企業リスクマネジメント調査 （2012年版） 集計結果

2013年4月12日 トーマツ企業リスク研究所

© 2013 Deloitte Touche Tohmatsu LLC

目次

はじめに 3

アンケート回答企業概要 4

分析資料：リスク評価とリスクマネジメント体制に対する認識 5

項目別集計結果

1 リスク評価体制 6

2 モニタリング 7

3 優先すべきリスク 8-10

4 リスクマネジメントの現状～ITの活用 11-12

5 その他 13

2

© 2013 Deloitte Touche Tohmatsu LLC

はじめに

3

この調査報告は、有限責任監査法人トーマツのリスクマネジメントについての研究機関であるトーマツ企業リスク研究所が2012年に開催したセミナーのご出席者に対して実施したアンケート調査に基づく分析資料である。

本調査は、2002年から開始し、今回で11回目となる。2012年5月から11月にかけて行ったセミナーにおいてアンケート調査を実施した。有効回答数は144社（前々年合計276社、前年合計226社）となった。今回はリスク評価の実態に焦点を当てた調査を行った。

今回の調査の結果、リスク評価実施企業が4年連続80%を超え、リスクマネジメントの社内運用の定着が進んでいることがわかった。今後の課題はリスクマネジメントの対象拡大を見据えた、リスクマネジメントの高度化と効率性の向上である。

優先対応すべきリスクの全体1位は、昨年から引き続き、「災害対策の不備」である。また、海外関連リスクが大幅に上昇した。「海外拠点の運営に係るリスク」は大規模企業で1位となる。

