く取り入れたい日本の(意識高い系)先進企業も多くあり、CIOと同様「とりあえず」CROを置いてみたというような企業も出てきそうです。しかし、CROを任命されても権限よりも何か起こった時の責任が重いだけの役職という残念な位置づけにもなりかねません。しかもCIOは、業務上で大きなコストダウンや効率化を進めるなど、目に見える(数値化できる)目標を設定することができるのに対し、CROの管轄するリスク管理は、これから起こるかもしれない変化・損害を未然に防ぐ、最小化するという漠然としたもの。極端な例を挙げれば、あらゆるリスクに対して損害を補填する保険に入れば良いということになるのでしょうが、ブランドの毀損など金銭だけで補償できない損害もありますし、起こるか起こらないかのリスクに対しての保険料の支払いも莫大になりかねません。そもそも、自社の活動領域にどんなリスクがあるのかを整理できているのかが問題です。 リスク管理者に求められるスキルそこで、リスク管理について自社内で完結することは難しいと、コンサルタントや外部パートナーに相談、あるいは業務委託をしようと考えるのは普通です。しかし、IT化の外部発注とは違い、外部環境などの変化によって常に変化し新たに発生するリスクに対して準備、対応しなければならないので、常に自社を対応(変化)させていかなければなりません。そこでCROやリスク管理者に求められるのは、想像する力とコミュニケーション力です。想像することができなければ、その組織にとってリスクは存在しないことになります。存在しない(想像できない)リスクに対しては何も準備はできません。ハラスメントについて理解できない人や、夫婦やパートナーとの会話で地雷を踏むような人をリスク管理者に指名すべきではありません。リスク管理をするためには、社内で何が起こっているのか、何が進んでいるのか、これから何をしようとしているのかを把握し、そこに潜むリスクを想像できなければなりません。そのためには漏れの無い情報収集が必要になります。報告書やオフィシャルな発表だけでなく、SNSやネット上での書き込み、データ化されていない情報や言語化されない空気も重要な情報源です。もちろん、「人」は重要な情報源ですから、コミュニケーション力は重要ですし、外部パートナーとのスムーズな業務推進のためにも必要です。更に、集めた情報を整理する力も必要です。高い情報処理・整理力がなければリスクコミュニケーションは成り立たちません。外部パートナーに協力を仰ごうにも、整理した情報を伝えられなければ混乱するばかりですし、それ自体が新たなリスク要因にさえなりえます。社内外の情報を収集し、リスク分析をして対応策を練る。外部パートナーに支援を求める際には、どの部分の支援を必要としているのかを言語化し、明確に伝える能力が求められます。関連用語DX(デジタルトランスフォーメーション)CIO(chief information officer またはchief intelligence officer)CRO(Chief Risk Officer 最高リスク管理責任者)