調査・コンサルティング会社のアイ・ティ・アール(ITR)は、日本企業のリスクマネジメント戦略に関する調査結果を公表した。リスクマネジメントを実施する際の最大の課題は「海外拠点対応」で、リスクマネジメントなどを総合的に支援する仕組みであるGRC(ガバナンス、リスク、コンプライアンス)を導入しているのは13%、といった実態が明らかになった。調査結果を掲載したホワイトペーパー「再び注目を集めるGRC」はITRのWebサイトから入手できる。
リスクマネジメント戦略に関する調査は、ITRが監査法人トーマツおよびトーマツ企業リスク研究所と協力して2012年9月に実施した。対象は売上高5000億円以上の日本企業の課長クラス以上(経営者、事業本部長、部長、課長)で、有効回答数は237件だった。
リスクマネジメントの課題として最も多かったのは「海外拠点や子会社での実施状況の管理、フォローアップが難しい」で33.6%。「人的対応が中心で、リスクマネジメントの運用が非効率である」が33.3%とほぼ同率。「リスク評価や監査が他の業務分野と重複し、無駄が多い」(31.5%)、「リスクマネジメントの投資効果の提示や予算取りが難しい」(31.4%)が僅差で続く。
海外子会社への対応、作業の効率化、投資効果の測定などは、以前からリスクマネジメントの体制を全社で整備する際の課題として挙がっていた。今回の調査で、これらが現在も大きな課題であることが明確になった。
3分の1近い企業がGRCを導入済みまたは検討中
リスクマネジメントを効率化する手段の一つがGRCである。GRCはリスクマネジメントに加えて、内部統制や法規制対応をITで総合的に支援し、企業のリスク対応能力を高める。米EMCや米IBM、米オラクル、独SAPなどがGRCを実現するソフトウエアであるGRCプラットフォーム製品を提供している。
調査でGRCの導入状況を尋ねたところ、「すでに導入している」は12.7%、「導入を計画/検討している」は21.5%だった。3分の1近い企業がGRCの導入に関して具体的に動いている。「興味はない」は0.4%とほぼゼロに近く、ITRは「GRCはまだ普及段階にないが、大きな潜在需要を有していると言える」としている。導入している企業に製品名を尋ねたところ、IBMの「OpenPages」が最も多かった。
では企業はGRCの何に期待しているのか。「企業内のリスクの識別と評価、対応状況の可視化」(44.7%)と「企業内で保有するガバナンス・リスク・コンプライアンスに関する情報の体系化と一元的な管理」(44.3%)の二つが多かった。リスクの状況を見える化し、関連情報を一元管理するというのがGRC導入の動機になっているようだ。
問題はGRC導入の予算を確保できるかだ。妥当な投資規模を尋ねたところ、「1000万円未満」(33.2%)と「5000万円以上」(31.0%)に回答が分かれた。ITRはこの結果から、「スモールスタートで導入し、社内認知や実績を積み上げることで段階的な拡張を進める」ような適用方法も「十分実りある」とする。
