リスク管理に関する日本企業・日本人の意識
昨日、某地下鉄駅で点検中エスカレータの立て看板に先日エレベータ事故で問題になった某社のロゴと社名が目に入り、お勤めの方には大変申し訳ないですが、条件反射ではっとして立ち止まってしまいました。
自身あらためて、リスク管理について過敏反応しているなあと感じたと共に、例の事件や証券誤発注問題、停電問題等を振り返ると、まさに日本人はリスク慣れしていないなあ、と思えてくる次第です。
最近の仕事では、FSA検査やSOX等、リスク管理についていろいろ考えなければならないテーマがでてきています。
FSAは小生もそれなりに知見があるつもりですが、SOXはきっと周囲にお強い識者の方々がもっといらっしゃると思いますので、それらの内容についてはひとまずおいといて、リスク管理について最近思うことを少し書きます。
リスク管理を熟知した方には釈迦に説法かもしれませんが、独自の、しかもかなりあらあらの統計でしかありませんが、欧米の企業経営者に「リスク管理に年間投資枠の10%くらい充当させたい」というと、たいていの方はそのまま話を聞いてくれます。
ですが対して国内の経営者に同じ問いをすると、「多すぎる」「そんなの要らない」「消費税率くらいならまだなんとか(実話)」といって前に進まないことがまだまだ多いのです。
経験だけで申し上げると、日本の企業経営に携わる人の多くが、リスクが顕在化し、はっきりと問題認識できるまでは、対策についてあまりたくさんの投資をしたがりません。
完璧なリスク回避策が存在すればそれに投資してもよいが、リスク緩和策については、かなり細かくしかも定量的にその策の投資対効果が証明できなければ、それの実施はしたくない、となかなか前向きになってくれません。
確かに、起こるかどうかわからないリスクに多大な投資を払うのを控えめに考えてしまうのは当然の反応です。
例の停電の件で、うちの社長が先日言っていたのですが、「もし送電線のメイン線とバックアップ線が100m以上離れた形にひかれていれば停電は防げた可能性が高いが、関係者はそもそもあんな形でまとめてぶったぎられることが起こるなんて想像もつかなかったので、あのような配置に配線していたと思われ、一概にそれを非難していいものか、非常に難しい」。
確かにその通りで、こんなことが起こるなんてこれまでの常識では考えられなかったということでいいかもしれませんが、同時に、これからはこのようなレベルのリスクまで考慮して管理する時代が来てしまったとも言えます。
話が少し飛躍するかもしれませんが、最近プロジェクトの大規模化が目立ってきており、且つそれらの並行化が進んでいるため、全体的にITリソースが枯渇しかかっています。
それだけでも大きなリスクを我々業界全体が抱えていると思います。
その人材リスクを軽減すべく、オフショアへの開発業務委託も推進に加速がかかっていますが、国をまたがる契約がもたらすリスクが無視できなくなってきました。
海外の人材・企業は、日本人と同じ感覚で契約マネジメントをしてくれるとは限りません。
それを充分に理解しないで委託したがために、結局依頼したものが納品されない・納品されたが使えない、という(どちらが良い悪いかは別にして)トラブルの相談量が最近無視できなくなってきています。
当然契約リスクから引き起こされるそれらの納期リスク・品質リスクは、根本的な問題として、次のIT投資に対して経営者を消極的にさせます。IT業界のブランドも低下のリスクを抱えることになります。身の丈を超えた受発注を繰り返す企業は、結局委託業務を達成できず、財務が悪化してリスク管理に対する投資もできず、結果、質の悪いシステムに悩み続けることになるのです。
最近クライアント先で気になる3大リスクは、人材、技術、財務、だと分析しています。プロジェクトマネジメントの仕事をするときにお客様の声を拾うと、大抵そうなります。
人材は上述した通りです。
技術とは、現在選択している技術が、今後いつまで標準であり続けるのか、あるいは最新技術として採用したものが近い将来標準になりえるのか或いは枯れてしまうのか、選択した技術が標準から外れた場合に代替案は準備できるのか、これらの予測・対応を見誤ることで被るリスクです。
財務はいうまでもなく企業として充分IT投資できる体力を持っているかということです。
企業の発展・維持を目指し投資するわけですが、身の丈を超えた投資によって大きな収支改善効果を得ようとすることは、企業経営の観点からはギャンブルです。
財務状態が良くない企業は大きなIT投資に賭けることは避けるのが無難です。
世の中にはいくつものリスク管理の方法論やフレームワークが見受けられますが、それらを使うことは問題ありませんが、リスクを細分化し、たくさんのリスクファクターを管理しようとする志向には最近賛成できない気がしています。
重要リスクを分析・議論の末絞り込んで、それらを効率的に管理していく仕組みが重要な気がします。
私は、この3つのリスクについて重点的にアセスメント&モニタリングする手法を導入すべく、
現在いくつかこの関係の仕事が進行中ですが、Confidentialityのこともありますので、一段落したら経験談をさらに詳細整理し、具体的な理論も述べてみたいと思いますが、ご意見のある方は是非コメントをお願いします。