トーマツ企業リスク研究所 所長 久保 惠一

© 2013 Deloitte Touche Tohmatsu LLC

28%

25%

21%

16%

23%

26%

39%

34%

32%

14%

17%

21%

3%

1%

0% 20% 40% 60% 80% 100%

2010年

2011年

2012年

500名未満 500～1000名未満 1000～5000名未満

5000名以上 無回答

アンケート回答企業概要 - 規模、業種及び上場の有無 -

4

66%

60%

70%

9%

8%

10%

22%

32%

20%

3%

0.4%

0% 20% 40% 60% 80% 100%

2010年

2011年

2012年

既存市場 新興市場 非上場 無回答

図1-2 企業業種 母集団：全回答企業

図1-4 上場状況 母集団：全回答企業

本資料のデータは少数点以下を四捨五入しています。

4%

16%

8%

49%

31%

51%

11%

8%

8%

16%

21%

12%

18%

23%

21%

2%

0.4%

0% 20% 40% 60% 80% 100%

2010年

2011年

2012年

金融 製造 流通 サービス その他 無回答

企業規模別 回答企業数 業種別 回答企業数

5,000名以上 30社 金融 11社

1,000名以上 46社 製造 74社

500名以上 37社 流通 12社

500名未満 31社 サービス 17社

無回答 0社 その他 30社

無回答 0社

合計 144社 合計 144社

図1-1 2012年アンケート調査の回答企業構成 母集団：全回答企業

図1-3 企業規模 母集団：全回答企業

© 2013 Deloitte Touche Tohmatsu LLC

分析資料 リスク評価とリスクマネジメント体制に対する認識

5

6%

16%

10%

0%

20%

2010年 2011年 2012年

39.0% 45.5%

52.5%

42.1% 47.3%

54.0%

67.0%

85.5% 89.5%

85.0% 82.6%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

図2-2 リスクマネジメント体制の整備状況推移 母集団：リスク評価実施企業

図2-1 リスク評価実施率の経年推移 母集団：全回答企業

図2-4 リスクマネジメントの障害 母集団：リスク評価実施企業 ※複数回答あり

社内コミュニケーション

図2-3 リスク評価未実施の要因 母集団：リスク評価未実施企業 有効回答

39% 35%

40%

0%

50%

2010年 2011年 2012年

社内意識の低さ

4%

7%

41%

9%

14%

27%

0% 20% 40% 60%

評価不要との認識

予算がない

評価方法不明

2012年

2011年

リスク評価実施率は80%以上の高率を維持するも、2年連続して微減している。リスク評価未実施の要因のうち、「評価方法不明」(27%)は前回から14%減少している一方、「予算がない」(14%）が7%増加している。テクニカルな問題は解消されつつあるが、企業の予算の確保が困難な状況が生じつつある可能性がある。また、リスクマネジメントの障害の一因である「社内意識の低さ」の増加傾向が顕著になるとすれば、いずれリスク評価実施率の減少につながると思われる。しかし、リスク評価は内部環境や外部環境の変化を反映し継続的に実施し続けることが肝心なため、社内の理解と協力を得て継続的に実施していく必要がある。

38%

15%

12%

42%

80%

80%

3%

2%

13%

1%

5%

4%

3%

3%

2010年

2011年

2012年

拡大した 現状維持 縮小した その他 無回答

© 2013 Deloitte Touche Tohmatsu LLC

項目別集計結果 1. リスク評価体制

6

図3-1 リスク評価事務局設置部門 母集団：リスク評価実施企業 ※複数回答あり

図3-2 リスク評価結果の最終報告先 母集団：リスク評価実施企業

リスク評価実施企業のうち、リスク評価事務局を「リスクマネジメント部門」などのコーポレート部門に設置している企業が減少し、「総務部門」、「各部門」に設置する企業が増加している。また、リスク評価結果の最終報告先を「取締役会」としている企業(40%)が前回と比べて8%減少、「社長」としている企業（34%）が7%増加。これらからリスク評価の現場化の傾向が見て取れる。行き過ぎた現場化はリスク管理の孤立化・不透明化をもたらし、ガバナンス低下の要因ともなり得る。リスク評価で確認された重要事項は取締役会へタイムリーに報告を行うことで、経営者に対するモニタリングが機能するため、重要度に応じた報告ルートの整備を行うことが望ましい。

1%

11%

8%

23%

12%

28%

34%

7%

17%

13%

14%

15%

18%

29%

0% 10% 20% 30% 40%

無回答

その他

各部門

コンプライアンス部門

総務部門

経営企画部門

リスクマネジメント部門

2012年

2011年

3%

2%

3%

2%

16%

27%

48%

5%

1%

2%

2%

16%

34%

40%

0% 20% 40% 60%

無回答

その他

部門長

担当役員

リスクマネジメント担当委員会

社長

取締役会

2012年

2011年

© 2013 Deloitte Touche Tohmatsu LLC

項目別集計結果 2.モニタリング

7

図4-1 モニタリング方法 母集団：リスク評価実施企業 ※複数回答あり

図4-2 モニタリング方法の組み合わせ 母集団：リスク評価実施企業

リスク評価実施企業の中で、63%の企業が内部監査によってモニタリングを実施しており、前回の52%から11%増加。一方で、自部門による自己チェックが前回の28%から15%に大幅減少。また、「内部監査」と「自部門による自己チェック」という組み合わせで実施した企業はわずか6%に留まり、前回よりも減少傾向に。 内部監査の伸びは望ましいが、比例して自己チェックが減少してるのは望ましくない。それは海外拠点の増加等のリスクマネジメントのモニタリング対象の広範化に対応するために、内部監査と自己チェックのモニタリングが両輪で機能することが必要だからである。

