メルトピア

経営基盤を強化するIT戦略

三菱電機メルトピア。様々な事例がご覧いただけます。

  • エキスパートインタビュー

  • 経営基盤を強化するIT戦略
  • 2011年 12月号(No.172)
  • 情報システム部門に求められる賢いリスクテイクによる
    新たなビジネス機会の創出

人物写真

デロイト トーマツ リスクサービス株式会社
パートナー
丸山 満彦 氏

経営環境が急激に変化する今日において、企業の内外に存在するリスクを経営者が素早く把握し、的確な指示を出すことが不可欠になっています。そこで有効になるのが、全社的な視点からリスクを特定、分析し、モニタリングをしながら必要な対策を迅速に講じていくERM(Enterprise Risk Management)の考え方と実践です。今回は、多くの企業でERMのコンサルティングを手掛けた丸山氏に、日本企業が直面するリスクマネジメント上の課題と、その解決のポイントを伺いました

丸山 満彦(まるやま・みつひこ)氏プロフィール
1992年監査法人トーマツ入社。1998年より2000年まで米国のDeloitteに勤務。製造業グループ他米国企業のシステム監査を実施。 帰国後、リスクマネジメント、コンプライアンス、情報セキュリティー、個人保護情報関連のコンサルティングを実施。経済産業省情報セキュリティ監査研究会、情報セキュリティ総合戦略策定委員会、個人情報保護法ガイドライン策定委員会、国土交通省、厚生労働省等 のセキュリティ関係の委員、日本情報処理開発協会ISMS技術専門部会等の委員を歴任。2009年よりデロイト トーマツ リスクサービス株式会社の取締役。内閣官房情報セキュリティセンター兼務。情報システムコントロール協会(ISACA)東京支部会員/デジタルフォレンジック研究会 監事/JPCERT/CC 監事/データベース・セキュリティ・コンソーシアム 監事/日本スマートフォンセキュリティフォーラム 監事

組織目標の達成に向けて、リスクを見極め
賢くリスクテイクする

 「例えば、個人情報の漏洩は企業にとって大きなリスクとなりますが、リスク回避のために厳格な管理を徹底するだけでは、最適解とはいえません。そこには購買履歴など、マーケティングや営業などが部門横断的に活用することで、提案活動や受注活動を支援できる貴重な情報が含まれているためです。つまり、情報漏洩というリスクだけに着目していては、ビジネス機会の損失を招く可能性があります。ここで重要になるのが、リスクをとらないで機会を失うのではなく、業績向上につなげる“賢いリスクテイク”をするという考え方です。すでに多くの企業がリスクマネジメントに取り組んでいることは間違いありませんが、あえてリスクを取るというマネジメントにもっと着目すべきではないでしょうか」
 丸山氏は、企業のリスクマネジメント上の課題について、こう話します。リスクマネジメントとは、企業のリスクを特定、分析し、モニタリングしながら必要な対策を講じていく一連の運用プロセスです。多くの企業はリスクの顕在化による影響を軽減、あるいは回避することを重点課題に位置付けがちですが、丸山氏が推奨するのは、リスクを見極めたうえで、あえてそのリスクを取る企業活動です。
 具体的には、かつてない円高を背景に、生産拠点を海外に移転する、あるいは現地企業のM&Aを加速している現状を挙げることができます。これは目標達成のために、あえて海外進出に伴うリスクテイクという決断をしていることを意味します。丸山氏によれば、リスクマネジメントにおいては、こうした企業戦略に関わる取り組みだけでなく、業務現場のオペレーションにも目を向ける必要があるといいます。
 「現状の問題は、経営的なリスクと業務現場のリスクをつなぐ全社共通の“リスクインフラ”が整備されていないことです。例えば、海外企業を買収して完全子会社した際に、経営者は買収先の状況を把握していなければなりません。ところが現実には、すぐにはオペレーションを把握できないため、リスクマネジメントも現地にまかせざるを得ません。結果として品質や管理上の問題が生じ、新たな投資が必要になるケースがあります。現場で刻一刻と起きている変化を把握するためにも、共通インフラは不可欠の仕組みだといえるでしょう」
 丸山氏が指摘する共通インフラとは、全社的なリスクマネジメントの推進という考え方に基づき、リスクを網羅・整理した枠組みであり、具体的には、COSO ERMやISO31000をベースに自社の実態に合わせてカスタマイズしたフレームワークや、リスクのデータベースであるリスクインテリジェンスマップ、リスク情報を収集して一元的に管理するGRC(Governance, Risk management and Compliance)ツールなどを指します。
 「リスクは企業として1つのポリシー、1つのフレームワークで管理することが重要です。ところがこれまでは、特定の部門が、自部門の考え方に基づきリスクに対応する“サイロ化”によって、経営者が各部門の実態を把握できない状況を招いていました。こうした事態から脱却し、経営者が1つのデータベースからドリルダウンして顕在化しているリスクを把握し、迅速に対応できる共通インフラを構築することが理想的だといえるでしょう」

▲ ページトップに戻る

情報システム部門が主導し
リスクインテリジェントな企業を目指す

 各部門が、リスクに関する責任を果たすために必要な共通インフラ。その構築・運用にあたって、情報システム部門はどのような役割を果たすべきなのでしょうか。丸山氏は、情報システム部門が主導し、リスクインテリジェントな企業を目指すべきだと語ります。
 「ここでも賢いリスクテイクという考え方が重要になります。例えばITのリスクマネジメントではセキュリティーが重点テーマの1つですが、セキュリティーを重視するあまり、スマートフォンの使用を完全に禁止してしまうと、業務部門の利便性が低下し、ビジネス機会の損失を招く可能性があります。ここで求められるのは、セキュリティーというリスクを取りながら、新たなビジネス機会を創出するという、工夫とチャレンジ精神ではないでしょうか」
 これまで多くの情報システム部門では、セキュリティー確保のために、自分たちの管理下にないデバイスのネットワーク接続を許可しないという方針を採用していました。ところが、現場では自らの業務に活用したいというニーズが高まっています。スマートフォンが商談などに活用でき、利益拡大に貢献できるのであれば、情報システム部門はスマートフォンを活用できる方策を考えるべきだということです。
 丸山氏は、“決められた事項を確実に遂行する”という従来から担ってきた役割からの脱却が重要だと強調します。全社的な活動を俯瞰できる立場にいる情報システム部門や内部監査部門が、組織目標の達成に向け、賢いリスクテイクという積極的な発言していくべきだといいます。
 「内部監査部門の役割では、ルール通りになっているかをチェックすることが重視されてきましたが、本来経営者の代わりを担う部門であり、リスクに対してどう対応すべきかを提言する立場にあります。サイロ化している現状に対して、横串で解決策を提案できるのは、情報システム部門や内部監査部門しかありません。経営者を支援する立場から、前向きなアドバイスをする部門になることを期待したいですね」

▲ ページトップに戻る

説明図

リスクインテリジェンスのフレームワーク
出典:デロイト トーマツ リスクサービス株式会社

▲ ページトップに戻る