2025年度CRO意識調査

PwCは2025年5月から6月にかけて、CRO（最高リスク管理責任者）をはじめとする日本の106名の経営層およびリスク管理部門の部門長を対象に、現状のリスク管理における課題や実施している施策などについて調査を行いました。

本調査結果により、昨今の目まぐるしい外部環境の変化に追随した経営を進めていく上で、機会創出を目的とする「攻めのリスク管理」の実現が不可欠であること、また、デジタルテクノロジーの活用が「攻めのリスク管理」の実現に大きく関わっていることが分かりました。

主な特徴は以下のとおりです。

• 「機会創出を目的とする『攻めのリスク管理』をどの程度実現できていますか」という質問に対して、 「特定の部門や一部の領域で実現できている」（40％）、「実現できていない」（42％）との回答が目立ち、機会創出を目的とする「攻めのリスク管理」を全社的に実現できている企業は全体の2割弱にとどまっていることが分かりました
• 「攻めのリスク管理」が全社的に実現できている企業は主にコンプライアンスやリスクの回避を目的とした「守りのリスク管理」であるERM（Enterprise Risk Management：全社的リスク管理）の整備・管理も十分にできており、「攻めのリスク管理」が全社的に実現できていない企業は「守りのリスク管理」も十分にできていない傾向にあることが分かりました
• 「既存のリスク管理方法で、外部環境の変化に追随することができていると思いますか」という質問に対して、「特定の部門や一部領域で追随できている」（43％）、「ほとんどの部門や領域で追随できていない」（25％）との回答が目立ち、外部環境の変化に追随することができている企業は全体の約3割にとどまっていることが分かりました
• 機会創出を目的とする「攻めのリスク管理」が全社的に実現できている企業は外部環境の変化に一定程度追随することができており、「攻めのリスク管理」が実現できていない企業ほど外部環境変化に追随できていないことが分かりました
• 機会創出を目的とする「攻めのリスク管理」の実現度とデジタルテクノロジーの活用度には正の相関があり、「攻めのリスク管理」を実現できていると回答した企業ほど率先してデジタルテクノロジーを導入・活用していることが分かりました

本調査は、「攻めのリスク管理」が行えていない要因と、その要因を解消するために必要とされる事項を明らかにし、企業が「攻めのリスク管理」への変革を行うための一助となることを目的としています。

外部環境が目まぐるしく変化する現在の経営において、リスク管理の在り方も見直しが必要とされています。コンプライアンスの準拠やリスクの回避を主な目的とした「守りのリスク管理」では、外部の環境変化に追随できず、企業の競争力を阻害してしまう懸念が付きまといます。今こそ、機会創出（リスクを単に回避・抑制するだけでなく、変化を先取りし、機会として捉えること）を目的とした「攻めのリスク管理」への転換が必要とされています。

しかし本調査では、「機会創出を目的としたリスク管理が実現できているか」という問いに対して、「実現できていない」が42％、「一部の領域で実現できている」が40%と、合計82%が発展途上であり、攻めのリスク管理が「全社的に実現できている」と回答した企業はわずか2割にも届かないという実態が確認できました（図表1）。

図表1：「攻めのリスク管理」の実現度

一方、「ERMの整備・管理がどの程度実施できているか」という問いに対して、「リスクを統合的に整備・管理できている」と回答した企業はわずか25％であり、「ほとんどの部門や領域で整備・管理できていない」が29%、「特定の部門や領域で整備・管理できている」が46%と合計75％がERMの整備・管理が十分ではなく、守りのリスク管理にも課題があることが確認できました（図表2）。

図表2：ERMの整備・管理がどの程度実施できているか

今回の調査では「攻めのリスク管理」を実現できている企業ほど、コンプライアンスの準拠やリスク回避を目的とした「守りのリスク管理」、つまりERMの整備・管理も全社的にできている傾向が確認されました。「攻めのリスク管理が全社的にできている」と回答した企業のうち、ERMで組織のあらゆるリスクを統合的に整備・管理できている企業が68％、特定部門や一部領域で整備・管理できている企業が32%であり、ほとんどできていない企業は0％でした（図表3）。

一方で、「攻めのリスク管理ができていない」と回答した企業のうち、ERMで組織のあらゆるリスクを統合的に整備・管理できている企業が18％、特定部門や一部領域で整備・管理できている企業が27%であり、ほとんどできていない企業が56％に上りました。「攻めのリスク管理」ができていない企業ほど、ERMも十分に整備・管理できていない傾向にあることが分かります。

「攻めのリスク管理」を実現するために、企業はまず足元のERM整備・管理に取り組み、万全な「守りのリスク管理」の体制を構築することが必要であると考えられます。

図表3：「攻めのリスク管理」の実現度とERMの整備・管理状況の関係

デジタル技術や政治／経済、地政学的要因などの外部環境は日々目まぐるしく変化しており、それらに追随していくことがあらゆる企業経営において急務であると言えます。

本調査では、「既存のリスク管理方法で外部環境の変化に追随できているか」という問いに対して、「追随できていない」が25％、「一部の領域で追随できている」が43%と、合計約7割が外部環境の変化に十分に追随できていない実態が確認できました（図表4）。

