セキュリティ対策コラム新たなリスク管理の展開（1）

リスク管理とは、リスクを防止したり極小化したりして、そこから生じる損失を最小限にする総合的な管理手法で、問題が起きたときに何をするかをあらかじめ考えておくことです。このようにリスク対しては、従来からネガティブなイメージを持っていますが、今日ではむしろポジティブな要素として捉え、積極的に統合管理して「損失の回避軽減」から「企業価値の維持向上」へ、「企業の利益」から「ステークホルダーや社会の利益」へ、「個別のリスク対応」から「全社リスク対応」に変革するエンタープライズ・リスクマネージメント（ERM）として進展してきています。そのため、企業・組織では、あらゆるリスクについて、相互関連性を踏まえて統合的な対応が求められるようになってきていると言えます。

（1）ビジネスチャンスとしての動き

SOX法に関わるコラムでも触れましたが、某大手米国金融機関のSOX対応について、コスト負担を訴える中で切実な声が印象に残っています。「法遵守をねらいとしたコスト負担ではなく、ビジネスを活性化させるねらいで取り組みたい。その意味でSOX対応も全体的なリスクマネージメントの中で捉えて行きたい」。リスクをビジネスチャンスの好機として捉えようとする現れです。特に規制の多い金融や通信業界では、このSOX法等の規制を契機として、自動化やシェアードサービスの利用を進めリアルタイム経営やコスト削減に効果を上げている企業も多いようです。

（2）リスクへの取組み

SOX法以前から米国金融機関では、様々な法規制があることから、その対応に大きな負担を強いられていました。そこで、個別の規制にパッチワーク的に対応するのでは極めて非効率であるため、企業活動全般にわたる全社的なリスク管理を実行することを緊急の課題として検討しているそうです。日本においても新たな規制への対応や、また規制緩和に伴う自主的ルールの確立整備など、全体最適化を睨んだ取り組みが求められるところです。

経営環境が複雑化する中で、企業が抱えるリスクの種類が増しています。多様化するリスクに効果的に対処するためには、個別の対応ではもはや困難な状況になっているのです。内部統制は、事業に係わる多様な内外のリスク（不確実性）を最小化、回避すること、すなわちリスクをコントロールできるようにすることです。従って、内部統制はリスク管理と一体となってPDCA（Plan Do Check Action）プロセスを回すことだとも言われています。