対談セッション「日立製作所、リクルートと語るリスクテイクを促進するリスクカルチャーの醸成」

2025年12月8日、PwC Japanグループは「CRO（最高リスク管理責任者）ラウンドテーブル」を開催しました。本ラウンドテーブルは、業種を超えたCRO層のネットワーキングとディスカッションの場として2025年3月に初回を開催。2回目となる今回のテーマは「リスクテイクを促進するリスクカルチャーの醸成」です。外部環境の急激な変化を背景に、従来の守り中心のリスク管理からの転換が求められる現在、組織全体でリスクカルチャーを醸成するためにCROは何をすべきでしょうか。当日は、日立製作所 理事でリスクマネジメント統括本部長を務める橋本秋芳氏、リクルートのデータ＆AIガバナンス室 室長／Vice Presidentを務める馬場俊介氏をゲストスピーカーに迎え、参加企業によるディスカッションを通じて「価値創造に貢献するリスクマネジメントの在り方」を議論しました。

登壇者

株式会社日立製作所
理事 リスクマネジメント統括本部長
橋本 秋芳 氏

株式会社リクルート
データ＆AIガバナンス室 室長／Vice President
馬場 俊介 氏

モデレーター

PwC Japan有限責任監査法人
パートナー
辻田 弘志

「攻めのリスクマネジメント」実現企業は2割未満

冒頭、PwC Japan有限責任監査法人 ガバナンス・リスク・コンプライアンスアドバイザリー部 パートナーの辻田弘志は、「PwC 2025年度 CRO意識調査^（※1）」を基に、「攻めのリスクマネジメント」の必要性を提起しました。

^{※1 「PwC 2025年度 CRO意識調査」……2025年5月～6月、日本のCROをはじめとする経営層およびリスク管理部門の部門長106名を対象に、リスク管理の課題や施策について実施した調査。2025年9月公表。（https://www.pwc.com/jp/ja/knowledge/thoughtleadership/cro-survey-2025.html）}

同調査によると、「攻めのリスクマネジメントが実現できている」と回答した企業は2割未満にとどまりました。一方、実現できていると認識している企業の約8割が、「外部環境の変化に追随できている」と回答。辻田は、「攻めのリスクマネジメントに取り組む企業では、外部環境への対応力も高い傾向がうかがえる」と指摘しました。

また、「攻めのリスクマネジメント」を実現するための課題には、「予算やリソースの不足」「組織全体のリスク意識の低さ」が上位に挙げられました。

こうした結果は、攻めのリスクマネジメントの重要性を認識しつつも、その実装に高いハードルがあることを示しています。では、実際に企業はどのようにリスクマネジメントを経営に組み込み、価値創造につなげているのでしょうか。日立製作所の橋本氏とリクルートの馬場氏から、自社における取り組みについて説明が行われました。

なぜ日立製作所は経営にERM（エンタープライズ・リスク・マネジメント）を組み込むのか

日立製作所および日立グループ（以下、日立グループ）は現在、リスクマネジメントを経営プロセスに組み込む取り組みを進めています。背景にあるのは、これまでリスク管理を事業部門ごと、財務・人財・調達・営業などのファンクションごとにそれぞれ行ってきた結果、全社として重要なリスクを横断的に捉えにくくなっていたという課題です。

こうした課題を受け、2020年4月に日立グループ全体のリスクマネジメントを統括するCRMO（Chief Risk Management Officer）を新設しました。さらに2022年4月には、経営会議の下に「成長戦略会議」「リスクマネジメント会議」「人財戦略会議」の3つの会議体を設置し、経営レベルでの議論を強化してきました。橋本氏は当時を振り返り、「リスクマネジメント会議では、主に短期的かつ個別具体的なリスク対応を中心に議論を重ねてきました」と語ります。

そこで2024年12月、ERMの体系的な再構築に着手し、全社横断の基盤となる「日立グループリスク管理規程」を制定しました。さらに2025年4月からは、「成長戦略会議」「リスクマネジメント会議」「人財戦略会議」の会議体を廃止し、経営会議に一本化したのです。その理由について橋本氏は、「連鎖的かつ複合的に事業活動へ影響を及ぼす重要リスクに対応するためには、緊急性やアジリティが求められます。そのため、会議体の枠組みに縛られず、柔軟かつ多面的に議論できる体制が必要でした」と説明します。

