2008年09月25日 08時00分 UPDATE
特集/連載

もう先延ばしはできないエンタープライズリスク管理をためらう企業に警鐘

S&PやMoody'sが企業の格付けの評価基準にERMを含める動きを見せている。これは、企業に対する「直ちにERMを実施すべきだ」というメッセージだ。

[Elisabeth Horwitt,TechTarget]

 Standard & Poor's(S&P)は先ごろ、同社が格付けする企業の評価基準にエンタープライズリスク管理(ERM)を含める予定で、2009年4〜6月期にはERMに基づく企業の採点を始めると発表した。この動きは、企業のビジネスリーダーと技術リーダーたちに強いメッセージ──「いつまでも先延ばしせずに、直ちにERMを実施すべきだ」というメッセージ──を送った。

 このような方針を打ち出したのはS&Pだけではない。投資家サービス企業のMoody's Investors Serviceは総合的なリスク管理評価手法を考案し、保険情報プロバイダーのA.M. BestはERMを格付けプロセスの一部として含める方針を明らかにした。

 ERMは、総合的なトップダウン方式でリスクを管理するための戦略、手続き、組織構造を定義するものだ。Gartnerの2008年4月のリポート「A Risk Hierarchy for Enterprise and IT Risk Managers」(エンタープライズ/ITリスクマネジャーにとってのリスク階層)によると、ERMの中心的な目的は、さまざまなビジネス部門およびIT部門が「事業運営リスク(システム障害、人為的要因、プロセスの不備、外的イベントなどに起因する損失リスク)に対するそれぞれの責任を理解すること」である。

 これに関連する目標として、ビジネス/IT分野における事業継続、情報セキュリティ、コンプライアンス、個人情報などに対する脅威が、ビジネスパフォーマンスならびに長期的目標と優先課題の遂行にどのような悪影響を及ぼす可能性があるかについて、各部門のリーダーが定期的に話し合う体制を確立することが挙げられる。

 企業のIT部門およびビジネス部門のリーダーたちは以前から、リスク管理に対しては分散型のアプローチよりも総合的なアプローチを採用する必要があると認識していた。2001年9月11日の同時多発テロや2005年8月に発生したハリケーン「カトリーナ」は、企業のITシステムへの深刻な被害が、重要なビジネスプロセスだけでなく、長期的な財務基盤および競争力にも悪影響を及ぼしかねないことを如実に示した。また、米連邦政府の取締当局や裁判所が、サーベンス・オクスリー法やHIPAA(米国における医療保険の相互運用性と説明責任に関する法令)などの情報セキュリティやデータ機密保護に関する法規制に違反した企業に対して何百万ドルもの罰金を科し始めたことも、企業にとって大きな警鐘となった。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news126.jpg

NECが世界最高峰のB2Bマーケティング賞「Markie Awards」のファイナリストに
ラスベガスに渡ったノヤン先生と庭山特派員。「Oracle Modern Customer Experience 2017...

news133.jpg

デルがインサイドセールスを大幅増員、その組織と業務を紹介
デルは2017年4月26日、中堅企業向けのインサイドセールス(内勤営業)を大幅に増員すると...

news120.jpg

「CEOになるのは嫌だって? うん、正しいね」 Oracle マーク・ハード氏のキーノートは貫録たっぷり
ミミズクのノヤン先生を連れ米国遠征中の庭山一郎氏。世界のB2Bマーケティングの最先端事...