EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
EYアドバイザリー・アンド・コンサルティング(株)
公認会計士 東 敏文
製造業、小売業などの会計監査を経て、ガバナンス、リスクマネジメント、内部統制、内部監査に係る構築・高度化支援業務に従事。
2015年6月にコーポレートガバナンス・コード(以下、CGコード)の適用が開始され、もうすぐ2年になります。コーポレートガバナンスには経営者に適切なリスクテイクを促す「攻め」の側面と、過度なリスクテイクの回避を目指す「守り」の側面があります。CGコードは攻めに焦点を当てていますが、守りは不要というわけではなく、企業価値向上という本来の目的を踏まえると攻めと守りのバランスが重要です。
本稿では、攻めと守りのガバナンスのバランスを達成するための、(全社的)リスク管理について考察します。
CGコードにおける取締役会と監査役(会)、監査等委員、監査委員会(以下、監査役等)に対する要求事項を確認し、それらの対応を支援するリスク管理との関係を解説します。
CGコードによれば、経営陣による適切なリスクテイクを支える環境整備を行うことが取締役会の主要な役割・責務の一つであるとされています(CGコード原則4-2)。経営陣による過度のリスク回避は迅速・果断な意思決定の阻害要因となりますが、意思決定過程の合理性が確保されない状況では、経営陣がリスク回避の方向に偏る可能性があります。
意思決定過程の合理性を確保するためにはリスク管理体制が必要であり、取締役会はリスク管理体制を適切に整備し(CGコード原則4-3)、運用状況の監督を行い、適切なリスクテイクの裏づけを確保することが求められています。
監査役等には守りの機能がありますが、監査役等の役割・責務を十分に果たすためには自らの守備範囲を狭く捉えず、能動的・積極的に権限を行使し、取締役会等において適切に意見を述べることが期待されています(CGコード原則4-4)。監査役会は、会社法においてその半数以上を社外とすることに加え、常勤の監査役を置くことが求められています。それは「強固な独立性」と「高度な情報収集力」を組み合わせて実効性を高めることが期待されている(CGコード補充原則4-4①)からです。
監査役等がその期待に応えるために取締役会・社外取締役・内部監査部門等と連携し、特にリスク管理体制について積極的に意見を述べることが、攻めのガバナンスにも貢献できると考えられます。
持続的成長と中長期的な企業価値の向上には、リスクテイクによる攻めのガバナンスが必要です。一方、リスクテイクにはその裏づけが必要であり、意思決定の合理性を確保する守りのガバナンスとして、取締役会・監査役等・内部監査部門等によるリスク管理体制のモニタリングが必要です。
攻めと守りのガバナンスをバランス良く達成するためのリスク管理体制の構築について、次項にて考察します。
これまでリスク管理は守りが中心で、法令・規則違反などのコンプライアンス違反、不正や誤謬(ごびゅう)、クレームや有事対応が主な対象でした。しかし、CGコードで求められているのは攻めの裏づけとなり得るリスク管理です。攻めのガバナンスの裏づけとなるリスク管理と、管理体制の構築についての課題を検討します。
経営陣によるリスクテイクの裏づけが求められていることを考慮すると、攻めのガバナンスに寄与するためには、リスクテイクの裏づけとなり得るリスク管理が必要です。これまでのリスク管理と大きく異なるのは、「戦略リスク」も対象として求められる点です。
しかし、管理対象リスク(リスクユニバース)にただ戦略リスクを加えればよいわけではなく、既存の全社的リスク管理の枠組みでの対応や意思決定の合理性を確保できるリスク管理についても、検討が必要です。
守りに焦点が当てられがちなリスク管理において、攻めのガバナンスに寄与し、リスクテイクの裏づけとなるためには、次の課題を解決する必要があります。
これらの課題に対処し、攻めと守りのバランスが取れたリスク管理体制の構築が求められます。これからのリスク管理の在り方については次項で考察します。
攻めであれ守りであれ、多くの企業でリスク管理の効率性・有効性を見直す余地があると考えられます。
社内にはさまざまなリスク管理活動が存在しています。これらがコンプライアンスリスク管理やシステムリスク管理などそれぞれが連携せずに別々の活動として行われると、次のような可能性があります。
各種のリスクマネジメントを一元化するGRC※モデルを導入することで、これらの問題が解決できるかもしれません。GRCモデルでは、リスク管理プロセスが統合され、リスク管理を担当する部門間で情報が共有されるので、次の効果があります(<図1>参照)。
このような管理方法の見直しにより、リスク情報が関係者間で共有されない、リスク情報が統一されない、テイクしたリスクがモニタリングされないという課題の解消が期待できます。
リスクユニバースに戦略リスクを加えるだけでなく、低減や回避を目指すこれまでのリスク対応方針から大きな方向転換をすることが重要です。
リスク分類にはさまざまなものがありますが、事業への影響という点に着目すると、リスクの識別や対応の方向性が見えてきます(<表1>参照)。
経営戦略リスクは企業の目的に直結するものであり、適切に管理すれば事業にプラスの影響が期待されます。このように、事業にプラスの影響があるリスクをリスクユニバースに加え、それをテイク(保有)するという対応方針が、これからのリスク管理では重要となります。戦略リスクを含めたテイクしたリスクの管理方針が決まらないという課題に対処するには、このような視点の見直しが有効と考えられます。
企業価値の向上は親会社単体の目標ではなく、企業集団全体で取り組むべき目標です。同様に攻めであれ守りであれ、リスク管理も単体ではなくグループ・グローバル全体で取り組むことが望ましいと考えられます。
親会社とは別に主要子会社においてリスク管理のPDCAを構築するケースでは、企業集団の中で複数のリスク管理活動が行われます。テクノロジーを活用してリスク管理の一元化を図るGRCモデルへの移行が望ましい選択肢ですが、すぐに移行できない場合には企業集団内でリスク管理の仕組みや情報をできる限り共有することで、リスク情報の統一が望まれます。
戦略リスクに関するリスク管理活動では、経営陣の戦略意思決定に貢献するためのマネジメント報告が重要です。しかし、経営戦略に係るリスクの報告については次の準備が必要です。
経営戦略は経営陣の専管事項であるためリスク管理の対象としないのではなく、経営戦略の進捗(しんちょく)状況や課題・障害を含めた戦略意思決定に役立つ情報をタイムリーに報告することが重要です。このようなリスク報告の見直しにより、戦略リスクを含めたリスク情報の統一が期待できます。
CGコードの適用が始まり、多くの企業では社外役員や取締役会評価など、当面の対応を終えたところかと思います。
今後は、企業価値を向上させるために実質を伴った改善のフェーズに移る企業が増えてきますが、攻め一辺倒ではなく、守りとのバランスを取りながらガバナンス強化を進めることが求められます。(全社的)リスク管理の改善は一つの選択肢ですが、本稿が攻めと守りのバランスを実現する一助となれば幸いです。
※Governance, Risk, Complianceの略