谷岡 克昭
After J-SOX研究会 運営委員
日立製作所
情報・通信グループ 経営戦略室 企業改革分野 担当部長
内部統制の整備を契機にした企業価値向上のキーワードとして、After J-SOX研究会では「連結経営」と「ERM(Enterprise Risk Management)」を掲げている。これらのキーワードとITはどのように関係しているのか。また、ITはこれらの実現に、どのような役割を果たしていくべきだろうか。
「連結経営」の場合は、「関係子会社を含めたグループ連結で最適化・効率化を実現するためのIT」として、比較的、連想しやすい。例えば、連結決算システムの構築や、グループ内での財務会計システムのシェアード化(共通化)などである。
それでは、ERMを実現するためのITとは、一体どのようなものなのか。今回は、ERMを実現するためのITの考え方や、具体的なシステム像について考えてみたい。
「ERM」は経営目標を達成するための経営手法そのものである
ERMの実現に向けたITの考え方やシステム像を探る前に、ERMの目的と経営の関係を点検してみよう。
米国のCOSO(トレッドウェイ委員会組織委員会)が策定し、2004年に公開したERMの枠組み「COSO ERMフレームワーク」では、ERMの目的として「戦略(Strategy)」「業務(Operation)」「報告(Reporting)」「コンプライアンス(Compliance)」の4つを挙げている。すなわち、「有効な戦略を策定すること」「業務の有効性・効率性を高めること」「報告の信頼性を確保すること」、そして、これらを一気通貫する形で「コンプライアンス(法令順守)を図ること」、これらがERMの目的である(図10-1)。
図10-1●ERMにおける組織目的(目標)と経営の関係 |
こうして見ると、ERMが目指すものは、企業の経営目標を達成するための経営手法そのものであることが分かる。COSO ERMによる定義では「ERMは事業体に影響を及ぼす発生可能な事象を特定して、事業体のリスク選好に応じたリスクマネジメントを実施できるように設計される。事業体の目的達成に関して合理的な保証を提供することが、ERMの目的」とされている。
すなわち、経営者にとって、様々なリスク(機会および脅威を含む不確実性)に対して合理的な経営成果を得るための全社的な経営手法がERMなのである。ERMを実現するITの考え方やシステム像を探ることは、必然的に企業情報システム全体を考えることにつながる。
J-SOX対応で定着したITの考え方を「ERM」にも活用する
では、ERMを実現するうえで、ITをどのように考えるべきだろうか。
全社的なリスクマネジメントという意味では、まさにJ-SOX(日本版SOX法)対応の内部統制整備もその1つである。内部統制の整備を通じて、リスクマネジメントの考え方やITの位置づけ・役割などが、広く全社的に浸透してきている。この事実は非常に重要だ。
ERMにおいても、全く別の概念を持ち込んだり、異なるアプローチを採用したりすることは得策ではない。J-SOXにおけるITの関与の考え方を流用すべきであろう。例えば、J-SOX対応では、「ITの統制」と「ITによる統制」という考え方が浸透している。ERMにも同様の考え方を適用できる。
1つめの「ITの統制」は、IT自身の統制を指す。いわゆる「IT全般統制」と呼ばれる領域で、ID管理やセキュリティ統制がこれに当たる。ERMでは、財務報告の信頼性確保にかかわるITだけでなく、広く重要なリスクになり得るIT自身の統制が必要になる、ということである。
2つめの「ITによる統制」は、ITを活用した業務プロセスの統制である。ERMにおいては内部統制整備と比べて、対象とするリスクの広がりに伴い、統制のためのIT活用も広範になるが、流用できる要素も多い。
ここで、J-SOX対応におけるITの考え方を継承してERMに適用するアプローチを図式化してみよう。ERMの目的と構成要素のマトリックス上に、J-SOX対応を支援する代表的なIT基盤・ツールを当てはめたものを図10-2に示した。また、同じマトリックス上に、ERMの支援が期待できるIT基盤・ツールを記載したものを図10-3に示した。
両方の図を見比べると分かるように、重なる部分が多い。ERMを実現するためのITを、別物ではなくJ-SOX対応の延長として考えると非常に理解しやすい。
ERMの目的(分類) | 戦略 | 業務 | 報告 | コンプライアンス | |
---|---|---|---|---|---|
― | ― | 財務報告 | ― | ||
構 成 要 素 |
内部環境 | ― | ― | ■ 情報伝達・共有基盤 ■ Eラーニング |
― |
目的設定 | ― | ― | ― | ||
事象識別 | ― | ― | ■ 文書化支援ツール (業務フロー記述、RCM作成) |
― | |
リスク評価 | ― | ― | ― | ||
リスク対応 | ― | ― | ― | ||
統制活動 | ― | ― | ■ ERPなど ■ ワークフロー基盤 |
― | |
情報と伝達 | ― | ― | ■ 情報伝達・共有基盤 | ― | |
モニタリング | ― | ― | ■ 文書・記録・証跡管理ツール ■ テスト・評価支援ツール ■ 監査支援ツール |
― | |
ITへの対応(注) | ― | ― | ■ IT全般統制支援ツール (ID管理、変更管理、統合セキュリティ管理、統合システム運用管理など) |
― |
RCM:Risk Control Matrix ERP:Enterprise Resource Planning
ERMの目的(分類) | 戦略 | 業務 | 報告 | コンプライアンス | |
---|---|---|---|---|---|
構 成 要 素 |
内部環境 | ■ 情報伝達・共有基盤 ■ Eラーニング | |||
目的設定 | |||||
事象識別 | ◎リスク・マネジメント支援ツール(リスク収集・分析・評価) ■ 文書化支援ツール(業務フロー記述、RCM作成) |
||||
リスク評価 | |||||
リスク対応 | |||||
統制活動 | ◎各種業務支援パッケージ ◎BPM基盤 ◎SOA基盤 ◎ECM基盤 ◎BI(ビジネス・インテリジェンス)/経営コックピット/経営ダッシュボード ◎連結経営管理 ◎SOA ◎SaaS ◎メールアーカイブ ◎シンクライアント ■ ERPなど ■ ワークフロー基盤 |
||||
情報と伝達 | ■ 情報伝達・共有基盤 | ||||
モニタリング | ■ 文書・記録・証跡管理ツール ■ テスト・評価支援ツール ■ 監査支援ツール ■ 情報開示ツール |
||||
ITへの対応(注) | ■ IT全般統制支援ツール (ID管理、変更管理、統合セキュリティ管理、統合システム運用管理など) |
ERM:Enterprise Risk Management RCM:Risk Control Matrix BPM:Business Process Management
SOA:Service Oriented Architecture ECM:Enterprise Contents Management ERP:Enterprise Resource Planning
なお、ERMの特徴的なこととして、様々なリスクの中から重要なリスクを見極めるアプローチが挙げられる。ポートフォリオの考え方を取り入れ、全社的なリスクの影響度・発生頻度などを加味して、統合評価する(分析したうえで対象を決定する)アプローチである。
J-SOXの場合は、財務諸表における売上高などの勘定科目の分析によって、重要な拠点など、内部統制整備の対象を決定する。これに比べて、ERMの統合評価では、分析がさらに多岐にわたり、かつ高度になる。そのため、合理的かつ効率的なリスク評価手法の実現に向けて、ITへの期待が大きい。