5%

4%

4%

28%

36%

52%

7%

4%

7%

15%

22%

63%

0% 20% 40% 60% 80%

無回答

その他

未実施

自部門による自己チェック

リスク管理の主管部門による

モニタリング

内部監査

2012年

2011年

5%

4%

3%

4%

7%

10%

8%

2%

24%

34%

7%

7%

4%

1%

1%

6%

7%

7%

12%

48%

0% 20% 40% 60%

無回答

未実施

その他

リスク管理の主管部門によるモニタリング/自部

門による自己チェック

内部監査/リスク管理の主管部門によるモニタリ

ング/自部門による自己チェック

内部監査/自部門による自己チェック

自部門による自己チェックのみ

内部監査/リスク管理の主管部門によるモニタリ

ング

リスク管理の主管部門によるモニタリングのみ

内部監査のみ

2012年

2011年

© 2013 Deloitte Touche Tohmatsu LLC

項目別集計結果 3.優先すべきリスク：経年推移

8

※ランキング順 図5-1 優先すべきリスク経年推移

母集団：全回答企業

0%

5%

10%

15%

20%

25%

30%

35%

40%

2006 2007 2008 2009 2010 2011 2012

地震・風水害等、災害対策の不備

海外拠点の運営に係るリスク

情報漏えい

財務報告の虚偽記載

子会社ガバナンスに係るリスク

製品、サービス品質のチェック体制の不備

無回答

海外取引に係るリスク

過労死、長時間労働等の労働問題の発生

大規模システムダウン・情報逸失

人材流出、人材獲得の困難による人材不足

顧客対応の不備

経営の機能不全

役員・従業員の不正

業務運用ミスによる多額損失の発生

規制緩和、強化（法改正、業界基準等）への対応の遅れ

危機発生時のマスコミ対応の不備

知的財産権の侵害・被害

IFRS(国際財務報告基準）への対応遅延

その他

記録管理の不備による重要情報の喪失、監査・検査対応の非効率

企業買収防衛策の不備

感染症拡大による事業継続の困難

優先すべきリスクがわからない

地球温暖化対策の遅れ等、環境対策の不備

雇用調整に起因する訴訟の発生

© 2013 Deloitte Touche Tohmatsu LLC

項目別集計結果 3.優先すべきリスク：傾向別

9

図5-2 前年比3%以上上昇したリスク 母集団：全回答企業

図5-3 前年比3%以上下降したリスク 母集団：全回答企業

0%

5%

10%

15%

20%

25%

30%

2006 2007 2008 2009 2010 2011 2012

海外拠点の運営に係るリスク

子会社ガバナンスに係るリスク

海外取引に係るリスク

過労死、長時間労働等の労働問題の発生

経営の機能不全

0%

5%

10%

15%

20%

25%

30%

35%

40%

2006 2007 2008 2009 2010 2011 2012

地震・風水害等、災害対策の不備

情報漏えい

大規模システムダウン・情報逸失

顧客対応の不備

役員・従業員の不正

業務運用ミスによる多額損失の発生

© 2013 Deloitte Touche Tohmatsu LLC

項目別集計結果 3.優先すべきリスク:企業規模別

10

