「賢い」リスク管理でJ-SOXを乗り切れ：新しいリスクマネジメントとは（1/2 ページ）

2009年に施行予定のJ-SOX法に向けて、日本企業はいよいよその対応に迫られている。既にリスク管理で先行するアメリカでは、次の段階となる「リスク・インテリジェンス」の取り組みに入っている。

[富永康信（ロビンソン），ITmedia]

　ビジネスの観点からみて、最も重要なリスク管理のポイントは、機会と損失のバランスを図り最適化することである。このため、企業におけるリスク活動を俯瞰し、リスクが高いが対策が採られていない分野には対策を、リスクが低いにもかかわらず対策をしすぎている分野には対策の再配置をすることで効果的・効率的に、「賢く」リスク管理をすることが重要となる。SOX法を経験した米国では、新しいリスクマネジメントのフレームワークとしてのリスク・インテリジェンスが注目されている。

リスク管理の発展5段階

　事業活動にリスクはつきものであり、リスク低減は企業の永遠の命題である。しかし、個人情報保護法や内部統制対応でも見られたように、情報セキュリティリスクの低減に迷走するあまり、全体の収益性を低下させるような企業がある。しかし、そのような経営はおかしいと指摘するのは、監査法人トーマツでパートナーを務める丸山満彦氏だ。

　今年9月27日に開催された「セキュリティマネジメントセミナー vol.11」（ソフトバンククリエイティブ主催）に登壇した丸山氏は、「企業全体のリスクを俯瞰した上で、取り除くべきリスクは取り除き、生かすべき（ビジネスチャンスと呼んでも良い）リスクは生かすという考えが、特に米国を中心に進んでいる」と紹介した。情報セキュリティも企業が直面するリスクのひとつであり、「賢く」リスクを取りながら全体としてのリスクの極小化を考えるべきだという。そして同氏は、日本でも今後重要になるのが「リスク・インテリジェンス」だと断言する。

　では、リスク・インテリジェンスとは何か。丸山氏は、組織におけるリスク管理の発展段階を示した。それには5つのフェーズが存在し、第1段階の個人レベルのリスク対策から、第4段階の全社管理ですべてのリスクを管理できるフェーズまでが、現在の多くの企業におけるリスク管理の現状だという。そして、さらにその上のフェーズでは、より効率的・効果的に「賢く」リスク管理が行われる段階に進む。これが次世代のリスク管理、リスク・インテリジェンスである。

組織におけるリスクマネジメントの発展段階（出典：監査法人トーマツ）

進む米国、後を追う日本

　SOX法の対応を経験し、リスク管理が進んだ米国では、既に第4段階まで達している企業が存在し、そのような企業はさらにこのリスク・インテリジェンスに取り組もうとしている状況だ。一方、日本ではまだ第2や第3段階の企業が多く、今後リスク対策を成熟化させることが課題となっている。

　そのため、上の第4段階へのステップアップに必要なこととして、特定のリスクないし部門別リスクを全社的視点で管理するリスクマネジメントや、会社全体であらゆるリスクと統合的に管理するエンタープライズ・リスク・マネジメント（ERM）が重要な意味を持ってくる。