図表4：外部環境変化への追随状況

ここからは「攻めのリスク管理」の実現度と外部環境変化への追随度の関係性を読み解いていきます。

今回の調査では「攻めのリスク管理」を実現できている企業ほど、外部環境の変化に追随できている傾向にあることが分かりました。「攻めのリスク管理が全社的に実現できている」と回答した企業のうち、外部環境の変化に追随できている企業が79％、特定部門や一部領域で追随できている企業が21%であり、ほとんど追随できていないと回答した企業はいませんでした（図表5）。一方で、「攻めのリスク管理が実現できていない」と回答した企業のうち、ほとんど追随できていない企業が約5割に上りました。

この結果から、昨今の目まぐるしい外部環境の変化へ追随した経営を進めるためには「攻めのリスク管理」の実現が必要であると考えられます。そのためには「守りのリスク管理」であるERM整備・管理を全社的に実施し、「攻めのリスク管理」への取り組みを開始することが必要であると考えられます。

図表5：「攻めのリスク管理」の実現度と外部環境変化への追随度合の関係

「攻めのリスク管理」を実施するうえで、ERM以外にどのような課題・障壁が存在しているのでしょうか。今回の調査からは、経営資源の投資が課題・障壁となっていることが分かりました。

特に大きい課題として「予算やリソース不足」（25％）、「組織のリスク意識の低さ」（18％）などの経営資源、ひいてはカネやヒトの投資や組織の課題が挙げられました（図表6）。これらの課題を解決するためには、経営層が主体となってリスク管理部門への投資を推進することが必要です。そのためには、まず経営層の意識改革を進めることが求められます。経営層の意識が変わることで、組織全体のリスク意識が醸成され、必要なリソースの確保や経営資源の投資が可能となると考えられます。

また、上記以外には「リスク評価の基準が不明瞭」（17％）、「リスク管理プロセスの複雑化」（17％）、「リスクの正確な識別」（15％）、「リスク管理とガバナンス体制の不整合」（10％）などが挙がりました。

リスク評価の基準が不明瞭な場合には、リスクを正確に特定できず、最終的に効果に乏しい対応をしてしまう可能性があります。このような状況が続くと、企業全体の意思決定に大きな影響を及ぼし、ひいては重大な損失を招く危険性さえあります。リスク管理部門に専門家を増やすことで、基準の明確化や評価の精度向上が期待され、組織全体で共通の理解が進むと考えられます。

また、リスク管理プロセスの複雑化に対処するためには、高度な専門性と経験を持つスタッフが必要です。プロセスが複雑化すればするほど、適切な管理手法やツールの選定・導入が求められます。こうした課題に対応するためには、リスク管理部門への経営資源の投資が不可欠であり、専門知識を有する人材の確保によって、プロセスの効率化や効果的な運用を促進することができます。

さらに、リスク管理とガバナンス体制の不整合がある場合、組織全体のリスク管理の整合性が損なわれ、リスクに対する対応が一貫性を欠く恐れがあります。これを解決するには、部門間のコミュニケーションを強化し、ガバナンスとリスク管理の連携をスムーズにする必要があります。そのためには、異なる部門をまたいで協働し、一貫したリスク管理戦略を構築できる人材が求められます。

以上のように、リスク管理部門へのヒトやカネの投資は、企業のリスク管理能力を高め、不確実性への対応力を向上させるために重要であり、結果として組織の持続的成長を支えることになると考えられます。

これ以外には、外部環境動向（政治経済、地政学）への対応の遅れや、技術革新やデジタルトランスフォーメーション（DX）化に対する対応の遅れなどが課題として挙がりました。経営資源をリスク管理の技術面に投資することで、「攻めのリスク管理」の実現が大きく進展すると考えられます。

図表6：「攻めのリスク管理」を実現する上での課題・障壁

経営のDXは単なる業務効率化にとどまらず、意思決定の質とスピードを劇的に高める経営革新です。こうした革新が求められるのはリスク管理も例外ではなく、旧来のコンプライアンスの準拠やリスクの回避を目的とした「守りのリスク管理」では、複雑化・多様化するリスクに対応しきれないのが実情です。外部環境が目まぐるしく変化する中で、リスク情報のリアルタイムな把握・分析・対応に向けたリスク管理のDXは不可欠です。

このような背景のもと、「攻めのリスク管理」の実現度とデジタルテクノロジーの活用度の関係性を読み解いていきます。今回の調査では、「攻めのリスク管理が全社的に実現できている」と回答した企業のうち、デジタルテクノロジーを全面的に活用している企業が26％、特定のリスク管理でデジタルテクノロジーを積極的に活用している企業が47%と、全体の約7割が活用できていました（図表7）。一方で、「攻めのリスク管理が実現できていない」と回答した企業のうち、デジタルテクノロジーを全面的に活用している企業が0％、特定のリスク管理でデジタルテクノロジーを積極的に活用している企業が9%であり、活用できていない企業が合計約9割に上りました。

