ナレッジ

クライシスに強い会社、弱い会社 ―危機への「耐性」と「体制」の考え方―

クライシスに強い会社、弱い会社とは何か。クライシスに強い会社をつくるためには何をすべきか。その足掛かりとなる危機への「耐性」と「体制」の考え方を実際の事例を踏まえて紹介します。

1. リスクマネジメントの優劣とクライシス対応

デロイト トーマツでは、定期的にグローバルリスクや不正リスクに関する大規模調査を行っているが、そうした調査から見えてくるのは、企業が直面しているリスクには一定のトレンドが存在するということである。品質不正や情報漏えいといった一見トレンドの影響を受けにくいと感じられるような事案にも、流行り廃りと呼べるような傾向がみられる。2022年に公表された大規模調査結果からも、ポストコロナと呼べるような新たなリスクのトレンドが今後見えてくると示唆される事案が出てきている。

各企業におけるリスクマネジメントとは、こうしたトレンドへの対応という側面を持つため、体制の構築やBCPの見直しでは、企業間でテーマの差はさほど存在せず、同一のプラクティスが採用される場合も多い。リスクマネジメントに欠かせないのは現在の環境から企業として管理すべきリスクを洗い出せるかであり、企業がこうしたトレンドを追うという姿勢は今後も継続されることだろう。

ところが、同水準のリスクマネジメントを行っていたはずの2つの会社に、同時期に似たようなリスクが顕在化したにもかかわらず、結果として対応の優劣に明確に差が出てしまうということは実際にはよくあるケースである。一般的に、上場企業は投資家からの監視の目にさらされ、上場基準に基づいた一定以上のリスクマネジメントが行われているはずだが、だからといって非上場の企業と比較して危機対応に強いとは限らない。リスクマネジメントの体制の精度や規模は、危機に際してそれをはねのけるだけの企業としての耐性とは必ずしも一致していないのである。

 

2. クライシスの発生個所とリスクマネジメント

ここで事例を検討してみたい。以下は、金融商品を取り扱うY社において、過去1年間に対外公表の是非まで取締役レベルで検討された事案の一覧である。

(1) 自社のマーケティング活動に伴う個人情報の不適切利用
(2) 施設の工事発注における従業員の詐欺行為
(3) 従業員の不適切行為に対するSNSの炎上
(4) 関連会社の経営幹部によるハラスメント行為
(5) 受発注処理における伝票の紛失
(6) 会社管理施設内のCOVID-19のクラスター発生

1年間で多数の事案が発生しているが、実際のY社は、好業績でブランド力も高く、従業員の離職率も低く、市場からの評価も非常に高い、いわゆる優良企業である。では、そこに甘えが生じてリスクマネジメントを怠っていたかというと、そうではない。トップの強いコミットメントのもと先進的なテーマにも着手し、業界のベストプラクティスとして挙げられる取り組みもあった。

Y社のリスクマネジメントを分析してみると基幹事業である金融を中心に組み立てられており、PDCAサイクルに基づいたマネジメントが定着していた。一方で、予算や人員リソースは強化しているものの、コアコンピタンスに直接影響しない分野や、その他事業に関しては進捗に遅れが見られた。上記の事案は、いずれも現状のリスクマネジメントでは想定していなかった事態や、優先順位として劣後していた分野から派生して事案が発生していた。

リスクマネジメントとしての個々のリスク評価が正しければ正しいほど、より経営にとって重要なアセットやテーマに対してリソースが傾斜配分されるのは当然あるべきことであり、それ自体は有効なプランニングがなされている証左と言ってもよいだろう。一方で、危機は必ずしもリソース配分通りには起こらず、むしろ配分されなかった分野から派生して起こってくる。このことから、リスクマネジメントとして顕在化させてはならないリスクと、クライシスマネジメントとして対応される顕在化してしまったリスクは本質的に異なったものであったことがわかる。

Y社におけるその後のリスクに関する考え方の変化を以下の二つの図から紐解いてみる。AはこれまでのY社の考え方であり、リスクに対してはリスクマネジメントが顕在化させないための取り組みを行っており、それでも顕在化したものがクライシスマネジメントの対応すべきリスクとして二段構えで存在していた。

図表1
クリックすると拡大版をご覧になれます

Aの観点でいえば、リスクマネジメントが完璧に機能した場合は、クライシスマネジメントは実質必要のないことになる。実際にY社においてクライシスマネジメントについての議論がなされることはそれまでほとんどなかった。しかし、すでに述べたように、リスクマネジメントとしてカバーできないリスクが顕在化することが現実として起こりうることが理解され、その後の考え方として、Bのようにリスクマネジメントとクライシスマネジメントはリスクに対して並列の補完関係にあるものとして位置づけられるようになっている。

 

3. 危機に対する会社の「耐性」

リスクマネジメントは、会社が直面しうるリスクを洗い出し、優先順位の評価を行ったうえで仮説を作成し、全社的なルールや管理体制に施策として反映させ、PDCAサイクルを回していくことでリスクの顕在化を防いでいく。一方で、クライシスマネジメントは顕在化したリスクを扱うため、事前に仮説は構築できず、具体的なアクションプランの速やかな遂行を必要とする。クライシスマネジメントとしての体制を実現するにあたっては、従来のアプローチとは異なる視点が必要になってくる。クライシスマネジメントの実現には、仮説構築や規程類の整備といった包括的なアプローチとは異なり、会社の実態や、ビジネスモデル、業界慣習、企業文化などを所与のものとしたうえで、顕在化した際に現状のリソースの中でどう動けるのか、対応に際し不足する要素はどういったものであり、どう調達されるのかといったような具体的な検証を行う必要がある。

デロイト トーマツでは、クライアント企業に対して、危機に際してその企業の弱点となりうる機能や、対応の遅れが懸念される類のインシデントなどを洗い出すサービスを提供しているが、クライシスマネジメントの第一歩は自社の弱点や個性に目を向けること、すなわち危機に対する自社の「耐性」を理解することから始まる。集中と選択が繰り返される経営判断の中で、強さと弱さの双方に目を向けられることが、危機に強い会社の特徴と言えるだろう。

 

※本文中の意見や見解に関わる部分は私見であることをお断りする。

 

執筆者

デロイト トーマツ ファイナンシャルアドバイザリー合同会社
フォレンジック&クライシスマネジメントサービス
シニアヴァイスプレジデント 清水 亮

 

不正・危機対応の最新記事・サービス紹介は以下からお進みください。

>> フォレンジック&クライシスマネジメント:トップページ <<