1. ホーム
  2. レポート・書籍・コラム
  3. レポート
  4. Tokio dR-EYE
  5. グループリスクマネジメント体制の見直しについて

グループリスクマネジメント体制の見直しについて

Tokio dR-EYE

2023/5/12

目次

  1. グループ全体でのリスクマネジメントの取組みに関する法令等の要求
  2. グループリスクマネジメント体制の見直し
  3. 体制の見直し・向上に向けた手順例
  4. おわりに

グループリスクマネジメント体制の見直しについて - Tokio dR-EYE PDF

執筆コンサルタント

小澤 浩司
ビジネスリスク本部 主席研究員
専門分野:リスクマネジメント・危機管理・海外展開・BCP、防災士、CPCU(米国認定損害保険士)

 

2023年4月7日、金融庁は上場企業に報告書の提出を義務付けている内部統制報告制度について、新たな基準案[1]を意見書として公表した。2024年4月1日以降に始まる事業年度からの適用を予定している新基準案では「財務報告」の「報告」(非財務報告と内部報告を含む)への拡張等のほか、「内部統制とガバナンス及び全組織的なリスク管理」が一体的に整備及び運用されることの重要性を明らかにしている。なお「全組織的なリスク管理」については、従来から会社法等においても要求されている。しかし、子会社を有する企業グループにおいては、法令対応上説明がつく最低限の規程・体制を整備しているのみで内容を伴った取組みがなされていないケースもあるように見受けられる。本稿では、子会社を含めたグループリスクマネジメント体制の見直しについて提案する。

1. グループ全体でのリスクマネジメントの取組みに関する法令等の要求

子会社を含めた企業グループ全体でのリスクマネジメントの取組みについては、従来から会社法やコーポレートガバナンス・コードで要求されている。本項で改めて確認する。 

(1) 会社法/会社法施行規則

たとえば取締役会設置会社の場合、会社法第362条第4項第6号/同法施行規則第100条第1項第2号において、「当該株式会社の損失の危険の管理に関する規程その他の体制」を整備することが取締役会の責務として規定されており、これが一般的に企業におけるリスクマネジメント体制構築義務の根拠とされている。本項では、同施行規則同条同項第5号において、「子会社の損失の危険の管理に関する規程その他の体制」を整備することについても規定されている点に改めて留意したい。読んで字のごとくであるが、親会社においては自社のみならず子会社におけるリスクマネジメント体制の構築についても要求されている。 

(2) コーポレートガバナンス・コード

2015年6月から東京証券取引所各市場の上場企業に適用されているコーポレートガバナンス・コードは、2018年と2021年に改訂されている。2021年の改訂では、内部統制・リスク管理体制の整備に関する規定である補充原則4-3④について、「リスク管理体制」及び「これらの体制」という文言をそれぞれ「全社的リスク管理体制」及び「グループ全体を含めたこれらの体制」に変更し、子会社を含めたグループ全体でのリスクマネジメント取組みの重要性を強調している。 

図表1:コーポレートガバナンス・コード補充原則 4-3④

【図表1:コーポレートガバナンス・コード補充原則4-3④】
(出典:東京証券取引所 「コーポレートガバナンス・コード」 改訂前からの変更点 2021.6.11)

(3) 内部統制報告制度における新たな基準案

冒頭で紹介した内部統制報告制度における新しい「財務報告に係る内部統制の評価及び監査の基準」案では、「Ⅰ. 内部統制の基本的枠組み」に「5. 内部統制とガバナンス及び全組織的なリスク管理」を新設している。
本項では、当該新設規定案におけるリスクマネジメントに関する要求として、「リスクとリターンのバランスの下」、「経営戦略と一体で統合的に管理」する対象を、個社のリスクではなく「全組織のリスク」としている点に留意したい。 

【図表2:内部統制とガバナンス及び全組織的なリスク管理】
(出典:金融庁「財務報告に係る内部統制の評価及び基準(抄) 新旧対照表」の内容を筆者にて並べ替え)
  • 内部統制は、組織の持続的な成長のために必要不可欠なものであり、ガバナンスや全組織的なリスク管理と一体的に整備及び運用されることが重要である。
  • 内部統制、ガバナンス及び全組織的なリスク管理は、組織及び組織を取り巻く環境に対応して運用されていく中で、常に見直される。
<新設規定案で示されている用語の定義>
ガバナンス 組織が、顧客・従業員・地域社会等の立場を踏まえた上で、透明・公正かつ迅速・果断な意思決定を行うための仕組み
全組織的なリスク管理 適切なリスクとリターンのバランスの下、全組織のリスクを経営戦略と一体で統合的に管理すること。

