事業継続性を高めるERM導入のススメ

経営リスクには戦略的対応で備える時代にERMへ向かう企業経営(2/2 ページ)

» 2009年02月12日 08時45分 公開
[國谷武史,ITmedia]
前のページへ 1|2       

スタートはリスクの正体を知ること

 ERMを実現していく過程では、具体的にどのようなリスクが経営に対してどのような影響を与えるのかを十分に把握する必要がある。個々のリスクについて詳細な内容や発生に伴う影響範囲、インパクトの深度を詳細に分析し、企業として取るべき対応の中身を策定する。その際に「リスクコントロールマトリックス」(RCM)と呼ばれる相関表を用いることが欠かせない。

経営に影響する可能性のあるリスク例

 RCMでは、発生が予見させる個々のリスクを経営への影響度や発生頻度によって分類し、その結果から監視対象に基準や対処の内容などを策定する。RCMによって個々のリスクの詳細を可視化することで、持続的な経営環境の実現に必要な行動方針を得られるという具合だ。

 入江氏は、RCMの作成や活用にあたっては経営視点と回避できないリスクに対応するための「リスクファイナンシング」を取り入れるべきと指摘する。例えば、内部統制で策定した業務プロセスは基本的に現場視点から作成するものであるため、リスク管理として活用するには経営の観点が十分に反映されていないことがあるという。

 「ビジネスモデルを作るようなアプローチでは、まずインフラがあり、それを利用するために現場ベースでのプランが策定され、最終的に経営レベルの内容に昇華させていく。しかし、リスク管理では経営への影響をいう視点から考える必要があり、ERMを進めるにはトップダウンの手法が必須になる」(同氏)

 RCMの作成では第一に経営リスクを十分に理解し、分類したものの中から影響度および深度の大きなものと抑止できるものの優先度を決めて、具体的な対処内容を策定していくことになる。さらに経営リスクのすべてを予防するというのは実際には不可能であるため、最終的に企業として回避できないリスクに対しては、その発生を受け入れることを前提に発生後の影響を最小化するための資金的な保険としてリスクファイナンシングを活用することになる。

 ERMの構築では、RCMを基にしたプロセスをライフサイクルに照らしながら常に検証と適正化を繰り返し、コストや負担の軽減化を図りつつ、より実効性のある内容へと高めていく。入江氏は、その際にCFO(最高財務責任者)による経営・財務管理、CRO(最高リスク管理責任者)によるリスク管理、CIOによるITインフラ管理の3つの視点を総合して全社規模で最適化を図るようにすべきとアドバイスしている。


 入江氏によれば、今後はセグメント別業績などの情報やリスク対策の開示強化、工事進行基準(プロジェクト管理)の導入、監査証跡管理の徹底といった対応が求められるようになり、ERMの整備がますます求められるようになる。また、グローバルに活動する企業では進出先の地域におけるSOX関連規制が強化され、米国の一部で導入されつつある「e-Discovery」(訴訟における電子証拠の開示義務)などの動きも加速している。

 「20年後、30年後にも企業が存続しているためには、起こってしまったリスクに対処するだけでなく、起こりうるリスクへどのように備えていくかを、このタイミングで真剣に考えみるべき」と入江氏は話している。

過去のセキュリティニュース一覧はこちら

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