ビジネスお役立ち情報 > ビジネスColumn

ビジネスColumnビジネスColumn CADを利用して設計を行う際に必要なノウハウを紹介。

ビジネスColumnのトップへ

企業が取り組むべき危機管理
エンタープライズ・リスク・マネジメント

このところ、危機管理の不行き届きにより、企業存続の危機に陥る企業が後を絶たない。ひとたび事故を起こせば「危機管理が不十分」と切り捨てられることが多いが、企業として取り組むべき危機管理問題は多岐に渡る。天災、情報セキュリティ、法令違反など、企業は多種多様な事故に見舞われる危険性がある。そうした事故があらかじめ起きるリスクを想定し、そのリスクをコントロールする手段として注目されているのが「エンタープライズ・リスク・マネジメント」だ。

企業が直面するさまざまなリスク

現在の企業は、常日頃から多くのリスクに直面している。企業のリスクと言えば、従来は財務や投資、保険に関するリスクばかりを考えている経営者が少なくなかった。だが、企業の社会的責任が注目され、各種法規制が強まっている現在において、企業を取り巻くリスクは「カネ」に直接結び付くものだけではない。自社製品やサービスの品質管理不足によるブランド力の低下、地震や台風のような自然災害の被害、ウイルスや不正アクセス、情報漏えいといったセキュリティに対する侵害、個人情報保護法や金融商品取引法(日本版SOX法)をはじめとするコンプライアンス違反など、実にさまざまなリスクが挙げられる。

こうしたリスクは企業の利益を損なう要因であり、いかに防止・回避するかというのが従来のリスク・マネジメントの考え方だった。そのため、それぞれのリスクを個別に対策する手法がとられ、それぞれのリスク・マネジメント間で相互に影響を及ぼすことを考えず、独立して実践されてきた。

しかし、リスクの中には他のリスクに影響を与えるものがある。リスクの重要度に合わせて対策の優先順位を決定したり、複数のリスク対策を連携したりすることが求められる場合もある。

そこで登場したのが、企業が直面するすべてのリスクを対象としてリスクコントロールを行う「エンタープライズ・リスク・マネジメント」(ERM)という概念である。

COSOが定義したERMフレームワーク

ERMについては、米国トレッドウェイ委員会組織委員会(Committee of Sponsoring Organizations of Treadway Commission=COSO)が従来の内部統制フレームワーク(COSOフレームワーク)を拡張し、リスク・マネジメントと内部統制を統合させた枠組みとして「Enterprise Risk Management − Integrated Framework」を2004年に公表している。

このERMフレームワークは、従来の内部統制フレームワークを包含して範囲を拡大したもので、「戦略」「業務」「財務報告」「コンプライアンス」という4つの目的、「内部環境」「目的の設定」「事象の識別」「リスクの評価」「リスクへの対応」「統制活動」「情報と伝達」「モニタリング」という8つの構成要素、それに事業体全体、ビジネスユニット、子会社などの組織を適用範囲とし、それをマトリックスキューブとして紹介している。


従来の内部統制フレームワークと比較すると、新たに「戦略」が目的に、「目的設定」が構成要素に追加され、「リスク評価」が「事象の識別」「リスクの評価」「リスクへの対応」に分割、内容が高度化された。

COSOでは、ERMフレームワークを利用することで経営者の視点から企業全体のリスクの状況をポートフォリオを利用して把握、統合的に管理し、企業の総リスクを削減することを提唱している。

PDCAサイクルで実施するERM

ERMを実施するには、いわゆるPDCA(Plan-Do-Check-Act)サイクルに当てはめて考えるとよい。

まずは、経営者がリスク・マネジメントに関する基本的な方針を策定し、リスク・マネジメントの執行役を決定する。リスク・マネジメントの執行役は、リスク・マネジメント計画を具体化する。これが、Planのフェーズになる。

次に、組織横断的なプロジェクトがリスク・マネジメントを推進し、事業の現場でリスク・マネジメントを実施する。これが、Doのフェーズだ。

そして、現場ではリスク・マネジメントの実施結果を推進プロジェクトに報告。さらにプロジェクトがリスク・マネジメントの執行役に報告する。リスク・マネジメントの執行役は、報告をレビューしてプロジェクトに必要な対応を指示するとともに、経営者に取り組み内容を報告。経営者は、その報告と内部監査報告をレビューして対応を指示する。ここまでが、Checkのフェーズになる。

最後に、経営者は株主や従業員などのステークフォルダーに対し、企業が抱えるリスクとリスク・マネジメントの取り組みに関する情報を開示する。これが、Actのフェーズになる。

ERMで特に重要なのが、リスク源の特定と、その情報の蓄積である。リスク発生の恐れがある資産や事業内容、外部要因などを洗い出し、軽微な事故も含めてあらゆるリスク事例を収集して、その情報をデーターベース化、社内で確認できる状態にするのである。そして、リスクが発生する頻度を調べ、リスクが発生した場合の損失を算出。発生頻度と損失を比較したリスク・マトリックスを作成して、評価するのだ。

ERMに関する取り組みは、どの企業でもまだ始まったばかりだが、コンサルティングファームやSIベンダーなどがいくつかのソリューションを提供し始めている。こうしたソリューションを利用することも、選択肢として考えていくべきだろう。

(掲載:2007年3月)

企業のITセキュリティ講座