表1-1 企業規模別 優先すべきリスクのランキング ※1社につき最大3項目まで選択可 母集団：全回答企業

優先すべきリスク 全体 1,000名以上 1,000名未満

2010年 2011年 2012年 2010年 2011年 2012年 2010年 2011年 2012年

海外拠点の運営に係るリスク ― 6位 2位 ― 4位 1位 ― 9位 3位

地震・風水害等、災害対策の不備 2位 1位 1位 2位 1位 2位 4位 1位 1位

財務報告の虚偽記載 8位 6位 4位 6位 5位 3位 6位 7位 8位

子会社ガバナンスに係るリスク ― 10位 4位 ― 5位 3位 ― 16位 8位

海外取引に係るリスク ― 15位 7位 ― 13位 3位 ― 16位 14位

製品、サービス品質のチェック体制の不備 2位 8位 6位 7位 9位 6位 1位 6位 7位

情報漏えい 1位 2位 3位 1位 2位 6位 2位 2位 2位

顧客対応の不備 5位 4位 10位 12位 5位 8位 4位 4位 11位

業務運用ミスによる多額損失の発生 9位 5位 13位 8位 10位 8位 10位 4位 15位

過労死、長時間労働等の労働問題の発生 14位 13位 8位 17位 11位 10位 12位 13位 5位

大規模システムダウン・情報逸失 6位 3位 8位 3位 3位 11位 8位 3位 4位

優先対応すべきリスクの全体1位は、昨年から引き続き、「災害対策の不備」である。全体的に「海外拠点の運営に係るリスク」、「子会社ガバナンスに係るリスク」、「海外取引に係るリスク」海外経営関連のリスク認識が急上昇。特に、企業規模1,000名以上の企業において「海外拠点の運営に係るリスク」が1位となる。グローバル競争激化や円高に伴う企業の海外展開が進むに比例し、海外進出に伴うリスクの認識が高まっていると思われる。また、「過労死、長時間労働等の労働問題の発生」リスクは前回13位から8位と優先順位の上昇が目立つ。 それに対して、「情報漏えい」と「大規模システムダウン・情報逸失」は共に順位を落とした。企業ITシステムへのサイバー攻撃が大規模・巧妙化する中でリスクが現実化した場合のダメージが大きくなることが想定されるため、引き続き十分なリスク対策を講じ、継続的にその有効性をモニタリングすることが必要である。

© 2013 Deloitte Touche Tohmatsu LLC

64%

34%

2%

構築されている 適切に構築されているとは言えない その他

図6-1 リスクマネジメント体制の構築状況 母集団：リスク評価実施企業

項目別集計結果 4. リスクマネジメントの現状～ITの活用

11

図6-2 リスクマネジメントにおけるITの活用 母集団：リスク評価実施企業

リスク評価実施企業の80%がリスクマネジメント体制の整備状況が「現状維持」であると回答しているものの、構築状況について「適切に構築されているとは言い切れない」と考える企業が34%存在する。リスクマネジメント体制をより充実させる必要性を感じている企業が少なからず存在することが伺える。 リスクマネジメントにおいてITを全社的に活用している企業は25%に留まっており、ITを活用する余地が十分にあると言える。海外拠点に関するリスクマネジメントに認識が高まっていることを併せて考えると、海外拠点も含めてリスクマネジメント体制を充実するための手段として、リスクマネジメントの範囲の拡大や標準化・効率化に有用と考えられるITの一層の活用が効果的である可能性が示唆される。

