「海外と比較して、日本企業の状況を一言で表現すると“取り残される”となる」。デロイトトーマツリスクサービスで取締役を務める丸山満彦パートナーは、SAPジャパンが2010年8月10日に開催したプレスセミナー「企業リスク管理支援の取り組みについて」でこう強調した。
丸山パートナーが「日本企業が取り残される」と見るのは、全社的なリスクマネジメントの体制づくり、特にIT活用の姿勢に大きな差があるからだ。欧米では「SOX(サーベインズ・オクスリー)法が一つのきっかけとなり、内部統制やリスクマネジメントの有効性や効率性を上げるためにGRC(ガバナンス・リスク・コンプライアンス)ソフトなどのITツールを利用する企業が増えている」と丸山パートナーは話す。
これに対し、日本企業の多くは「いまだに表計算ソフトが中心」と丸山パートナーは指摘する。「J-SOX(日本版SOX法)に対応する際に、表計算ソフトを利用してリスクを管理する企業が多かった。ところがJ-SOX適用後2年経った今でも、日本企業はその域から脱していない」。
「リスクは現場にある。経営者がいくらああしろと言っても、現場が対応しないようでは話にならない」(丸山パートナー)。そこでリスクマネジメントには現場のリスクの状況を経営層が把握する「ボトムアップ」と、経営層がリスクマネジメントの風土を作る「トップダウン」の二つのアプローチが必要になる。「この二つのアプローチをつなぐ部分にITは活躍する」と丸山パートナーは指摘する。
その際に「表計算ソフトでは限界がある」(丸山パートナー)。ビジネスで起こり得る固有リスクや対応済みのリスクを統合管理したり、国別のリスクまで分析しようとすると、膨大な情報を早く収集し、きめ細かく管理・分析するITの仕組みが必要になるからだ。
ただ、ITツールの導入や維持にはコストがかかる。この点について、丸山パートナーは「ITを使いこなすかは、リスクマネジメントにおけるITの効果を経営層がどれだけ理解しているかにかかってくる。『経営力』あるいは『マネジメント力』の問題だ」と指摘。個人的な意見としながら「日本企業は経営力が落ちているのではないか、と危機感を抱いている」と話す。
これからリスクマネジメントのIT化に乗り出す企業に対しては、「地域や事業など特定の領域を選んでパイロットプロジェクトを作り、ITの活用に踏み出すとよい」と丸山パートナーはアドバイスする。
「KRI」を設定してリスクマネジメントを実施
同セミナーでは、日本企業のリスクマネジメントの取り組みについてSAPジャパンがパートナー企業とともに解説した。
プロティビティジャパンの牧正人ディレクタは、リスクマネジメントにITを利用した従業員数5700人のドイツの病院の事例を紹介した。この病院はリスクマネジメントに表計算ソフトを利用していたが、独SAPのリスクマネジメント・ソフト「SAP BusinessObjects Risk Managemnt 3.0」に切り換えた。1カ月で導入したという。
情報システムの構築と同時に、財務や法務といった管理部門と、外科や放射線科といった臨床部門にそれぞれ「リスクマネージャ」と呼ぶ管理担当者を配置。「医療ミス削減の指標として、インシデント数やヒヤリハット数を把握する」といったKRI(キー・リスク・インジケーター)を設定し、定量的なリスクマネジメントに移行した。
牧ディレクタは「リスクマネジメントはバックオフィス業務。ITで効率化した方がよい」と指摘。「日本では傘下に異なる性質の複数の事業を抱える総合商社や持ち株会社がリスクマネジメントを強化しているが、それ以外の企業はまだ遅れている」と話す。
あらた監査法人の辻田弘志ディレクターは、「グローバル企業を中心に、業務プロセスの標準化を進めんでいる。標準化に取り組む中でリスクに対するコントロール(統制)の標準化を同時に進める企業が増えている」と説明。業務プロセスとリスク管理の仕組みを一体的に標準化することで「コンプライアンス(法令順守)や内部監査を効率化できるのがポイント」とした。
辻田ディレクターは一方で、リスクマネジメントにかかわる標準化は「まだ“目指している”という段階」と指摘。プライスウォーターハウスクーパース(PwC)グループが世界55地域に対して実施したリスクマネジメントに関する調査の結果を紹介した。
調査では「総合的なリスクマネジメントおよびコンプライアンスに関する方針の明確化」は57%の企業が「実施済みである」と回答したのに対して、「リスクおよびコンプライアンスに関する報告手続きの統合」が同35%、「キー・リスクと保証のマッピング」が同44%だった。辻田ディレクターは「世界的にみてもコントロールとモニタリングの部分がまだ弱い」と分析する。
