内部統制とリスクマネジメントには深い関わりがあります。
会社法における内部統制では、大会社は「損失の危険の管理に関する規程その他の体制」を整備しなくてはなりません。
また、「財務報告に係る内部統制の評価及び監査の基準」(以下「内部統制基準」という)では、内部統制の6つの基本的要素として「リスクの評価と対応」を挙げています。
この記事では、リスクマネジメントの概要と、内部統制との関連について、簡単にまとめました。
リスクマネジメントとは
リスクマネジメントとは、その言葉どおり、リスクを管理することです。
「リスクを管理する」ってどういうこと?
企業は、事業活動を行うにあたり、多種多様なリスクに直面します。
また、市場環境が次々と変化していく現代では、これまでリスクとして認識していなかったものが、突然企業に損害を与えるものに変わることがあります。
それらに場当たり的に、またはまんべんなく対応していては、ヒト、モノ、カネ、時間がいくらあっても足りません。
そのため、予測できるリスクをあらかじめ把握・評価し、これに対処していくことで計画的・戦略的にリスク管理することをリスクマネジメントといいます。
「リスク」の定義
そもそも「リスク」ってなんなの?
「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下「実施基準」という)では、リスクの定義について、以下のように記されています。
リスクとは、組織目標の達成を阻害する要因をいう。
(中略)
ここでのリスクは、組織に負の影響、すなわち損失を与えるリスクのみを指し、組織に正の影響、すなわち利益をもたらす可能性は、ここにいうリスクには含まない。
これを要約すると、
- 組織目標の達成を阻害する要因
- 損失を与えるリスクのみを指す
と、否定的・消極的な意味合いだけをリスクの定義として取り上げています。
一方、米国のトレッドウェイ委員会支援組織委員会(COSO)が発表した全社的リスクマネジメントのフレームワーク「COSO・ERM2017」では、
事象が発生し、戦略と事業目標の達成に影響を及ぼす可能性
と、リスクを定義しています。
この定義には、実施基準の引用の最後にある「組織に正の影響、すなわち利益をもたらす可能性」、いわゆる「リスクテイクによるリターン」のような、肯定的・積極的な不確実性という意味も含まれています。
「負のリスク」と「正のリスク」と内部統制
リスクマネジメントの変遷としては、実施基準にある“負の影響”を与える「負のリスク」だけを考慮し、それを予防・回避する、という考え方がかつては主流でした。
しかし近年では、企業価値の向上(=正の影響)のために、新規事業開発など、あえて不確実性(=リスク)を受け入れてそれに対処することが、経営戦略のひとつとして認識されてきています。
それと内部統制がどう関係するの?
企業は、さまざまな「負のリスク」に取り囲まれながら、事業活動を行っています。
「負のリスク」には、大して損失を被らないものもあれば、一発アウトのものもあります。
企業規模などによって、企業が受け入れられるリスクの総量は違います。
たとえば、小さな企業では会社が傾く一大事でも、大企業ではただのかすり傷の場合があります。
内部統制では、「負のリスク」の影響を低減する取り組みを行うため、「負のリスク」による影響度合いの総量を減らすことができます。
そうすることで、また新たなリスクを受け入れることが可能、つまりリターンを得るためのリスクテイクを行うことができます。
内部統制は、リスクを低減する効果があるだけでなく、経営戦略としてのリスクマネジメントを支援しています。
そういう意味では、新しいことに挑戦するベンチャー企業こそ内部統制を重要視しなければいけないのかもしれません。
リスクマネジメントのプロセス
リスクが発現しないように予防するリスクマネジメントのプロセスは、以下のとおりです。
なお、このプロセスはPDCAサイクルになっています。
①基本方針の策定(Plan)
企業を取り巻くリスクはさまざまですので、リスクへの対処はあらゆる階層の社員の協働が必要になります。
そこで、全社員が迅速にリスク情報を共有し、リスク管理の意識が保てるよう、基本方針として、企業にとってのリスクの定義、リスク管理の目的や行動指針などを定めます。
②基本計画の策定(Plan)
