企業の経営リスク管理をIT化する必要性

内部統制やコンプライアンスのためにリスク管理手法を取り入れている企業は多いが、手作業で管理をしているケースが大半であるという。SAPらがリスク管理でのITツールの利用を呼び掛けた。

» 2010年08月11日 07時00分 公開
[國谷武史,ITmedia]

 企業経営を取り巻くさまざまなリスクの管理にITツールが役立つと、SAPジャパンやリスク管理支援サービスを手掛ける企業らが国内企業に採用を呼び掛けている。SAPが主催したメディア向けセミナーでは、各社が企業でのリスク管理の現状やITツールの活用事例を紹介した。

 企業のリスク管理は、内部統制の本格導入やコンプライアンス対応を契機に本格化した。「Enterprise Risk Management」(ERM)や「Governance, Risk, Compliance」(GRC)などとも呼ばれ、ERMを含めたリスク管理の概念としてGRCを指す場合もある。

 SAPジャパン ビジネスユーザー&プラットフォーム事業本部 GRC事業開発マネジャーの中田淳氏は、「リスク管理は主に財務面での対応や法規制に伴う対応が注目されてきた。最近では、例えばロシアが穀物の輸出禁止を打ち出したことで食糧関連のビジネスへの影響が懸念されるなど、リスクの種類は多様化している」という。また、リスク管理支援を手掛けるプロティビティ ジャパン ディレクターの牧正人氏は、2005〜2008年に売上高50億ドル以上の企業が直面したリスクの87%が財務以外のリスクだったと報告した。

企業を取り巻く主なリスク(牧氏の資料より)

 こうした状況を背景に、多く企業では経営管理やリスク管理の専門部署が中心となって、自社のビジネスに影響するリスクの特定とその影響の評価といった作業を進めてきた。しかし、評価したリスクをコントロールする体制やその手法に関して大きく2つの課題が浮上しているという。

 あらた監査法人 ディレクターの辻田弘志氏は、「リスクコントロールの作業を現場部門に委ねている企業が多く、部門間での作業の重複や全体の方向性と整合性のない仕組みが発生するようになった」と指摘する。これに加え、デロイト トーマツ リスクサービス 取締役パートナーの丸山満彦氏は、スプレッドシートを使ったリスク管理業務が非効率であると提起した。「欧米だけでなく、アジアの先進的な企業もITツールを使い始めた。日本はこの取り組みが非常に遅れている」(丸山氏)

 丸山氏や牧氏によれば、リスクの内容や評価をスプレッドシートに取りまとめて利用する管理手法は、担当部門にとって大きな負担になり始めている。リスクの種類が無数にあるだけでなく、時間とともに変化するため、スプレッドシートの情報を基に1つひとつのリスクを手作業で管理することは実態にそぐわないという。

 リスク管理にITツールを導入する企業は、製造業や金融業などから広がり始めた。丸山氏は、「外資系金融機関が日本法人にツールを展開したり、グローバル展開する製造系企業が中国やシンガポールの拠点に導入したりするケースがあるなど、日本に近い場所でリスク管理のIT化が進展している」と紹介した。

 リスク管理を支援するツールとはどのようなものか。中田氏は同社製品「SAP BusinessObjects Risk Management」を例に、リスク情報の一元管理やリスク対応文書の作成、内部および外部環境の変化のモニタリングなどの機能を備えたものと説明した。同社の場合、ERPなどの各種製品とも連携して、業務レベルでリスク管理を一元化できる点が特徴だとしている。

 牧氏は、SAP製品を導入したドイツの大規模病院での事例を紹介した。この病院では臨床や財務、人事といったさまざまな経営リスクの管理にスプレッドシートを利用していたが、業務の負荷が高まったことで担当部門がITツールの導入を起案したという。

 プロティビティとSAPでは、担当部門と共同でリスク管理体制の効率化を病院の経営層に提案し、ITツールの必要性を理解してもらうように努めた。約4週間でITツールを運用するための基礎的な準備を終え、運用を始めた。病院では診療や管理などの各部門にリスク管理担当者を設置し、各担当者の情報とツールで集約して経営層に提示する仕組みを構築した。担当者と経営層は定期的にミーティングを開催して、病院を取り巻くリスク情報やそのコントロール手法などを共有するようにしている。

 その結果、病院の経営戦略と整合性のとれたリスク管理体制を構築し、リスク管理手法の標準化も実現した。これにより、150種類のリスクコントロールの定義も削減できた。今後はより多くのリスクに対応できる体制に強化していくという。

 この病院の事例にあるように、リスク管理のIT化を最も必要としているのは担当部署である場合が多いという。牧氏は、「必要性を感じる経営者もいるが、日常に仕事に追われてリスク管理そのものに関心が向けられていないケースが目立つ。IT化には経営層の理解が不可欠」としている。

企業の内外のリスクに対応できるビジネスが企業の競争力を高めるという(丸山氏の資料より)

 企業でのリスク管理にITを活用していくことで、今後はリスク管理やコンプライアンスの実効性がさらに高まることが期待されるという。あらた監査法人の辻田氏は、「企業での業務プロセスの標準化の取り組みをリスク管理にも取り入れようというムードが高まりつつある」と話す。

 業務プロセスを標準化すれば、業務ごとに共通するリスクとそのコントロールの手法もある程度標準化ができる可能性が高い。これにより、内部統制やコンプライアンスにリスク管理を加えた統合的な仕組みを実現できるとしている。「拠点のある国や地域の法規制には対応が難しいといった面もあるが、部門横断的なリスク管理を可能にし、グローバルで企業全体のリスク管理を最適化していけるだろう」(辻田氏)。

 PricewaterhouseCoopersが2009年末に企業のコンプライアンス担当者5000人を対象に実施したアンケートによれば、内部統制やコンプライアンス、リスク管理といった業務を手掛ける部門間の連携を重視する回答が目立った。将来のリスク管理はITを活用して、内部統制やコンプライアンスといった既存の経営課題を包括する仕組み作りがポイントになるようだ。

変更履歴:本文中「PricewaterhouseCoopers」とすべきところを「Pricewater House Coopers」としていました。また「中田淳」氏とすべきところを「中田敦」氏としていました。お詫びして訂正いたします。[2010/08/11 11:09]

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