リスク管理を攻めの経営に活かす- SAP「GRC Risk Management」を積極展開へ

SAPジャパンは、統合リスク管理ソリューション「SAP GRC Risk Management」日本語版の提供を開始した。「SAP GRC Risk Management」は、企業内の経営にかかわるさまざま情報をリアルタイムで抽出、計画策定、評価、対応、モニタリングをサイクル化し、一貫したリスク管理ができる。同社では、リスク管理を失点を出さない「守りの姿勢」というよりは、企業価値の向上や「攻めの経営」の武器として訴求していく意向だ。

SAPジャパン桐井健之バイスプレジデント GRC/EPM事業開発本部長

いまや、企業が直面するリスクは、財務面、情報漏えい、法令順守、環境保護への対応、さらには自然災害によるものも含め、非常に多岐にわたり、複雑化している。リスク管理そのものは無論、以前からあったのだが、最近特に声高に叫ばれているのはなぜか。同社桐井健之バイスプレジデント GRC/EPM事業開発本部長は「企業はこれまで基本的には、良い製品をつくり、販売していればよかったが、いまでは、発生するリスクをカバーできるだけの利益を出していくのは難しくなっている。ただ、攻めるためには、リスクをとらなければならない。成長のためには、どの施策でどんなリスクがあるのかを把握しておく必要がある」と話す。

「SAP GRC Risk Management」は、重要なリスクの定義、しきい値などを決める計画策定から、リスク自体の特定と評価、リスクへの対応、実際の事業工程に対するモニタリングという、リスク管理の一連の流れに沿った機能を用意し、個々のリスクごとに、対策が実行されるのではなく、企業の経営戦略に調和したリスク管理ができるようにしている。

計画策定では、事業活動の構造を明確にし、企業それぞれがもっている固有のリスクを事前定義、これに基づき、GRCリポジトリとしてリスクを構造化、KRI(Key Risk Indicator:主要リスク管理指標)を設定、これらが一定の数値を超えると、リスクが発生する可能性が大きくなる、というような、各リスクの許容限度を設定する。

リスク評価では、業務システムのソース情報を、KRIと関連付け、評価・分析を自動化する。評価結果は、ワークフローに従って、対応責任者にアラート通知される。また、「手動」によるリスク分析・評価を効率化した。

SAPジャパン GRC/EPM事業開発本部中田淳マネージャー

たとえば、ある受注量による生産ラインへの影響を現場から聴取するというような場合、サーベイを送受信する。「サーベイは、いわばアンケートのような形式で、回答してもらう。意見を聞く部分だけが手動であり、結果の集計は自動化されている」(同社 GRC/EPM事業開発本部中田淳マネージャー)。さらに、各リスク、リスク対応の優先度、重要性、発生頻度は、「リスクヒートマップ」によりリアルタイムで可視化される。

リスク対応では、生産状況の悪化、温暖化ガス規制への不適応といった、リスクの属性に応じ、最適な対応策を設定、関連するソリューションとの連携を図る。また、顕在化したリスクだけでなく、リスクの相互依存性を分析、派生的に発生する可能性のあるリスクも特定する。さらに、対応状況を監視、それに費やされた工数やコストを把握したり、対応の前後でのリスク状況の確認、分析など、対応状況を評価する。

モニタリングでは、経営管理とリスク管理の統合を柱にしており、リスク管理、リスク対応の現状が数値化され、ダッシュボードで可視化される。リスク管理ダッシュボードは、収益性管理や戦略管理などのEPM(エンタープライズ・パフォーマンス管理)についてのダッシュボードと統合することができる。さらに顕在化したリスク、その影響度は、データベース化され、計画策定にフィードバックすることが可能だ。

中田氏は「成長戦略は持続しなければならないが、無謀なものでは意味がない。事業戦略の流れのなかでリスクを把握すべき。経営戦略とリスク管理を統合することで、攻めの姿勢に活かせる」と話す。

今回の製品の非常に大きな利点は「リスク管理を日常業務に定着化させる」ことであると中田氏は指摘する。「米国では、すでに春先ころからこの製品を出荷しているが、実は最大の競合は、マイクロソフトのExcel、Accessだ。これらと社内システムをつないでリスク管理をしている例が多い」(同)との状況がある。SAPでは「これらはリスク評価までは可能だが、それを業務に反映させるには、『SAP GRC Risk Management』が適している」(同)と見ている。

「SAP GRC Risk Management」は、SAPのERPや他のGRCソリューションとの連携が可能であるため、同社では、まず、既存のERP、GRCのユーザーからの需要を狙う。「ERPの顧客であれば、リスク管理ソリューションの付加で大きな効果が期待できる」(桐井氏)。一方、既存ユーザー以外の層にも、同社は照準をあわせており「今回の製品は単体でも利用できる」(同)ことから、これをきっかけにERP導入の呼び水にすることも視野に「積極的に働きかけていきたい」(同)としている。