新たな脅威に直面するリスク管理体制の強化(2026年3-4月号)
ブリタニー・バスラー(訳:鈴木英夫)[*]
2026年のアリアンツ・リスクバロメーター*)によると、サイバーセキュリティの脅威と人工知能は、あらゆる業界の組織にとって世界最大の懸念事項となっている。これらのテーマは今日のニュースの見出しを飾っており、企業や経営幹部がこれらの分野における成長・統制・リスク管理の取り組みに注力している。
*)訳者注:、「アリアンツ・リスクバロメーター(Allianz Risk Barometer)」とは、世界で最も注目される年次の企業リスク調査報告書の一つ。ドイツの大手保険グループであるアリアンツ(Allianz SE)の企業保険部門(Allianz Commercial)が毎年1月に発表しており、世界各国のリスクマネジメント専門家・CEO・ブローカーなどの意見を集計したものである。単なるランキングではなく、「リスクの相互関連性」を視覚化している点が特徴。
新たなリスクと既存の体制の乖離
しかし、新たなリスクが戦略的な議論の中心となる場合、既存のプログラムやプロセスに乖離が生じることもある。経営陣は、既存のリスク管理慣行と、新たなトレンドへの対応というプレッシャーとのバランスを取らなければならない。しかし、多くの場合この取り組みはうまくいがない。根本的な問題は、将来への備えに追われるあまり、過去の統制やリスク管理慣行を意図せず見失ってしまうからである。
焦点が移り変わり、リスク管理が時間とともに低下していくことが、企業や経営陣にとって問題となる。リスク管理の低下は、劇的であったり、ニュースの見出しになるような事態に発展することは稀である。しかし、やがて深刻な事態へと発展する。通常は、水面下で起こる些細な矛盾から始まる。例えば、ポリシーの見直しが遅延したり、研修の再実施が遅れたり、コンプライアンス監査が先送りされたりといった具合だ。そして、大きな新たなトレンドが発生してから数年後、注意が他のことに向けられたために基本的なリスク管理慣行が疎かになり、リスクへの曝露がピークに達する。こうした小さな矛盾が、時に雪だるま式に膨れ上がり、無視できないリスクや法的責任へと繋がる。
新たな脅威への対応に全力投球のアプローチが取られる際に、もう一つのギャップが生じる。新たなリスクが経営幹部の注意を引き付けると、リソースと人員はしばしばこれらの目標に合わせて再配分される。反面、既存の業務を維持するためのサポートを十分に提供できていないことも起きる。「少ないリソースでより多くの成果を上げる」ことが、舞台裏で暗黙の了解となるのだ。企業は、業務基準を維持しながら、同時に最新の優先事項に対応していくという綱渡りを強いられる。
新たなリスクの出現によって、限られたリソースや不十分なリスク管理プロセスを理由に、企業が既存の優先事項を放棄せざるを得なくなるのは好ましくない。新たなリスクは過去のリスクを排除するものではなく、むしろ、それらを同時に管理する複雑さを増大させるので、組織はまず基盤を維持または明確に再定義する必要がある。リスク管理における機会やギャップが認識された場合、あるいは適切なリソースがないまま過負荷が発生した場合、企業はチームと事業継続性を維持するために、基盤となる慣行を再考し、再構築しなければならない。
中核となるリスク管理手法を強化することで、企業は新たな脅威が出現した場合でもリスクへの曝露を軽減できる。適切なリスク管理の重要な要素は、組織がリスク管理の基本を強化するのに役立つのである。
1. 管理体制を把握せよ
既存のポリシー、報告経路、ベンダー要件、エスカレーション手順を、実際の運用状況と照し合わせて明確に記述せよ。文書化された基準は、日々の運用と乖離していたり、組織内の知識に依存していたりすることが少なくない。文書化されていない場合、非公式な手順が徐々に構造化されたプロセスに取って代わっていく。こうした事態が静かに進行すると、組織は(既存の)文書が存在するため管理体制が機能していると思い込んでしまい、実際の運用状況が異なっているという齟齬が発生する。
統制インベントリ*)を実施することで、明確化を図れ。組織は、ポリシーが実際の業務に適用されているか、あるいは単にベストプラクティスを採用しているだけなのかを検証せざるを得なくなる。責任の重複や、責任が完全に欠落している箇所を特定し、必要なリソースを解放することもできる。事業に適用されたプログラムとポリシーを確立することで、企業は新たな脅威への対応に注力する際に生じる曖昧な境界線を解消できる。
*)訳者注:「統制インベントリ(Controls Inventory)」とは、組織内に存在するすべての「内部統制」を網羅的にリスト化した一覧表のこと。「どの慣行やルール(コントロール)が、どのリスクを防ぐために、どこで機能しているか」を整理したデータベース。
2. 責任者を割り当てよ
重要な運用領域とリスクエクスポージャーにオーナーシップ(責任者)を割り当てることで、経営陣の時間とリソースが他の業務に費やされている場合でも、主要なリスクに対する監視が継続される。主要なエクスポージャー領域には、監視・検証、問題のエスカレーションを担当する明確なオーナーを配置する必要がる。ベンダー保険の追跡、インシデント傾向分析、トレーニングの遵守状況、ポリシーの更新などに明確な責任者がいない場合、これらの領域は徐々に軽視されてしまう。
責任者が存在すると(誤って)想定したり、責任を共有したりすることは、責任者が全く存在しない場合と同様に危険であり、意図しない失敗につながる。責任者を定める目的は、責任を追及することではなく、特定の領域における構造的な取り組みと監督体制を構築することなのである。
3. レビューサイクルを確立せよ
請求データ、ベンダーのコンプライアンス、ポリシーの更新、インシデントの傾向に関する四半期ごとのレビューは、規律を強化する。定期的なレビューサイクルは、予防的および事後的な取り組みを確立し、重要な領域が常に重要であり続けることを保証するためのもう一つの方法である。
レビューサイクルは、移行プロセスにも役立つ。組織がシステムを近代化したり、新しいテクノロジーを導入したり、コンプライアンスフレームワークを調整したりする際に、体系的なレビューは、レガシーシステムの脆弱性を見落とすことを防ぐ。レビューによって、時代遅れのプロセスが新しいシステムの下に埋もれることなく、特定され、修正される。
レビューサイクルは、文書化を強化し、一貫性を検証し、見過ごされがちなパターンを特定する。そして何よりも重要なのは、単なる憶測に基づく運用ではなく、明確に定義されたプロセスという新たな構造を追加することである。
最終的に、適切な基盤が整えば、リーダーシップは「未来への備え」と「過去の(やり方の)維持」という二者択一を迫られる必要がなくなる。リスク管理の基盤となるプラクティスを確立することで、組織は新たな脅威に集中できると同時に、過去のリスクや既知のリスクが、責任者問題や業務上の不備という形で再び表面化することを防ぐことができる。
トピック
新興リスク、エンタープライズリスクマネジメント、リスクマネジメント、戦略的リスクマネジメント
注意事項:この記事は、”Strengthening Risk Hygiene in the Face of New and Emerging Threats,” Brittany Basler | March 12, 2026, RIMS Risk Management Site:(https://www.rmmagazine.com/articles/article/2026/03/12/strengthening-risk-hygiene-in-the-face-of-new-and-emerging-threats)をRIMS日本支部が翻訳したものです。原文と訳文に差異がある場合には原文を優先します。
原著者ブリタニー・バスラー(MBA)は、フロリダ州キシミー市のリスク・安全管理責任者。
鈴木英夫はRIMS日本支部の主席研究員。