基本方針では具体的に何をするかは定めませんので、実際に行動を起こすための基本計画を策定します。
1)リスクの抽出
大小、事業分野、部門別、社内外、発生頻度などは関係なく、ありとあらゆるリスクを洗い出します。
2)リスクの分類
洗い出したリスクを、社内や社外、常に起こりうるものか偶発的なものか、全社的なものか業務プロセスに係るものかなど、種類別に分類します。
種類別に分類することで、網羅的にリスクを洗い出せているかを、ある程度確認することができます。
3)リスクの評価
一定の評価基準で洗い出したリスクを評価します。
「影響度の大小」と「発生可能性の高低」の二軸で、3~5段階で評価するのが一般的です。
4)リスクの優先順位付け
リスクの分類や評価を考慮し、対応するリスクの優先順位を決定します。
5)戦略を選定する
優先順位の高いリスクに対して、「回避」「低減」「移転」「受容」の4つの戦略のうち、いずれかを選択します。
なお、実施基準では、4つの戦略について以下のように説明しています。
- リスクの回避とは、リスクの原因となる活動を見合わせ、又は中止することをいう。
- リスクの低減とは、リスクの発生可能性や影響を低くするため、新たな内部統制を設けるなどの対応を取ることをいう。
- リスクの移転とは、リスクの全部又は一部を組織の外部に転嫁することで、リスクの影響を低くすることをいう。
- リスクの受容とは、リスクの発生可能性や影響に変化を及ぼすような対応を取らないこと、つまり、何もせずリスクを受け入れるという決定を行うことをいう。
また、COSO・ERM2017では、この4つの戦略の他に、「リスクの活用」という戦略を挙げています。
リスクの活用とは、新たな事業機会等を獲得するために、積極的にリスクを受け入れることをいいます。
6)目標、対策、期限の決定
リスク対策によって達成すべき目標と、対策の概要、対策が完了するまでの期限を明確にします。
③対策の実施(Do)
基本計画の策定を受けて、現場で実行するリスク対策の詳細な内容(リスクマネジメントプログラム)を定め、実行します。
④モニタリング(Check)
リスクマネジメントプログラムが実際に実行されているかをチェックします。
モニタリングには、「自己評価」と「リスクマネジメント監査(内部監査)」があります。
<自己評価>
リスクマネジメントプログラムを実行する部門が自らをモニタリングします。
自己評価は、業務執行側のリスク管理の意識を高める効果があります。
<リスクマネジメント監査>
内部監査部門が行う監査のうち、リスクマネジメントをテーマに行う監査のことです。
監査の結果は、経営陣に報告されます。
リスクマネジメント監査には、「体制監査」と「運用状況監査」があります。
「体制監査」では、そもそも企業が適切なリスクマネジメントを行える組織体制を構築しているのかを確認します。
「運用状況監査」では、定められた手順に従ってリスク対策が行われているかをチェックします。
⑤是正・改善(Action)
モニタリングにより発見された問題があれば、是正・改善を行います。
リスクマネジメント体制の整備
リスクマネジメントは、「一元的に」「全社的視点で」リスク管理することが主なポイントとなります。
そのためには、リスクマネジメントに対して適切な組織体制が必要です。
具体的にはどうすればいいの?
リスクマネジメントを統括する部署
リスク対応を各々の部門が場当たり的に行うと、部分最適的なリスクマネジメントになってしまいます。
リスク管理委員会、リスクマネジメント部など、名称は何であれ、リスク情報を一元管理し、責任と権限を持って全社的なリスク対応をする部署が必要です。
リスクマネジメント人材
企業を取り巻くリスクは多種多様で、しかも社会の状況に応じて日々変化していきます。
それらを把握・認識し、対応するためには、各業務分野の見識が必要です。
しかし、それを一人の者が習得するには無理がありますので、それぞれの得意分野の知識と経験を持つ者が集まったチームとして機能する必要があります。
取締役会
リスクマネジメントの最終的な執行責任は取締役会にあります。
しかしときとして、経営者のマネジメント・オーバーライド(経営者による内部統制の無視)が懸念されます。
そのため、社外取締役や監査役等によるコーポレート・ガバナンスが重要視されます。