「攻めのリスク管理」が実現できていると回答した企業ほどデジタルテクノロジーを活用しており、外部環境に追随するための「攻めのリスク管理」の実現にデジタルテクノロジーの活用が大きく貢献していると言えます。デジタル技術を活用したリスクの早期検知、AIやデータ分析に基づく影響評価、自動化されたモニタリング体制の構築は、企業の持続可能性を左右する重要な基盤となります。経営のDXが企業競争力の源泉となる今、リスク管理のDXもまた、企業の信頼性・レジリエンスを支える戦略的施策です。

図表7：「攻めのリスク管理の実現度とデジタルテクノロジーの活用度

経営資源をデジタルテクノロジー活用に投資することは、5章で挙げた課題（リスクの特定、技術革新やDXに対する対応の遅れ、外部環境動向への対応の遅れなど）の解決に繋がり、企業の「攻めのリスク管理」の実現に大きく貢献することが期待されます。そして、「攻めのリスク管理」の実現によって外部環境変化への追随が可能となります。例えば、リスク管理パッケージソフトウェアを活用することで、外部情報（外部環境動向）の適時な取得と、迅速なリスク対応が実現します。また、データ分析やAI、シミュレーションツールを活用することで、正確なリスク特定の実施が可能となります。加えて、これらのデジタルテクノロジーを全社的に活用することで、さらなる技術革新にも対応できるようになり、リソースの削減に繋がる可能性も秘めています。このように、「攻めのリスク管理」を実現する上での課題・障壁は、デジタルテクノロジーを活用することで解決できる可能性が高く、経営資源をデジタルテクノロジーへ投資することが「攻めのリスク管理」を実現し、外部環境の変化に追随した経営を進めるうえで必要であると考えられます。

「攻めのリスク管理」にデジタルテクノロジーを活用できている企業に成功要因をたずねたところ、リスク意識の醸成、基盤整備、データ・情報活用、戦略推進、外部機関の活用が挙がりました（図表8）。

経営陣がデジタルテクノロジー活用に関して興味・関心を持ち、十分な投資を行うことが必要不可欠です。そして、デジタルテクノロジーを用いた社内のDXを進めるために、まずは技術インフラの整備をはじめとした基盤の整備が不可欠であると言えます。また、データをしっかりと集めて分析し、それをデジタルテクノロジーに反映させ、より効果的にテクノロジーを活用することが成功に向けて重要です。デジタルテクノロジーを活用するために社内の専門人材を確保するのも一手ですが、教育や人材育成には限界があるため、社外の専門機関を活用することも有効的です。デジタルテクノロジーを活用した「攻めのリスク管理」を実現するためには、経営資源（ヒト、カネ、情報）のリスク管理への適切かつ十分な投資が必要であり、そのためには経営陣のリスク管理への理解醸成が最優先事項であると考えられます。

図表8：デジタルテクノロジーを活用できた要因

「攻めのリスク管理」を実現できている企業はデジタルテクノロジーを率先して取り入れています。例えば、技術に長けた外部のパートナーや専門機関とのパートナーシップ・協力による危機管理、ツール導入によるリスク回避、分析ツールを活用したリスク管理など、「攻めのリスク管理」を実現するためにDXを進めている企業が多く存在します。また、デジタルテクノロジーを現時点では活用していないものの、今後導入・活用したいと考えている企業は合計約7割にのぼり、不確実性が高まる経営環境の中で、リスクを単に回避・抑制するだけでなく、変化を先取りし、機会としてとらえる姿勢が高まりを見せています（図表9）。そのためには、前述のようなデジタルを基盤とした「攻めのリスク管理」への変革が不可避であり、今後デジタルテクノロジーの導入と活用を進めなければ、急速に変化する社会の潮流に取り残されることは避けられません。

図表9：リスク管理のためのデジタルテクノロジーを導入したいと考えるか

本調査を通じて、機会創出を目的とする「攻めのリスク管理」を全社的に実現できている企業は外部環境変化に追随できている一方で、多くの日本企業は「攻めのリスク管理」が全社的に実現できておらず、外部環境変化に追随できていないことが分かりました。

「攻めのリスク管理」の実現においては、予算やリソース不足をはじめとするリスク管理に対する経営資源の投資が課題・障壁となっており、これらの課題解決のためには社内の意識改革、特に経営層の意識改革が必要不可欠です。

今後も外部環境は目まぐるしく変化し続けることが予想され、それに伴い企業が対応すべきリスクも多様化・複雑化していくと考えられます。企業が持続的な成長を続けていくためには、「攻めのリスク管理」を実現し、目まぐるしく変化する外部環境へ追随していくことが必要です。加えて、不確実性が高まる経営環境の中で、リスクを単に回避・抑制するだけでなく、変化を先取りし、機会として捉えるためには、デジタルテクノロジーを基盤とした「攻めのリスク管理」への変革が不可避となっています。

PwC Japanグループでは、「守りのリスク管理」だけでなく、全社戦略と融合させた「攻めのリスク管理」の実現を支援しています。ERM成熟度診断から、攻めのリスク管理態勢の構築、リスク管理のデジタル化支援に至るまで、企業の現状に寄り添い支援することで、不確実性が高い経営環境においても企業の持続的な成長と企業価値の向上に貢献いたします。