リスクマネジメントは、一度対応したら終わりではありません。継続的に改善する必要があります。あなたの組織に、そして時代に適した防御策を考えなければいけません。
継続的改善のプロセスとして良く知られているのはPDCAです。ビジネスマンでは馴染みのある言葉でしょう。計画、実行、評価、改善の頭文字を取ったもので、継続的な成長をするためのステップを示しています。過去のやり方を再現することは、PDCAの目指すところの継続的な改善活動には当たりません。過去から得られるモノだけではなく、仮説を立てて目標をいち早く達成するための計画を考え抜きます。そして、考え抜かれた計画を放置するのではなく、しっかりと実行に移します。実行した結果、どのような効果が得られたのかを評価します。計画通り出来たところ、計画通り出来なかったけどうまくいったところを振り返り、要因分析を入念に行う必要があります。分析はその計画の素晴らしさを訴えるものではなく、次の計画を作るにあたって必要な情報を集めるというイメージです。そしてまた検証結果を受け、今後どのような対策や改善を行っていくべきかを検討します。
しかし、リスクマネジメントの計画が素晴らしくても、それが実現出来ていなければ絵に描いた餅です。この改善活動において一つの指標となるのは成熟度です。つまり、決められた計画がどれだけ現場に浸透しているかを測ります。リスク成熟度モデル(RMM)は、組織のリスク管理プログラムに焦点を当てた評価ツールです。 このモデルでは、リスクマネジメントが組織にどの程度浸透しているかを評価します。成熟度が高ければ高いほど、効果的なリスクマネジメントが行われていることになります。
評価項目としては、アセスメントは毎年実施されているかという有効性、事象が発生するまで待っているのか予想しているかという積極性、組織の全部門及び全階層にわたってアセスメントされており、責任者が設けられているかという対象範囲で評価します。
リスク成熟度モデルは主に企業内でのリスク管理、エンタープライズリスクマネジメント戦略の一貫として利用されます。このリスク成熟度モデルの結果はあまり外には公表しません。自己評価して、それをもとに問題箇所を明確にし、自社の部署間でのコミュニケーションツールとして利用することが一般的です。勿論、現時点での成熟度が高いからといってそれがずっとキープされるわけではありません。時には落ち込んだり、守らなくても良い文化が根づいてしまうこともあります。定期的にリスク成熟度を測ることで、継続的な改善につなげていきます。