企業戦略に合った方針に基づいて全社的にリスクを管理する「ERM(エンタープライズ・リスク・マネジメント)」が注目を集めている。ERMとして全社統一方針の下でリスクマネジメントに乗り出す企業はまだ少数。多くは日本版SOX法(J-SOX)への対応などにより、特定の目的のためにリスクマネジメントに乗り出した段階だ。これからERMに取り組む企業はどう考え、どのような方針で進めるべきか。ERMのコンサルティングを手がけるベリングポイント金融サービス事業部の小野准示シニア マネージャーに話を聞いた。(聞き手は島田 優子=日経コンピュータ)
ERMに取り組むにあたり、気をつけるべき点は。
社長が関与し、全社で一元的なリスク管理に取り組む企業はまだ少ないだろう。ERMでは、取締役会のレベルで全社のリスクを共有し、その対処方法を決めておくことが求められる。各取締役が自分が掌握している事業の範囲内のリスクしか知らないというのはだめだ。
一方で、ERMにはこれまでの取り組みを生かせる点も理解しておくべきだ。企業であれば、ビジネス上のリスクを洗い出すという作業をしているはず。全く新しいことを始めるわけではない。
ERMを実践するうえで、どこから手をつけるべきか。
J-SOXに対応している企業であれば、その活動の延長にあるととらえるべきだろう。J-SOX対応で抽出したリスクや、リスクに対して整備・運用した統制(コントロール)をベースに、財務報告以外のリスクや統制を洗い出していく。そのなかで、統制が考えられていない「残余リスク」について企業としての方針を明らかにする必要がある。
J-SOXは財務報告の信頼性を担保することが目的だ。財務報告は毎年、公開されるものだが実際に投資家は、企業の数年先を見据えて投資の判断を下す。新規事業を立ち上げる際に、原油価格や為替の変動といったリスクを織り込んでいるかなどを投資家は確認する。原油価格や為替変動のように企業が関与できないリスクについても、統制を考える必要がある。
リスクをあえて「とる」ことも視野に
「リスクを避ける」だけでなく、「あえてリスクをとる」という考え方があることを忘れてはいけない。商社は戦略的にリスクをとって成長した業態だ。様々な国の情報を集めることでリスクを低減しながら、世界各国に進出したい企業の代わりを務めてきた。
市場リスクのように、リスクがゼロに近い状態が決して望ましいわけではないケースもある。すべてのリスクに対して統制を整備・運用していたら費用がかかるし、必要以上に強固な管理体質の企業になってしまう。どのリスクをとり、どのリスクを排除するかは、経営判断と株主からの判断によって総合的に判断すべきことだろう。
社内ではどの部門が主導すべきか。
専門のリスク管理部門を設置することが望ましい。実際には、そうした部門を置いている企業は少数だろう。四半期あるいは半期に一度開催される、全社的な「リスク委員会」といったものを設置している企業もあるが、これではERMを実践できない。
重要なのは、全社のリスクを一元的に管理する定常的な組織を作ることだ。各事業部門から上がってくるリスクや統制のレベル感をそろえるといった役割を果たす。企業全体でリスクを横断的に見る部署の設置は、ERMを実践するうえで欠かせないだろう。
現場のうわさ話を拾うのが大切
全社的なリスクを洗い出そうとする際に、アンケートを取ろうとする企業がある。これでは本当のリスクが明らかにならない。実際に現場に赴いて「うわさ」などを拾ってくることが重要だ。現場の人間は罪の意識がなく、リスクとなる行動をとるケースがある。現場に出向ける要員を確保しておくことも重要だ。
ERMを実践するうえで、システム部門はどういう役割を果たすべきか。
システム部門の様々な活動がERMの一端を担っている。例えば、投資はリスクの一つだ。当然、システム投資も含まれる。システム部門は経営陣がシステム投資について判断できるように、正しい情報を伝える役割がある。
後から振り返って、投資判断に有効な情報を伝えていないとわかったら、その時点で有効な情報の提供はムリだったのか、あるいは、有効な情報が提供できたにもかかわらず、情報が提供できなかったのか、などを振り返ることが欠かせない。
事業方針に合致したシステムを構築できるかも、システム部門にとって重要なリスクマネジメントの一つだ。パッケージ・ソフトウエアを利用するかスクラッチ(手作り)で開発するかの判断によっては、構築するシステムが事業方針に合致しないものになってしまう可能性もある。こうした点を考慮しながらシステム構築を進める必要がある。
ERMに積極的なのはどのような企業か。
いま積極的にERMに取り組んでいるのは、かつて何らかの不祥事を起こし、全社的にリスクを統一管理する必要性を感じている企業だ。ほかに、J-SOXに対応している企業の経営者が「当社のリスクマネジメントはJ-SOX対応だけで十分なのか」と疑問を持ち、「J-SOXの次」としてERMに取り込もうとする企業もある。