日立グループがERMを推進する目的は、デジタル化の急速な進展やグローバルで複雑化する政治・経済情勢など、事業環境とリスクの複雑化に対応することにあります。グループ全体で一元的な管理体制を構築し、「脅威」と「機会」の両面からリスクを捉え、コントロールしながら企業価値の最大化につなげるのです。日立グループではこれを「成長戦略とリスクマネジメントのバランスト・アプローチ」と呼んでいます。橋本氏は、「成長戦略とリスクマネジメントを別々に考えるのではなく、局面に応じてどちらを重視すべきかを、会社として常に意識することが重要です」と語ります。

この考え方を実装しているのが、日立グループの「ERM推進サイクル」です。日立グループでは外部環境の変化や事業の状況を踏まえながら、各部門でリスクを洗い出し、影響度と発生可能性の観点で評価します。その中から、経営として優先的に向き合うべき「グループトップリスク」を選定し、対応方針を明確にします。各部門での対応状況は定期的にモニタリングされ、その結果を次の施策や判断に反映させて、リスクマネジメントを経営プロセスの中で継続的に回しています。

さらに日立グループではリスクの特定・評価について、ボトムアップとトップダウンを組み合わせたプロセスを採用しています。橋本氏は「ボトムアップでリスク情報を各事業部門から収集し、トップダウンで経営視点の調整を加えてヒートマップを作成します。このプロセスで選定された重点リスクは、毎月の経営会議で現状・対策・見通しを報告、継続的に議論しています」と説明し、全社横断でリスクを捉え、経営判断につなげる仕組みの重要性を強調しました。

リクルートのイノベーションを支える「挑戦しないことがリスク」という思想

続いてリクルートの馬場氏は、同社のリスクマネジメントの考え方と、それを支える具体的な仕組みを紹介しました。

リクルートは「新しい価値の創造」を経営理念に掲げ、イノベーションを企業経営の前提に置いています。そして「挑戦しないことこそがリスクである」という考え方をリスクマネジメントの出発点としています。馬場氏は、「個々の従業員が新しい価値やイノベーションを生み出すことに挑戦することが大前提です。その挑戦を法律や社会規範にきちんと応えながらどう実現するかが、リスクマネジメントの根幹になります」と説明します。

この考え方を具体化しているのが、リスクチェックの徹底した仕組み化です。数多くのルールを設けて遵守させようとすれば、従業員は挑戦に集中できなくなるとの判断から「全観点レビュー」と呼ばれるプロセスを設け、プロダクトのリリース前に多角的なチェックが自然と行われる仕組みを構築したのです。

馬場氏は「このレビューでは、適法性に加え、プライバシーやフェアネス、レスポンシブルAIといった社会規範への対応を独立した観点として組み込んでいます。ですから、法律上は適法であっても、これらの観点で問題があればリリースできないような仕組みにしています」と説明します。

また馬場氏はリスク部門を「プロダクトを安心・安全にユーザーへ届ける設計を担う、事業戦略実現のパートナー」とした上で、「リスクカルチャー醸成に関しては、一方的な啓発や研修だけでは定着しません。年間1,000件以上の新規案件一つひとつで、事業の方々と対話を重ねつつ、そもそも何を実現したいのかを共有し、社会規範に応えながら事業目的も達成できる着地点を一緒に見つけていくこと。案件ごとの対話を通じた信頼関係の積み重ねが重要だと考えています」と力説しました。

「制度」か「関係性」か―リスクカルチャー醸成のアプローチ

続いて辻田のファシリテーションの下、橋本氏、馬場氏とともに「価値創造に貢献するリスクマネジメント」「リスクカルチャーの醸成」「テクノロジーの活用」という三つのテーマで、パネルディスカッションが行われました。

橋本氏は「価値創造とリスクは表裏一体であり、AIのようにリスクを伴う技術であっても、成長戦略の中でどう活用するかを議論すべきです」と指摘します。「AIには倫理面などのリスクがあることは事実ですが、使えるか使えないかという二択で考えてしまうと、使わない企業は競争で確実に遅れていきます。重要なのは、リスクを理由に利用を禁止するのではなく、活用に向けた議論の中でリスクテイクを設計することです」（橋本氏）。

馬場氏は、リスクマネジメントが機能しているかどうかは、制度の完成度ではなく「現場からどのような相談が上がってくるか」に表れると指摘します。「これまでにない挑戦的な相談が事業部から寄せられる状態こそ、仕組みがワークし、リスク部門が“一緒に考える存在”として信頼されている証だと考えています。」（馬場氏）。

リクルートではこうした信頼関係がリスクカルチャーの核になると捉えています。同社ではリスクチェックの仕組み化を推進する一方、その前段階である構想・企画段階からの相談も重視しています。正式なレビュープロセスでは判断が「通すか止めるか」に収束しがちですが、早い段階で相談があれば、「何を実現したいのか」から対話できるからです。馬場氏は、「仕組みは全案件を網羅するセーフティネットです。その前に相談が来るかどうかは、リスク部門が信頼されているかどうかのバロメーターでもあります」と説明します。

