「継続的なコンプライアンス」を確立せよ

GRCの統合アプローチで、企業価値の向上を目指す

（2008年01月23日）

前のページへ < ｜1｜2｜3｜ > 次のページへ

ERM──全社的リスク・マネジメントの必要性

　内部統制の推進という観点から、企業を取り巻くリスクをとらえてマネジメントを行う際には、次の2点が重要になる。

経営にとってリスクになる可能性のある事象が業務プロセス内に存在していないかを把握した後、どのようにしてそのリスクをコントロールできるかを事前に考慮しておく
事前に考慮したコントロールを業務プロセスに組み込む

　基本的な考え方は、個別の業務プロセスごとにリスク・マネジメントを行うのではなく、企業の経営戦略に即して、全社的視点からリスク・マネジメント体制を構築するということである。COSO（米国トレッドウェイ委員会組織委員会）は、この考え方をCOSO ERM（Enterprise Risk Management：全社的リスク・マネジメント）フレームワークとして策定している。

　COSO ERMは、内部統制の国際標準フレームワークとして定着したCOSOフレームワークを拡張する形で、財務関連にとどまらない法規制対応全般および企業リスク対応を目指したフレームワークとして2004年9月に公表された。米国の先進的な企業は同フレームワークに早期から着目し、GRCを互いに連携させ包括的にマネジメントするための手法として採用している。

　リスクという性質を踏まえると、それを100％抑制する完璧なリスク・マネジメントは不可能だ。ERMの目的は、内部統制の推進を前提に、企業の存続や事業継続に大きな影響を与えるリスクを、適切にコントロールすることにある。

補完し合うリスク・マネジメントと内部統制

　図2に、COSO ERMフレームワークの概念図を示した。この図を見てわかるようにCOSOは、内部統制自体の定義を変更したり、新しい概念を提示したりするのではなく、内部統制の要素の外縁にERMの要素を配する方法でフレームワークを構築している。

図2：COSOのERMフレームワーク

　ERMにおける目的のうち「報告」は、COSOフレームワークの「財務報告」目的を拡張したものである。また、内部統制の基本的要素である「リスク評価」の部分は、「事象の識別」「リスク評価」「リスクへの対応」に細分化されている。この点は、ERM、すなわち全社的なリスク・マネジメントと内部統制が密接に関連していることを示している。ERMで把握しているリスクに対しては、内部統制の強化で対応できるし、逆に、内部統制が十分に機能していれば、リスク対策を最適化できるという考えも成り立ってくる。

　今日、コンプライアンスの取り組みとしては、上述したように、適用開始が目前となった日本版SOX法への対応を過不足ないレベルで実施するという、短期的方針の企業が大半であろう。しかし、根本に立ち戻って考えてみると、本来、財務諸表の信頼性といった“内向き”の対策だけではなく、事業目標の達成に向かう過程で発生が想定されるリスクをマネジメントしながら、より戦略的な事業遂行を支援する枠組みへと発展させていくのは、ごく自然なことと思われる。

　事業の拡大によって業務プロセスは、その複雑化がより進行する。また、グローバル企業、ないしはグローバル戦略を推進中の企業にとっては、国内のみならず各国で制定される各種の法規制にもそれぞれ対応していくことになる。そうした中でERMを実践する際には、「ポリシー／手続き／統制の文書化」を推進していく必要がある。そして、常に「リスク／統制の評価（アセスメント）」を計画的に行い、「リスク分析」によるモニタリングやシミュレーションで再評価しつつ、不可避的に発生したリスクの「損害／事件／原因調査管理」から改善へとつなげていくための、PDCAサイクルを回していかなくてはならない。
　こうした考え方に沿う形で、従来、SOX法対応ツールとして提供されていたIT製品も、より広範なGRCに対応したプラットフォーム製品に拡張され、市場に出回りつつある。

「リスクのサイロ化」を解決するERM

　さて、リスク・マネジメントで先行している企業が現在、苦労している点は何かというと、それは「リスクのサイロ化」（全社にリスクが散在すること。リスクの断片化）である。リスクのアセスメントを行う際に確認する項目は、社内の各部門で共通していることが多い。小規模なタスクフォースをいくつか立ち上げて個別に対応に取り組んでいる企業では、事業部門の関係者に何度も同じことを尋ねることになってしまう。そのため、複数のリスクの相互の関連性が不明なまま、個別にリスクのアセスメント結果が散在する事態に陥りやすい。