図2-2 リスクマネジメント体制の整備状況推移 母集団：リスク評価実施企業

38%

15%

12%

42%

80%

80%

3%

2%

13%

1%

5%

4%

3%

3%

2010年

2011年

2012年

拡大した 現状維持 縮小した その他 無回答

5%

1%

25%

29%

40%

0% 10% 20% 30% 40% 50%

無回答

その他

全社的に導入済み

一部導入

未導入

© 2013 Deloitte Touche Tohmatsu LLC

【参考資料】GRCによるリスクマネジメント

12

株式会社アイ・ティ・アールが売り上げ高5,000億円以上の大企業の課長以上クラスを対象に実施したリスクマネジメント戦略に関わるアンケート調査によると、

企業が「海外拠点や子会社での実施状況の管理、フォローアップが難しい」といったリスクマネジメントの運用に関する課題（海外拠点、運用効率など）を抱えている。

GRCは「企業内のリスクの識別と評価、対応状況の可視化」、「企業で保有するガバナンス・リスク・コンプライアンスに関

する情報の体系化と一元化的な管理」などに優れており、リスクマネジメント運用の効率化が期待できるツールである。

45%

44%

27%

17%

17%

15%

15%

12%

11%

9%

9%

3%

0% 20% 40% 60%

企業内のリスクの識別と評価、対応状況の可視化（N=106）

企業内で保有するガバナンス・リスク・コンプライアンスに関する情報の体系化と一元的な管理…

社内のコンプライアンス対応状況の管理と関連レポートの作成（N=64）

法規制等の変更に伴う自社規程への影響の把握（N=40）

インシデント/コンプライアンス違反の発見と追跡（N=40）

企業戦略や組織、業務プロセスとリスク、コンプライアンスの関連性とその対応状況の把握（N=35）

外部委託先の契約情報とリスク評価、コンプライアンス対応状況の一元管理（N=36）

脅威および脆弱性に関わる情報の集約と管理（N=28）

監査計画の一元管理および情報連携（N=26）

経営層などトップマネジメントへのガバナンス、リスク、コンプライアンス対応状況の報告（N=22）

事業継続/災害復旧ワークフローの策定と管理（N=21）

なし（N=8）

図7-1 ＧＲＣソフトウェアの期待できる機能（N=237）

出所： ITR White Paper 「再び注目を集めるGRC～リスクマネジメント需要調査レポート」、2012年、10ページ

© 2013 Deloitte Touche Tohmatsu LLC

項目別集計結果 5. その他

13

38%

50%

12%

はい いいえ 無回答

図8-3 近年コンプライアンスに関する意識調査を実施した企業の割合 母集団：全回答企業

図8-2 評価対象となるリスクの種類 母集団：リスク評価実施企業 有効回答

6%

79%

16%

6%

87%

8%

0% 20% 40% 60% 80% 100%

(c) 実施しているが不完全

(b) 経営環境の変化に関らず

実施されている

(a) 経営環境の大きな変化の

後に実施されている

2012年

2011年

図8-1 リスク評価の実施 母集団：リスク評価実施企業 ※複数回答あり

9%

37%

54%

11%

21%

68%

0% 20% 40% 60% 80%

財務報告に係るリスクのみ

ポジティブリスク

ネガティブリスク

2012年

2011年

有限責任監査法人トーマツ 東京事務所 エンタープライズ リスク サービスは、2006年2月8日、監査法人として初めて情報セキュリティマネジメントの国際規格であるISO/IEC27001の認証を取得しました。 また、2009年4月1日には、デロイト トーマツ リスクサービス株式会社が、認証範囲に追加されました。

IS 501214 / ISO (JIS Q) 27001

トーマツグループは日本におけるデロイト トウシュ トーマツ リミテッド（英国の法令に基づく保証有限責任会社）のメンバーファームおよびそれらの関係会社（有限責任監査法人トーマツ、デロイト トーマツ コンサルティング株式会社、デロイト トーマツ ファイナンシャルアドバイザリー株式会社および税理士法人トーマツを含む）の総称です。トーマツグループは日本で最大級のビジネスプロフェッショナルグループのひとつであり、各社がそれぞれの適用法令に従い、監査、税務、コンサルティング、ファイナンシャルアドバイザリー等を提供しています。また、国内約40都市に約6,800名の専門家（公認会計士、税理士、コンサルタントなど）を擁し、多国籍企業や主要な日本企業をクライアントとしています。詳細はトーマツグループWebサイト（www.tohmatsu.com）をご覧ください。 Deloitte（デロイト）は、監査、税務、コンサルティングおよびファイナンシャル アドバイザリーサービスを、さまざまな業種にわたる上場・非上場のクライアントに提供しています。全世界150ヵ国を超えるメンバーファームのネットワークを通じ、デロイトは、高度に複合化されたビジネスに取り組むクライアントに向けて、深い洞察に基づき、世界最高水準の陣容をもって高品質なサービスを提供しています。デロイトの約200,000人におよぶ人材は、“standard of excellence”となることを目指しています。 Deloitte（デロイト）とは、デロイト トウシュ トーマツ リミテッド（英国の法令に基づく保証有限責任会社）およびそのネットワーク組織を構成するメンバーファームのひとつあるいは複数を指します。デロイト トウシュ トーマツ リミテッドおよび各メンバーファームはそれぞれ法的に独立した別個の組織体です。その法的な構成についての詳細は www.tohmatsu.com/deloitte/ をご覧ください。 本資料は皆様への情報提供として一般的な情報を掲載するのみであり、その性質上、特定の個人や事業体に具体的に適用される個別の事情に対応するものではありません。また、本資料の作成または発行後に、関連する制度その他の適用の前提となる状況について、変動を生じる可能性もあります。個別の事案に適用するためには、当該時点で有効とされる内容により結論等を異にする可能性があることをご留意いただき、本資料の記載のみに依拠して意思決定・行動をされることなく、適用に関する具体的事案をもとに適切な専門家にご相談ください。 © 2013 Deloitte Touche Tohmatsu LLC

http://www.tohmatsu.com/http://www.tohmatsu.com/deloitte/