経営リスクには戦略的対応で備える時代に：ERMへ向かう企業経営（1/2 ページ）

J-SOX対応などを契機に業務における経営上のリスクを未然に防ぐ基本的な枠組みとして内部統制が構築された。今後は経営安定化に必要なリスク対策において、より柔軟に対処していくための枠組みが求められる。

[國谷武史，ITmedia]

本記事の関連コンテンツは、オンライン・ムックPlus「事業継続性を高めるERM導入のススメ」でご覧になれます。

　2008年の会計年度から上場企業に適用されたJ-SOXでは、業務を適正に行っていくための方法として内部統制の実施が義務付けられた。多くの企業が業務プロセスの文書化などと併せて、経営に影響をリスクへの対応方法などをまとめた。

　だが経営リスクは常に変化していくため、対応には柔軟性が要求される。経営上のリスクと上手に付き合っていくことは経営の安定化において重要なテーマであり、それを戦略的に実行していく新たな概念として「Enterprise Risk Management」（ERM）の実現が求められつつある。

予防的統制に

入江氏

　ERM分野で20年近い経験を持つ日本オラクルの入江宏志氏は、経営にマイナスの影響を与える事象への対処方法について、多くの企業が誤解していると指摘する。事象への対処方法を指す言葉には、大きく「危機管理」と「リスク管理」という2種類がある。入江氏によれば、国内では従来から危機管理という概念が先行してきたが、危機管理とは発生した事象に対応するための方法を指すものであり、安定した経営の実現という観点からは事象が発生することを未然に防ぐ、もしくは影響を最小化するための枠組みとしてのリスク管理が重要になる。

　「J-SOX以後は、適正かつ永続的な企業経営の実現にリスク管理が求められる。2つ言葉の違いを正しく理解した上で、企業には予見される経営リスクへ対処する枠組みとしての“ERM”の実現が求められるだろう」（入江氏）

　J-SOXで定められた業務プロセスの標準化は、いわば人的要素に左右されにくい事業環境を整備することを目的としたものだが、これはERMに欠かせない要素の1つになる。J-SOXを契機に構築した内部統制はERM実現に向けたファーストステップであり、今後は運用する内部統制の現状分析や法規制をはじめとするさまざまな経営の周辺環境を加味して、ERMの実現に必要な具体的な仕組み作り上げていくことになる。

　入江氏は、ERMを実現していくプロセスとしてリスクの「定義」「合理化」「予防・自動化」を挙げ、ITの観点から最終的にSOA（サービス指向アーキテクチャ）に基づくシステムを構築して、リスクに強い戦略的経営を実現させるべきだとしている。

　「J-SOXの最初として業務のルール化や内容の可視化、システム化を図ったが、次にこの枠組みを管理・監査することでより良いものにしていく。この一連の流れでは経営に影響するリスクを洗い出してデータベース化し、想定されるリスクに柔軟に対応する“予防的な”内部統制を実現していく」（入江氏）