Legal X Design

大阪で働く法務パーソンのはなし

リーガルリスクの見直し

X RISK MANAGEMENT

f:id:itotanu:20211101003830p:plain

私のチームでは、毎年リーガルリスクのカタログとマップを見直しています。

と言いながら去年はコロナを言い訳にサボってしまい、今年は2年ぶりの見直し。結構な変更になりました。

「何をやるか」はリスクベースアプローチで

自社の内的・外的環境から、

  • 自社にどんな「リスク」があるかを洗い出し、
  • 顕在化した場合の影響を評価し、
  • 必要な対策を打つ(または受容する)

というサイクルを平時に回すのがリスクマネジメントだと理解しています。

最近では、リスクへの取組みはリスクベースアプローチで、つまり「リスクの大きなものから手をつける」ことが一般に推奨されています(例としてグループ・ガバナンス・システムに関する実務指針における子会社管理(36頁以下))。

内部監査でも「リスクベースアプローチで監査対象・テーマを決める」などと言うからか、「リスクマネジメントの研修をやってほしい」という声も聞くようになっています。

リスクカタログ・リスクマップとは

リスクマネジメントのフレームワークには、COSOのERMやISO31000が知られていますが、中核となるのは、

  1. どんなリスクがあるのかを洗い出す
  2. そのリスクの大きさを評価する
  3. それぞれのリスクへの態度を決める(一般に、低減・受容・移転・転嫁のどれか)

という作業で、1の成果物がリスクカタログ、2の成果物がリスクマップです。3は、社内で専用のシートを作られていることが多いと思います。

さて、いざリスクを洗い出そうとすると、初めての人も経験者も、「リスクとは何か」というそもそも論にぶち当たります。結論、深く考えないほうがよいと私は考えているのですが、

  • 損害などの悪影響をもたらす「原因」(例:他人の特許権を侵害する)
  • 原因がもたらす「結果」(例:営業停止になる、損害賠償責任を負う、経営陣や従業員がつかまる)
  • 悪影響に限らず「不確実性」(例:相場変動で調達コストがブレる)

と、リスクには色々な解釈があります。どれでもいいけれど、評価に影響するので統一はしたほうがよいです。ただし、「結果」を選択した場合、リーガルリスクとしては究極が刑事罰か民事責任(差止や保全処分含む)のどちらかになってしまうので、ほどほどが求められます。

リスクの大きさとは影響度と発生可能性の積

リスクを洗い出せたら、次にそのリスクの大きさを評価します。残存リスク*1の影響度と発生可能性を3段階や5段階程度でそれぞれ評価し、その積でスコアを出すのが一般的ではないかと思います。

このとき、評価軸をしっかりもっておくことが重要で、影響度では、売上や利益にナンボの影響があることを意味するのか、どれくらいの身体生命被害をいうのか、発生可能性では、年に何回発生するのか、など、できるだけ定量的に評価できるモノサシを作っておかないと、参加者が「なんとなく」「バラバラに」評価してしまう可能性があります。

また、影響度と発生可能性の関係も大切です。ここはやり方がいくつかあるのでしょうが、私のチームでは、次のルールを採用しています。

  • 影響度は最悪の事態で評価する
  • 発生可能性は、その最悪の事態が発生する頻度を評価する

こうして、洗い出したリスクひとつひとつを影響度と発生可能性で評価し、マトリクス図に置いていくとリスクマップが完成します。通常は右上に大きなリスクが鎮座することになり、右上のリスクを左か下へ移動させるために何をするか?を考えていきます。

新たに顕在化したリスクは「自社に責任はないが出捐発生」

一定規模以上の企業では、リスクマネジメント委員会といった組織横断的な枠組みの中で、このような方法で全社的*2なリスク識別・評価し、対応策を決めて活動を行うのが一般的です。しかし、「全社的」でないリスクは俎上に乗らないので、リーガルリスクは法務で識別・評価しています。

今年、チームで新しく認識したリスクのひとつが、「自社に責任はないけれど、金銭負担を強いられる」というものです。厳密にはリーガルリスクではないのですが、最近こういうケースが増えています。

イメージ商売である以上致し方ないところもありますが、たとえば、自社ECサイトでクレジットカードの不正利用があり、カード会社からチャージバックされるといったもの。損害は小さいですが、頻度としては年に数件発生しているのではと思われます。
アプリ不具合によるクレームなども、不具合の原因が判然としなくても要求に応じているケースがあります。

自社の落ち度であれば何か対策の打ちようもあるでしょうが、カード払いの取扱いやサービスをやめるわけにもいかず、有効な打ち手がないので「受容」と判断。当社のためだけに契約条件を変えてくれることもありませんからね…

悩み:リスクは増えても減らない

原則として毎年、リスクに変更がないかを見直しています。リスクが増えたり、マップ上の位置が変わったりすることは毎年ありますが、カタログやマップから消えることはなく、増え続ける一方。

認識している事実を残すため、一度洗い出したリスクは削らず置いているのですが、毎年、評価する量が増えるのが悩みです。削除の潮時ってあるんでしょうか。。

*1:一定の措置を講じても残るリスク。何もしない場合に発生するリスクは「固有リスク」などと呼ぶ。たとえば、「自動車事故発生リスク」とは「自社が採用している自動ブレーキ機能やエアバッグ装備の車両で事故が発生するリスク」なのか(残存リスク)、「なんの装備もない車両で事故が発生するリスク」なのか(固有リスク)。

*2:イメージとしては有価証券報告書に記載されるレベル