エンタープライズリスク管理をためらう企業に警鐘：もう先延ばしはできない

S&PやMoody'sが企業の格付けの評価基準にERMを含める動きを見せている。これは、企業に対する「直ちにERMを実施すべきだ」というメッセージだ。

[Elisabeth Horwitt，TechTarget]

　Standard & Poor's（S&P）は先ごろ、同社が格付けする企業の評価基準にエンタープライズリスク管理（ERM）を含める予定で、2009年4〜6月期にはERMに基づく企業の採点を始めると発表した。この動きは、企業のビジネスリーダーと技術リーダーたちに強いメッセージ──「いつまでも先延ばしせずに、直ちにERMを実施すべきだ」というメッセージ──を送った。

　このような方針を打ち出したのはS&Pだけではない。投資家サービス企業のMoody's Investors Serviceは総合的なリスク管理評価手法を考案し、保険情報プロバイダーのA.M. BestはERMを格付けプロセスの一部として含める方針を明らかにした。

　ERMは、総合的なトップダウン方式でリスクを管理するための戦略、手続き、組織構造を定義するものだ。Gartnerの2008年4月のリポート「A Risk Hierarchy for Enterprise and IT Risk Managers」（エンタープライズ／ITリスクマネジャーにとってのリスク階層）によると、ERMの中心的な目的は、さまざまなビジネス部門およびIT部門が「事業運営リスク（システム障害、人為的要因、プロセスの不備、外的イベントなどに起因する損失リスク）に対するそれぞれの責任を理解すること」である。

　これに関連する目標として、ビジネス／IT分野における事業継続、情報セキュリティ、コンプライアンス、個人情報などに対する脅威が、ビジネスパフォーマンスならびに長期的目標と優先課題の遂行にどのような悪影響を及ぼす可能性があるかについて、各部門のリーダーが定期的に話し合う体制を確立することが挙げられる。

　企業のIT部門およびビジネス部門のリーダーたちは以前から、リスク管理に対しては分散型のアプローチよりも総合的なアプローチを採用する必要があると認識していた。2001年9月11日の同時多発テロや2005年8月に発生したハリケーン「カトリーナ」は、企業のITシステムへの深刻な被害が、重要なビジネスプロセスだけでなく、長期的な財務基盤および競争力にも悪影響を及ぼしかねないことを如実に示した。また、米連邦政府の取締当局や裁判所が、サーベンス・オクスリー法やHIPAA（米国における医療保険の相互運用性と説明責任に関する法令）などの情報セキュリティやデータ機密保護に関する法規制に違反した企業に対して何百万ドルもの罰金を科し始めたことも、企業にとって大きな警鐘となった。

関連ホワイトペーパー

運用管理 | リスクマネジメント | BPM（ビジネスプロセス・マネジメント） | コンプライアンス | データセンター