仕組みに加え、関係性をも軸にリスクカルチャーを育むリクルートに対し、日立グループは制度と仕組みを通じて全社的な浸透を図っています。その象徴が「WE ARE ALL RISK MANAGERS」というスローガンです。橋本氏は、「どの職務であっても、業務の中にリスクマネジメントは必ず関係します。全員が担い手であるという意識を根付かせたいです」と語り、このスローガンは日々の業務の中で意識づけるための"可視化の装置"だと説明しました。

テクノロジーの活用では、両者の考えが一致しました。橋本氏は、経営会議等で扱われる重要なリスク関連情報を共有・可視化するためのIT基盤上の仕組みを紹介しました。そこでは、AIエージェントが世界情勢や地政学リスク、日立グループに関するニュースを収集・整理し、瓦版のように毎日配信する取り組みを行っており、「AIに判断を委ねるのではなく、経営判断に必要な情報環境を整えることが目的です」と橋本氏は説明します。

馬場氏も、「どのようなリスクシナリオを避けたいのかを考えるのは人間です。最終的な判断も人が行う。閾値の設定や、数値化できない感覚的な部分も人が担います」と、AI活用における人間の役割を強調しました。両者とも、AIは人の判断を支援する存在であり、意思決定の主体は人間にあるべきだとの認識を共有しました。

テーブルディスカッション
リスクカルチャー醸成とAI活用―各社の課題とは

続く意見交換会では参加者が5つのテーブルに分かれ、「リスクカルチャーの現状と今後」「AIを活用したリスクマネジメント」の二つのテーマについてディスカッションを行い、最後に各テーブルの代表が発表しました。

リスクカルチャー醸成の難しさと「きっかけ」

リスクカルチャーについては、多くのテーブルで「醸成の難しさ」が共通の論点として挙がりました。業態の違いはもちろん、同一企業の中でも、M&Aによる組織統合や国内外拠点の差異、時間の経過などによって、リスクに対する捉え方や行動様式は大きく異なるという指摘です。企業の内部には複数のリスクカルチャーが併存しており、それらを一律にマネジメントすることの難しさが共有されました。

一方で、カルチャーを変える「きっかけ」の重要性も議論されました。経営トップの交代や組織再編、新たな役職の設置といった節目は、リスクカルチャーを見直す好機になり得るという意見です。中でも、「CROという役職の新設そのものが、組織に対する強いメッセージになる」との指摘がありました。

加えて、各社で共通して挙がったのが、コーポレートと事業部門の間にある「距離」です。事業部が日々直面するリスクと、経営レベルで議論される戦略リスクが十分につながっておらず、1線（事業部）と2線（リスク管理部門）の連携不足やリスク認識のずれが、横断的なリスク管理を難しくしているとの指摘がありました。その結果、リスクが依然として「守るためのもの」と捉えられ、経営戦略との結び付きが弱くなりがちだという課題感も共有されました。

こうした課題を踏まえ、参加者からは「今後はERMと経営戦略を一体で考える必要がある」との意見が相次ぎました。リスクを戦略と連動させて価値創造にどう結び付けるか。その視点を組織全体で持ち、リスクカルチャーとして根付かせていくことが重要だと強調されました。

AIは「壁打ち相手」―活用の現在地と期待

AI活用については、業務効率化や分析支援では一定の成果が出ている一方、リスクマネジメントそのものへの本格的な適用はこれからの領域と捉える参加者が大半でした。

今後の活用可能性としては、リスクシナリオの作成やコンプライアンスインシデントの予兆検知、投融資委員会など社内ゲートレビューの過去事例を学習した意思決定支援、サプライチェーンの深層（Tier3以降）の可視化といった具体的なアイデアが挙がりました。また、意思決定の前段階での「壁打ち相手」と位置付けてAIを活用し、思考の整理や論点の洗い出しに役立てているという声も複数のテーブルで共有されました。

一方、経営戦略やセンシティブな情報をAIに入力することへの懸念や、AIを活用した内部統制が監査上どのように評価されるのかといった実務面の課題も指摘され、AI活用を進める上での現実的な論点が浮き彫りになりました。

これら議論を踏まえ、PwC Japan有限責任監査法人の高木和人は、「リスクマネジメントを事業のブレーキではなく価値創造を支える存在として組織に根付かせていくことが、各社共通の課題です」と総括し、ラウンドテーブルを締めくくりました。