ERM

Enterprise Risk Management

清嶋　直樹

日経情報ストラテジー

2006.07.18

企業において、社内外で発生し得るリスクを網羅的に把握し、発生可能性や影響度を評価したうえで、適切な対策を決めて継続的に実行する手法のこと。

　東京証券取引所のシステムトラブル、大手銀行で相次ぐ着服事件など、毎日のように企業不祥事が報道されています。原油高の影響を受けたり、地震や火事の被害に遭う企業も少なくありません。

　企業活動において、こうしたリスクは付きものです。そこで重要なのが、「ERM（統合リスク管理）」という手法。全社的にリスクを洗い出して評価し、対策を漏れなく効果的に実施するものです。

◆効果
事前対策を徹底

　「備えあれば憂いなし」といいますが、事前に全社のリスクを把握しておけば、事故発生の予防や発生時の善後策実行に威力を発揮します。

　どの企業も、同業他社が法令違反で強制捜査を受けたり、近くで地震が起きたりしたら、対策を検討します。しかし、こうした行き当たりばったりの対応はERMとはほど遠く、対策が行き届かない分野で想定外のリスクに見舞われるかもしれません。ヤマハ発動機は今年1月、無人ヘリコプターの不正輸出疑惑で強制捜査を受けましたが、連結売上高の0.2％程度を占めるにすぎない事業での出来事でした。

　ERMでは、まず全職場にヒアリングして、社内のリスクを網羅的に洗い出します。次に、それぞれのリスクについて発生可能性と影響度を評価します。この評価に沿って優先順位を付け、優先度の高いリスクへの対策を決めます。対策には、「移転（保険をかけるなど）」「回避（リスクが大きい事業・商品から撤退するなど）」「低減（情報システムを二重化するなど）」といった種類があります。さらに、対策の責任者を決めたり、管理指標を設定してリスクの状況を定期的にチェックします。

　ERMの指針としてよく知られているのが、経済産業省が2003年に公表した「リスク新時代の内部統制～リスクマネジメントと一体となって機能する内部統制の指針」（同省ウェブサイトで参照可能）です。この題名が示す通り、ERMと内部統制には密接な関連があります。

　内部統制は業務プロセスで不正や誤りが発生するリスクを抑えるための社内チェック体制のことです。ERMで把握したリスクに対しては、内部統制の強化で対応できます。逆に、内部統制が十分に機能していれば、リスク対策の費用を最小限に抑えられるという関連もあります。