2008年09月25日 08時00分 公開
特集/連載

エンタープライズリスク管理をためらう企業に警鐘もう先延ばしはできない

S&PやMoody'sが企業の格付けの評価基準にERMを含める動きを見せている。これは、企業に対する「直ちにERMを実施すべきだ」というメッセージだ。

[Elisabeth Horwitt,TechTarget]

 Standard & Poor's(S&P)は先ごろ、同社が格付けする企業の評価基準にエンタープライズリスク管理(ERM)を含める予定で、2009年4〜6月期にはERMに基づく企業の採点を始めると発表した。この動きは、企業のビジネスリーダーと技術リーダーたちに強いメッセージ──「いつまでも先延ばしせずに、直ちにERMを実施すべきだ」というメッセージ──を送った。

 このような方針を打ち出したのはS&Pだけではない。投資家サービス企業のMoody's Investors Serviceは総合的なリスク管理評価手法を考案し、保険情報プロバイダーのA.M. BestはERMを格付けプロセスの一部として含める方針を明らかにした。

 ERMは、総合的なトップダウン方式でリスクを管理するための戦略、手続き、組織構造を定義するものだ。Gartnerの2008年4月のリポート「A Risk Hierarchy for Enterprise and IT Risk Managers」(エンタープライズ/ITリスクマネジャーにとってのリスク階層)によると、ERMの中心的な目的は、さまざまなビジネス部門およびIT部門が「事業運営リスク(システム障害、人為的要因、プロセスの不備、外的イベントなどに起因する損失リスク)に対するそれぞれの責任を理解すること」である。

 これに関連する目標として、ビジネス/IT分野における事業継続、情報セキュリティ、コンプライアンス、個人情報などに対する脅威が、ビジネスパフォーマンスならびに長期的目標と優先課題の遂行にどのような悪影響を及ぼす可能性があるかについて、各部門のリーダーが定期的に話し合う体制を確立することが挙げられる。

 企業のIT部門およびビジネス部門のリーダーたちは以前から、リスク管理に対しては分散型のアプローチよりも総合的なアプローチを採用する必要があると認識していた。2001年9月11日の同時多発テロや2005年8月に発生したハリケーン「カトリーナ」は、企業のITシステムへの深刻な被害が、重要なビジネスプロセスだけでなく、長期的な財務基盤および競争力にも悪影響を及ぼしかねないことを如実に示した。また、米連邦政府の取締当局や裁判所が、サーベンス・オクスリー法やHIPAA(米国における医療保険の相互運用性と説明責任に関する法令)などの情報セキュリティやデータ機密保護に関する法規制に違反した企業に対して何百万ドルもの罰金を科し始めたことも、企業にとって大きな警鐘となった。

ITmedia マーケティング新着記事

news154.jpg

孫消費急減、女性のLINE利用増――ソニー生命「シニアの生活意識調査2020」
毎年恒例の「シニアの生活意識調査」。2020年のシニアの傾向はどうなっているでしょう。

news137.jpg

米大統領選を巡る「アプリ対決」のゆくえ 「Trump 2020」 vs. 「Vote Joe」と「TikTok」 vs. 「Triller」
米国では2020年月の大統領選挙を前に選挙戦がますます活発化しています。関連するアプリ...

news143.jpg

店舗の滞在時間が減少、「20分未満」が約1.5倍に――凸版印刷とONE COMPATHが5万人買い物調査
電子チラシ「Shufoo!」を利用する全国の男女5万人を対象に実施した買い物に関する意識調...