　ERMは、リスクの影響およびその範囲を近視眼的にとらえてしまい、実際にはリスクが広範に影響を及ぼすのを見過ごすことがないよう、全社的な視点からリスク・マネジメントに取り組むためのアプローチなのである。

事業活動遂行に伴うリスクと事業機会に伴うリスク

　上述したように、今日、企業を取り巻くリスクの種類は多岐にわたっており、業種や規模を問わず共通のリスク、業種固有のリスク、グループ企業固有のリスクなどさまざまである。子会社を持たず、事業規模が比較的小さい企業であれば、リスク・マネジメントのスコープは自社のみとなる。一方、事業部門の分社化が進み、海外にも子会社を有している企業の場合には、子会社・関連会社を含めた企業グループ全体をリスク・マネジメントの対象とすることになる。また、担当者がどの部門に所属しているかによっても、リスク・マネジメントの焦点が変わってくる。

　では、具体的にどのような種類のリスクがあるのか。企業内に潜在するリスクを洗い出し、分類することがリスク・マネジメントの作業の第一歩となる。企業の事業活動に影響を与えるリスクは、「事業活動の遂行に関連するリスク」と「事業機会に関連するリスク」に大別することができる（図3）。

図3：企業におけるリスクと内部統制の関係

　事業活動の遂行に関連するリスクへの対応は、内部統制のプロセスの中で、直接的に実施される。そのため、内部統制の仕組みを適切に構築し運用すれば、これらのリスクを適切にマネジメントしていると言える。したがって、リスク・マネジメントのプロセスに則して必要な機能を備えたGRCプラットフォーム製品は、事業活動の遂行に関連するリスクのマネジメントに焦点を当てたものとなっている。

　また、事業機会に関連するリスクについては、内部統制の仕組みを整備することで、間接的にマネジメントを行うことができる。一方で、事業活動の遂行に関連するリスクは、全社的なリスク・マネジメントの中で評価し、対処しなくてはならない。以上のことからも、リスク・マネジメントと内部統制は、統合的に対処すべき活動であると言える。

IT部門の課題

　日本版SOX法への対応を完了した企業からの声によると、業務処理統制における文書化（現行の業務フローの作成を起点とする業務プロセスの標準化・文書化）やリスクの洗い出しはもちろんだが、指摘されたITリスクへの対応も大きなポイントになったようだ。

　ITリスクは、「システム開発のリスク」「アクセス・コントロールのリスク」「システム運用のリスク」の3つに分類でき、主に全般統制への対応となる。そして、これらすべての基盤となるのが品質管理、構成管理、変更管理であり、これをPDCAサイクルで回していくための全社的な仕組みがIT統制である。

　業務処理統制と全般統制は相互に補完関係にもあるが、全般統制やそもそものIT統制についての欠陥には、重要なリスクの指摘に直結しやすく、またリスクの指摘である以上、重箱の隅をつつけばいくらでも出てくるといったことにもなりやすい。そして、場当たり的な対応は担当部門スタッフの間で疲弊を招き、終わりが見えない徒労感も生じかねない。まずは、「どこから手をつけるべきか／どのあたりに対応し切れていない部分を残すのか／自社のITマネジメント成熟度はどの程度なのか」といったことを把握したうえで、適切な対策を講じることが重要となる。

　ITRでは、ITマネジメント成熟度評価サービス「IT@Governance」として、このようなアセスメントを実施してきた。このサービスでは、いくつかの評価軸でITマネジメントの成熟度を評価している。

　1つ目の軸はITマネジメント・ドメインであり、IT戦略、IT投資、IT組織、ITリスク、ITアーキテクチャ、ITサービス、ITプロジェクト、ITソーシング、ITユーザーの9項目から構成される。2つ目の軸はITガバナンス・フレームワークであるCOBITの制御プロセスであり、計画と組織、調達と導入、提供と支援、監視と評価の4つの領域に含まれる34の制御プロセスから構成される。9つのマネジメント・ドメインおよびCO
BITの34の制御プロセスは、戦略立案から企画、開発、運用、ユーザー・サポート、管理運営にかかわるIT部門の活動を網羅的にカバーしたものである。そして、3つ目の軸は内部統制の対応領域であり、体制・役割、手順・基準、文書・規定、監視・管理、評価・改善の5つからなる。

　また、このサービスの評価では、COBITが推奨する汎用的な成熟度評価モデルである、6段階の評価モデル（「0：存在しない」「1：初期」「2：反復可能」「3：定義済み」「4：管理可能」「5：最適化」）を採用している（表1）。

表1：内部統制の成熟度評価レベル