Gartner,
Inc.
Paul E. Proctor ProctorVP兼最上級アナリスト
Douglas McKibben リサーチVP
Vincent OlivaマネージングVP
石橋 正彦リサーチディレクター
多くの企業でリスク管理の可視化が進むなか、「リスク」という言葉の使い方や適用法に一貫性が見られなくなってきている。セキュリティや事業継続管理(BCM)、プライバシ対策といったIT部門の担当者に、「リスク」という単語が肩書きに加えられることがある。しかし多くの場合、肩書きが変わっても、そのリスクを理解して管理するのに必要な業務プロセスや方法論に根本的な変更が加えられるわけではない。その結果、リスク管理の実装はうまくいかず、効果も薄くなる。
IT部門や業務部門といった異なる事業部門に属するリスク管理者は、たいていの企業で互いに独立している。リスクの定義も記録方法も違うし、そもそも情報をほとんど共有できていない。またリスク管理者は、各部門の定義でリスク評価を実施しており、全社的な効果を出せていない。つまり、全社的な業務プロセスの見直しはほとんどなく、リスク全体を俯瞰(ふかん)した対処方法に関する、企業の全体方針が決められないということである。
こうした状況を避けるには、自社に合ったリスクの定義を作成し、リスク関連のすべての専門家が属する階層的なリスク対策組織を構築すべきである。その組織によって、リスクへの適切な対処と優先度付けが可能になる。適したリスク対応組織の形態は企業ごとに異なるが、基になる共通のフレームワークがある。図はその一例であり、リスク専門家の重複を減らし、カバー範囲の漏れをなくし、ガバナンスを強化するものとなっている。
リスクの分類とITとの関係
企業全体にかかわるリスクには、風評リスクと戦略リスクという2つがある。風評リスクは、企業の名前やブランドの評判が、リスク・イベントによって下がること。戦略リスクは、知識や能力の不足から失敗したビジネスを追い求めることによる損失リスクであり、これも大きな影響力がある。
こうしたリスクを生む要因を細分化すると、信用リスクと市場リスク、オペレーショナル・リスク*1という3つのリスクに分かれる。信用リスクは、取引先が債務などを支払えなくなるリスク。市場リスクは、為替や金利、株式、商品取引などの持ち高が変動するリスクなどを含む。投資の流動性の低さや、市場全体が本来持つリスクも市場リスクである。これらのリスクを最小化する責任は通常、CFO(最高財務責任者)が一括して受け持っている。
オペレーショナル・リスクは、日々の戦略的なビジネス活動の不確定性や、社内のプロセスや人材、システム、外部イベントが不十分または失敗することから発生するリスク・イベントだ。オペレーショナル・リスクは営業などのフロント・オフィスからバック・オフィスまでを包含する。このリスクは通常、責任範囲が社内に分散しており、一貫した管理がされていない。正しいリスク評価から得られる情報を使ってこれを改善すれば、企業の業績を向上させられる。オペレーショナル・リスクの管理を狭義にERM(エンタープライズ・リスク管理)と呼ぶことも多いが、本来のERMはより広い概念だ。
