GTM-MML4VXJ
Skip to main content

English

Japan

  1. ホーム >
  2. コラム >
  3. コンサルティングNEWS >
  4. 【連載】内部統制からERMへ 第3回

【連載】内部統制からERMへ

第3回 ERM導入に向けて ~共通言語とGRCデータ~

シニアコンサルタント 藤本 健

2009年6月30日(火曜日)

経営管理基盤としてのERM(*1)導入の最終回として、ERM導入の3つの基盤のうち最も重要である「リスク定義と評価尺度の共有」のポイントと、現在富士通総研が取り組んでいる「リスク情報の標準化」の動向について紹介します。

リスク定義と評価尺度の共有:共通言語の策定

第1回でも触れましたが、日本版SOX法のポイントは、リスクの定義やどの程度が重要なリスクとなるかの評価尺度を形式知化して、全社で共有することにありました。

ERMでは、管理対象となるリスクが広範に及ぶことやリスク発生時の影響も定量的なものだけでなく定性的なものもあるため、全社で定義や基準を共有することはより重要です。

実際の運用では、リスクユニバース、リスク評価ツールなどを作成して現場に展開します。リスクユニバースは、全社的観点で企業活動にまつわるリスクを体系的に洗い出すためのツールです。企業の事業目標に影響を与える可能性のあるリスク要因を、例えば、マクロ環境、ステークホルダーなどの外部環境や人/組織やプロセス、ITなどの内部環境に分類・整理するものです。このリスクユニバースで洗い出されたリスクに関し、各部門は保有する潜在リスクを洗い出します。洗い出した後は、リスク評価ツールを用いて発生可能性と影響度の評価を行い、リスクの重要性を決定します。リスク評価ツールでは、通常3~5段階に評価尺度を定義しています。例えば、影響度の場合、金額的影響度を「10億円以上」、「1億円以上」、「ほとんど影響なし」等と決めます。また、「顧客への影響」、「風評被害」などの定性的な尺度を併せて使う場合もあります。

このように「何がリスクか」「どういった観点・目盛で評価するか」を全社統一で認識できることで、企業活動にとって重要なリスクの識別を適切に行うことが可能となります。

リスク情報の標準化:共通言語とデータ標準

ERMを支える基盤としてGRC(*2)が注目されています。ERMを効率的に行うためには、前述の共通言語や共通言語を使って収集したリスクに関する情報を各部門の活動やそれを支える情報システムを超えて共有できることが重要となってきます。現在、OCEG(*3)では、GRCのプロセスや情報の統合化のガイドラインを策定していますが、その配下の技術カウンシルでは、XML技術を使ったリスク情報の国際標準を開発しています。この標準化により、企業内での異なる活動、異なる情報システム間で情報を全社的に共有することが可能となります。富士通総研は、OCEG技術カウンシル参画企業の1つとして、積極的にXML標準の開発に貢献しています。

XML標準の開発により、情報システム間の連携促進を通じた効率性向上だけでなく、人と人、人と情報システムが、XMLベースでリスク定義と評価尺度、リスクに関する情報を共有できるようになります。

富士通総研では独自に保有するリスクユニバースや評価ツールのテンプレートをベースに、お客様におけるカスタマイズのご支援や現場に対するトレーニングなどのご支援を行うと同時に、OCEGの活動を通じて、お客様のより高度なリスクマネジメントの実現に寄与したいと考えています。

第1回 内部統制対応を起点としたERMの導入

第2回 ERM導入に向けて ~ERMプロセスと実効体制の構築~

注釈

*1 ERM : Enterprise Risk Management(全社的リスクマネジメント)
企業活動全般に関する様々な不確実性(リスク)を管理するために企業内の全ての構成員により実施されるプロセス。

*2 GRC : ガバナンス(Governance), リスク対応(Risk), コンプライアンス(Compliance)の各活動の総称。
Gは活動の目的および範囲の規定、Rは活動に係わるリスクの特定・対応、Cは活動目的および範囲が遵法であることの管理を実施することを表す。GRCはこれらの活動を整合的に実施することを目指すもの。

*3 OCEG : Open Compliance & Ethics Group GRC標準を策定する非営利団体。
DeloitteやPwCなどの監査法人やSAP、Oracle、Microsoftなど、ベンダーおよびユーザ企業が中心に活動している(日系企業としては、Toyota Motors USAも参加しているが、日本企業として参画しているのは富士通総研のみ)。

関連サービス

【内部統制・リスク管理(ビジネス・アシュアランス)】

富士通総研の内部統制・リスク管理コンサルティングでは、企業の社会的責任の履行とリスクマネジメントによる経営基盤強化を支援します。