新聞やテレビの報道で「パンデミック」という言葉をよく見聞きするようになった。近い将来に予想される,新型インフルエンザの世界的大流行のことだ。
「なぜITproでインフルエンザ?」と思われたかもしれない。実は最近,企業の全社的・統合的なリスク・マネジメントの取り組みであるERM(Enterprise Risk Managent)について色々調べており,あるコンサルタントから話を聞く機会があった。「新型インフルエンザは以前から危機管理担当者の大きな関心事になっている。しかし,どの企業も何をどこまで考えておけばいいのか,頭を痛めている」という。
ERMでは,ビジネス活動を阻害したり企業価値を毀損したりする可能性のあるリスクを,(もちろんITの関与が強いか弱いかに関係なく)すべて俎上に載せて,対策の優先順位を考える。新規事業立ち上げのリスクしかり,J-SOX対応(内部統制)で扱う財務リスクしかり,BCP(事業継続計画)で扱う災害リスクしかり。パンデミックのリスクも当然,例外ではない。
とはいえ,危機管理担当者の悩みもよく分かる。パンデミックのリスクは,経営者にとって優先順位けや取り組みの動機付けが難しいからだ。
J-SOX対応なら「内部統制報告書の提出」という経営者への法的な縛りがある。BCPなら,中国四川省の大震災を持ち出すまでもなく,リスクの具体的イメージや被害の大きさを実感できる。しかし新型インフルエンザは,頭では大変なことだと分かっても,「鳥インフルエンザで死者が出ている海外と違い,日本では企業が直面する具体的なリスクとして認知されにくい」(前述のコンサルタント)という事情がある。
リスク・マネジメントの世界では,リスクの優先順位を付けるために,個々のリスクを「発生可能性」と「影響度(インパクト)」という2つの軸で評価するのが一般的。だがパンデミックの場合,影響度の大きさはともかく,発生可能性については「いつ出現するのか、誰にも予測することはできません」(厚生労働省「新型インフルエンザに関するQ&A」より)という曖昧さがある。このことも,企業が本格的な対策に二の足を踏む背景にある。
筆者は新型インフルエンザについて勉強不足であり,ここで具体的な議論をすることはできない。ただ,この問題に対する企業の意識や取り組みの実態について見聞きする過程で,ITを含めた企業のリスク・マネジメント全般に通じる肝心のポイントをいくつか再認識することができた。
一つが,対策の「具体性」を突き詰めて考えることである。
新型インフルエンザについては,厚生労働省が対策報告書をWebで公開しており,これを参考に対策マニュアル作りに着手している企業もある。日本経済新聞が主な製造業・流通業109社を対象に実施したアンケート調査(4月28日付け日経産業新聞)によると,対策マニュアルを作成済みの企業は37.6%だった。想像よりも高い数字で筆者は少し驚いたのだが,こうしたマニュアルが実は曲者なのだという。
前述のコンサルタントがこんな例を紹介してくれた。「例えば“重要でない会議”は延期または中止する,とだけ書かれている。こんな説明は,緊急時には全く役に立たない。そもそも“重要でない会議”とは,具体的にどんな会議なのか。それ以前に,“重要な会議”をどのような体制,手段,手順で開くのかが具体的に書かれていないとすれば,本末転倒もいいところだ。このように,企業が用意している危機管理のマニュアルには,いざというときに使えない記述が結構多い」。
もう一つは,リスクの優先順位付けの重要性を,経営者自身がもっと自覚しない限り,取り組みはうまくいかないということだ。
内部統制でもBCPでも,多くの企業では“熱い担当部門”と“冷めた現場”という意識のギャップがよく見られるのではないだろうか。ただでさえ,リスク・マネジメントは収益に貢献しない“後ろ向き”の取り組みと見られがちである。「経営判断として,そのリスクへの対応を重視している」というメッセージが発信されなければ,現場が冷めるのは当たり前だ。
新型インフルエンザに比べればはるかに具体的であり,法的な縛りのある内部統制でさえ,そうなりがちなのである。優先順位を明確にすることは,そうした社員の動機付けに役立つだけでなく,リスク対応へのリソース(投資や労力)の無駄遣いを発見することにもつながるのではないか。
企業は新型インフルエンザについて何らかの検討をするにしても,優先順位付けや対策の動機付けが難しい,という状況は当面変わらないだろう。しかし,自社のリスク・マネジメントについて突っ込んで考えたり見直したりするきっかけになるなら,それは意味のあることだと思う。
