2008年09月25日 08時00分 公開
特集/連載

エンタープライズリスク管理をためらう企業に警鐘もう先延ばしはできない

S&PやMoody'sが企業の格付けの評価基準にERMを含める動きを見せている。これは、企業に対する「直ちにERMを実施すべきだ」というメッセージだ。

[Elisabeth Horwitt,TechTarget]

 Standard & Poor's(S&P)は先ごろ、同社が格付けする企業の評価基準にエンタープライズリスク管理(ERM)を含める予定で、2009年4〜6月期にはERMに基づく企業の採点を始めると発表した。この動きは、企業のビジネスリーダーと技術リーダーたちに強いメッセージ──「いつまでも先延ばしせずに、直ちにERMを実施すべきだ」というメッセージ──を送った。

 このような方針を打ち出したのはS&Pだけではない。投資家サービス企業のMoody's Investors Serviceは総合的なリスク管理評価手法を考案し、保険情報プロバイダーのA.M. BestはERMを格付けプロセスの一部として含める方針を明らかにした。

 ERMは、総合的なトップダウン方式でリスクを管理するための戦略、手続き、組織構造を定義するものだ。Gartnerの2008年4月のリポート「A Risk Hierarchy for Enterprise and IT Risk Managers」(エンタープライズ/ITリスクマネジャーにとってのリスク階層)によると、ERMの中心的な目的は、さまざまなビジネス部門およびIT部門が「事業運営リスク(システム障害、人為的要因、プロセスの不備、外的イベントなどに起因する損失リスク)に対するそれぞれの責任を理解すること」である。

 これに関連する目標として、ビジネス/IT分野における事業継続、情報セキュリティ、コンプライアンス、個人情報などに対する脅威が、ビジネスパフォーマンスならびに長期的目標と優先課題の遂行にどのような悪影響を及ぼす可能性があるかについて、各部門のリーダーが定期的に話し合う体制を確立することが挙げられる。

 企業のIT部門およびビジネス部門のリーダーたちは以前から、リスク管理に対しては分散型のアプローチよりも総合的なアプローチを採用する必要があると認識していた。2001年9月11日の同時多発テロや2005年8月に発生したハリケーン「カトリーナ」は、企業のITシステムへの深刻な被害が、重要なビジネスプロセスだけでなく、長期的な財務基盤および競争力にも悪影響を及ぼしかねないことを如実に示した。また、米連邦政府の取締当局や裁判所が、サーベンス・オクスリー法やHIPAA(米国における医療保険の相互運用性と説明責任に関する法令)などの情報セキュリティやデータ機密保護に関する法規制に違反した企業に対して何百万ドルもの罰金を科し始めたことも、企業にとって大きな警鐘となった。

ITmedia マーケティング新着記事

news161.jpg

コロナ禍で縮小したマーケティング施策 1位は「オフラインのセミナー/展示会」――ベーシック調査
B2Bマーケターを対象にした調査で8割以上が「コロナ禍で実施/検討しているマーケティン...

news110.jpg

メルカリ調査 フリマアプリで売れる価格は新品の購買意思決定にどれほど影響する?
フリマプリ出品経験者は、フリマアプリでの再販価格が10%上昇すると、新品に支払える上...

news024.jpg

Google検索における2020年上半期の動向 新型コロナの影響でSEOはどう変わる?
新型コロナウイルスの影響が大きかった2020年の上半期ですが、Google検索の動向において...