メルトピア

経営基盤を強化するIT戦略

三菱電機メルトピア。様々な事例がご覧いただけます。

  • 巻頭特集

  • 経営基盤を強化するIT戦略
  • 2011年 12月号(No.172)
  • リスク対応の最適化を図るERMの基本的な考え方と
    推進のポイント

自然災害や事故、為替変動など、企業を取り巻くリスク要因には様々なものがあります。こうしたリスクに対して、素早く把握し、的確な指示を出せる仕組みづくりが不可欠になります。ここで重要になるのが、目先のリスクだけではなく将来起こりうるリスクにまで対象を広げ、企業目標の達成を目指していくERM(Enterprise Risk Management)の考え方です。今回は、全社的なリスクマネジメント推進で求められる考え方やポイントを整理してみましょう。

全社的なリスクマネジメントの運用を支援する
COSO ERMとISO31000

 ERMとは、全社的な視点からリスクを特定、分析し、モニタリングしながら必要な対策を迅速に講じていく一連の取り組みです。“全社的な視点”は、企業の目標達成や新たな価値創出に目的があるからこそ必要になります。ERM推進は、経営者が企業の内外に存在するリスクを素早く把握し、的確な指示を出せる仕組みを機能させること、と言い換えることができます。
 ERMという用語は、米国のトレッドウェイ委員会組織委員会(COSO)が2004年に公表した「COSO ERMフレームワーク」をきっかけに、頻繁に登場するようになりました。同フレームワークは、既存の“財務報告の信頼性確保”に焦点を当てた内部統制フレームワークを、リスクに焦点を当てて拡張したものです。例えば目的には、「戦略」が追加されたほか、財務報告にとどまらない幅広い企業活動を対象にしています。構成要素も、リスクに関わる取り組みが、より細分化されています。
 ERMが注目された大きな理由の1つは、既存のリスクマネジメントが、特定の部門や業務を対象にした個別の取り組みにとどまってしまうケースが多かったことがあります。個別の取り組みでは、特定の領域では有効に見えても、企業全体で見ると漏れや重複が発生するだけではなく、新たなリスクが生じてしまう可能性もありました。そこで企業目標の達成という目的と整合性を確保した取り組みを効率的に進め、目的実現に対する合理的な判断を可能にする枠組みが、COSO ERMフレームワークです。
 全社的なリスクマネジメントのフレームワークでは、ISO化も完了しました。2009年にはISO31000が、2010年にはJIS Q 31000(リスクマネジメント−原則及び指針)が公開されています。
 ISO31000は、リスクマネジメントを効果的に運用していくために有効な原則や枠組みを定義した規格で、プロセスを体系的・論理的に詳述。「リスクの運用管理のためのプロセスを組織の全体的な統治、戦略及び計画策定、運用管理、報告プロセス、方針、価値観並びに文化の中に統合することを目的とした枠組みを、組織が構築、実践及び継続的に改善することを奨励している」など、これも全社的なリスクマネジメントに適用できます。
 ここで紹介したCOSO ERMフレームワークやISO31000は、様々な企業に共通する標準的な枠組みを提示した“ひな形”です。企業はこれらの枠組みを参考にしながら、自社の実態に即した、独自のフレームワークを作成する必要があります。

▲ ページトップに戻る

“賢いリスクテイク”を重視した
リスクインテリジェンスとは

 今回のエキスパートインタビューにご登場いただいた丸山満彦氏が所属するデロイト トーマツ リスクサービスでは、従来の“一段階上のリスクマネジメント”を「リスクインテリジェンス」と名付け、提唱しています。ベースとなっているのは、すでに紹介したCOSO ERMやISO31000の考え方やフレームワークです。経営層が、ERMをより理解するための指針と位置づけることもできます。
 大きな特徴は「リスクの複合的な影響、発現スピードの速いリスク、あるいはリスクテイクの機会発見」などを重視し、必要な考え方や取り組みを整理していることにあります。その特徴的な部分を簡単に紹介しておきましょう。

収益機会減少もマネジメント対象
 リスクインテリジェンスでは、リスクを「企業の目標達成に悪影響を及ぼす恐れのある事象(あるいは複数の事象の組み合わせ)による、損失または収益機会減少の可能性」と定義しています。ここで強調されているのが、収益機会減少もリスクマネジメントの対象に含めていることです。従来は、重要な情報を守る、訴訟を回避するといった脆弱性が重視される傾向にありましたが、それに加えて、M&Aに成功するといったプラス方向の備えとして、リスクをマネジメントしていこうという考え方です。

9つの原則を提示
 リスクインテリジェンスの具体的な取り組みは、3層構造に整理し、提示されています。3層とは上層から「リスクガバナンス」「リスクインフラと管理」「リスクオーナーシップ」。これらのカテゴリー別に定義されているのが、9つの原則です。ここには、企業として1つの方針とフレームワークでリスクマネジメントの最適化を図るという考え方が根底にあります。

 @ リスクは脅威か、チャンスか?
 A フレームワークを持っているか?
 B リスクマネジメントは全員参加型か?
 C リスクを語る共通の言葉があるか?
 D 取締役は自社のリスクを知っているか?
 E 経営者が率先しているか?
 F リスクのオーナーは決まっているか?
 G サポートチームはあるか?
 H リスクの監視に手抜かりはないか?


実践に活用できるツールを提供
 リスクインテリジェンスでは、単なる理論や考え方にとどまらず、実践に活用できるツールが提供されています。代表的なツールとして「リスクインテリジェンスマップ」と呼ばれる、全社的な視点からリスクを体系化して集約した一覧があります。可視化したリスクによって全体像を把握できるほか、事業活動や業務に即して、改善活動を反映できます。あらゆる企業のリスクを網羅しているわけではありませんが、戦略を含めたリスクの識別やブレーンストーミングのツールとして、活用できます。

全社的なリスクマネジメントのプロセスを明確化
 リスクインテリジェンスマップに加えて重要なツールの1つが「リスクインテリジェンスのフレームワーク」。ERMを効果的に運用するため、ここではCOSO ERMフレームワークやISO31000をベースに、6つのプロセスが定義されています。

 @ リスクの識別
 A リスクの評価と測定
 B リスクの集約
 C リスクへの対応
 D コントロールの設計・導入・テスト
 E モニタリングと報告


情報システム部門に求められる役割を明確化
 リスクインテリジェンスで重視されている項目の1つが、リスクインテリジェントな企業を実現するための組織づくり。その対象は経営者や取締役会、内部監査部門、全従業員など広範囲に及びますが、情報システム部門にも焦点が当てられています。
 情報システム部門は、ITで組織全体のリスクマネジメントに貢献しなければなりません。情報セキュリティーやプライバシー、事業継続といったITに関するリスクを識別、評価、管理、報告する“ITのリスクマネジメント”に加え、新たに“ITによるリスクマネジメント”を積極的に推進する役割が求められています。

※本記事は、エキスパートインタビュー(4〜5ページ)にご登場いただいた丸山満彦氏への取材内容、同氏提供の資料をベースに作成しました。
※参考文献:有限責任監査法人トーマツ/デロイト トーマツ リスクサービス(編者)『リスクインテリジェンス・カンパニー』(日本経済新聞出版社)

▲ ページトップに戻る

説明図

リスクインテリジェンスの考え方
出典: デロイト トーマツ リスクサービス株式会社

▲ ページトップに戻る