Legal X Design

大阪で働く法務パーソンのはなし

リスクの評価は誰がすべきか

X RISK MANAGEMENT

最近は業務優先で外部セミナーを受講する機会が少なかったのですが、今年は数値目標も決めて、積極的に受講することしました。その第一弾として、本日は第三者委員会の活用に関するセミナーを受講予定です。

どんなに平時から備えていても、有事は突然やってきます。企業の不祥事で「第三者委員会」が登場する例も多く、私の勤務先でも、何か問題が起きたときに「第三者委員会の設置を検討した方がよい」と割と簡単にいう方がいらっしゃいます。

しかし、「第三者委員会」が本当に必要なのか?とか、会社(業務執行者)の意思で雇う第三者委員会って、ステークホルダーにとって満足できるのものか?と疑問に思うことも少なくなく、しっかり勉強してこようと思います。

しかし、昨日の記事でも書きましたが、なんといっても平時の備え、取組みが大切。

会社法で課せられる内部統制システムの構築義務の観点からも、金商法(J-SOX)の観点からも、上場企業や一定規模(大会社以上)の会社では、「リスクマネジメント委員会」のようなものを設置してリスク管理に取り組まれているのではないでしょうか。

COSO ERMフレームワーク

以前はリスクマネジメント委員会の事務局をしていたこともあるのですが、今の会社ではリスクマネジメントは中心的には関与しておらず、資料を見せてもらう程度なのですが、一瞬だけ私の部下が事務局を担当することになり、私も久しぶりに勉強したことがあります。それは、一昨年から昨年のこと。

久しぶりにCOSO ERMのキューブを確認しておこうと思ったら、改定されてキューブはなくなっていました。法務関係者は、リスクマネジメントはあまりウォッチしないんでしょうか?そんなニュース、見た記憶ないんだけど、、と知らなかったことがちょっとショックでした。笑

COSOは、アメリカの公認会計士や内部監査人の団体などからなる組織で、内部統制のフレームワークを提供しており、COSO ERMフレームワークは、全社的/統合リスクマネジメントの仕組みを示したもので、これを見ずしてリスクマネジメントは語れない、と思っています。

そして、その慣れ親しんだほうのフレームワークでは、①戦略、②業務、③報告、④コンプライアンスを目的とし、①内部環境、②目的の設定、③事象の識別、④リスクアセスメント、⑤リスクへの対応、⑥統制活動、⑦情報と伝達、⑧モニタリングを構成要素として、各子会社や事業部門で実践される・・・というキューブが図示されていました。

それが、2017年の改定では、キューブは姿を消し、①ガバナンスと文化、②戦略と目標設定、③パフォーマンス、④レビューと修正、⑤情報、伝達及び報告の構成要素からなると整理されました。

f:id:itotanu:20190216181903j:plain

COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary

エグゼクティブサマリーは無料で公開されているので、それくらい原文を読めばよいのですが、通常業務が忙しいという言い訳で、まだ読めていません。というわけで、ご紹介もここまで。日本語で解説・紹介するサイトもいくつかありますが、まだまだ旧来のほうが、染み込んでいるような気がします。

洗い出し→評価→統制手段決定→実施→見直し→洗い出し…が基本

さて、ERMの全体像は上記のとおりだとして、実際に企業がリスクマネジメントとして行っているのは、おおよそ次のようなものではないかと思います。

 

 とりあえず、ありったけ(考えられるだけ)のリスクを洗い出してみる

  ↓

 それぞれのリスクのインパクトを影響度と発生可能性で評価し、マッピングする

 (このとき、そのリスクを低減させるか、受容するか、転嫁するかも決める)

  ↓

 重点的に取り組むリスクと統制手段を決める

 ←このあたりでリスクマネジメント委員会の承認を受ける

  ↓

 統制手段を実施する

  ↓

 実施した統制手段によりリスクが想定どおり低減されたり転嫁できたりしたかを確認する。

 ←進捗をリスクマネジメント委員会で報告することも

  ↓

 リスクを洗い出す

を、一年間のスパンで繰り返す。

 

企業によって異なるとは思いますが、リスクマネジメントのPDCAサイクルはわりとマンネリ化しやすく、「リスクの洗い出し」をしても、リスクの顔ぶれが大きくは変わらなかったり、それはやむを得ないとしても、リスクのインパクトも統制手段も前年と同じということもあったりして、資料を読むと、「この一年何してたの?」とツッコミたくなることもあったりなかったり・・・

 

リスクの洗い出しと評価は課長クラスですべし

私の考えでは、リスクマネジメントがマンネリ化して、「つまらなく」なっているのは、リスクの洗い出しと評価を部門長クラスがしているからです。さらにいうと、リスクマネジメントを活用することを、部門長が理解できていないからです。そうでない会社は、きっと、リスクマネジメントを経営の有効なツールとして活用されていることでしょう。

事業目的達成に影響する不確実性を最も理解しているのは実務責任者だと思うので、まずは課長クラスがリスクの洗い出しと評価をしてみたらいいのではないかと、私は考えています。おそらく、抜け漏れのない「部門レベル」でのリスク評価が可能でしょう。それを踏まえて、経営陣が「全社レベル」のリスク評価をすれば、実のあるリスクマネジメントが可能なのではないか、と思うのですが。

前職では、まずは部門でリスクを洗い出すという文化があったので、少しやり方を変えてもらい、部門レベルか全社レベルかまで分類してもらったうえで、全社レベルとラベリングされたリスクを事務局でとりまとめて、部門長にインパクトを検討してもらい、それを平均してマッピングし、委員会に上程していました。各部がどのようにリスクを洗い出していたかしりませんが、自分が所属していた部門では、働き盛りの課長補佐クラスがあれやこれやと洗い出し、評価しており、なかなかよい時間だったように思います。

 

だから、当社でも、新任管理職研修では、リスクマネジメントのクラスがあったほうがよい、と老婆心ながら提案してみたのですが、果たして今年の新任管理職研修のメニューに加わるでしょうか…法務研修だってないけど。