2. グループリスクマネジメント体制の見直し

内部統制報告制度における新たな基準案で示されている「全組織的なリスク管理」の定義に関し、リスクマネジメント関連のコンサルティング現場では、「全組織のリスク」及び「経営戦略と一体で統合的に管理すること」の2点においてご相談をいただくケースがまだまだある。そこで適切な体制が構築されているかを確認する際のチェック項目を例示する。網羅的に示すものではないが、現行のリスクマネジメント活動の枠組みが長期間変更されていないといったような場合は、これらの例示を含めて見直しすることを推奨する。

(1) 「全組織のリスク」に関する見直し

  • 子会社を含めたグループ全体の取組みを統括・推進する組織(例:グループリスクマネジメント委員会)が設置されているか。
  • 統括・推進組織の役割・機能が期待されたとおり発揮されているか(※取締役会、各部門・グループ会社等の関係機関・部門向けのアンケート等で確認することも一案である)。
  • グループ共通でリスクアセスメント(リスクの特定・分析・評価)を実施するためのツール(例:リスク項目リスト・リスク評価指標・リスクマップ)が整備されているか。
  • 海外子会社がある場合、海外子会社の実務で使用可能な言語(例:英語)で文書・ツールが整備されているか。
  • グループ共通で重点的に取り組むリスク(仮称「グループ重点取組リスク」)、個社で重点的に取り組むリスク(仮称「重点取組リスク」)、各部門単位で取り組むリスク(仮称「部門リスク」)のような区分が設けられているか。
  • 仮称「グループ重点取組リスク」が、経営環境/リスク環境の変化及びこれまでの取組度合いに応じて見直し・変更されているか。

(2)  「経営戦略と一体で統合的に管理すること」に関する見直し 

    ①投機的/戦略的リスクの取扱いに関する見直し
  • 2009年に発行されたリスクマネジメントに関する国際規格である ISO31000(リスクマネジメント - 指針)において、リスクを「目的に対する不確かさの影響」と定義し、従来からのいわゆる純粋リスク(影響がマイナスのみに働くもの)のほか投機的/戦略的リスク(影響がプラスにもマイナスにも働くもの)もリスクマネジメントの対象として示されていることが組織内で認識されているか。
  • 既存のリスクマネジメント活動において、投機的/戦略的リスクが含まれているか。
  • 社内文書上、リスクという用語を災害・事故の意味合いで使用していないか(例:「・・・リスクの発生防止に努め、また、万が一リスクが発生した場合は・・・」)。
     ②経営戦略との一体性に関する見直し
  • リスクマネジメントの目的として(またはその一部として)、企業価値の向上が掲げられているか。なお、ISO31000(リスクマネジメント - 指針)において、リスクマネジメントの意義は価値の創出及び保護にあり、「パフォーマンスを改善し、イノベーションを促進し、目的の達成を支援する」と示されている。
  • リスクマネジメントが、これ自体を独立した活動とするのではなく、経営戦略/事業計画を支えるものと位置づけられているか。
  • 経営戦略/事業計画のPDCA(計画・実行・評価・改善)管理とリスクマネジメントのPDCA管理が一体的に運用されているか。 

3. 体制の見直し・向上に向けた手順例 

前項のチェック項目を踏まえ、グループ全体の体制等を見直す際の手順例について概括する。本稿では各手順の詳細については割愛するが、経営企画部門等を含め部門横断のプロジェクト組織を組成し、また、必要に応じて外部の専門家と相談しながら検討することも一案である。

(1) グループ全体の体制見直しに向けた中期計画の策定

子会社を含めたグループ全体でのリスクマネジメント体制を構築または再構築する場合、既存のマネジメントシステムとの融合を図り、新しいプロセス及び当該プロセスを実行するための各種文書・ツールを整備・見直しする必要がある。コンセプト策定、機関決定、各種文書・ツールのプロトタイプ作成、試行・修正、確定・周知といった工程が想定されるが、グループの規模及びこれまでの取組状況によっては1年超の中期計画を策定する必要がある。

(2) 事務局機能の強化

グループ規模が大きく子会社・関係部門の数も多い場合は、統括・推進組織の事務局にも相応の体制・機能が求められる。検討にあたっては、経営陣の方針・メッセージを明確にしつつ全体の方向性を示したうえで、事務局及び子会社・各部門の役割・レベルにおいて最終的に目指す姿や移行期の姿(マイルストーン)を描くと良い。事務局に求められる体制・機能はグループ全体及び子会社・各部門の習熟レベル等によって変動が想定されるが、以下の視点での見直し・検証が推奨される。 

  1. ① 子会社・各部門に対する取組支援、対話力の強化
  2. ② リスクインテリジェンス活動の強化(例:リスク関連情報の収集・分析、経営戦略への活用)
  3. ③ リスクカルチャー(リスクマネジメントについて共有する価値観・信念等)の醸成、定着
  4. ④ 上記①~③の活動を踏まえた事務局要員の増員、育成

(3) 文書・ツールの見直し

グループ全体でリスクマネジメントに関する各種活動を実施する際、以下のような文書・ツールの見直しが必要になる。

  1. ① 指示・依頼の根拠となるマネジメント規程(例:グループ会社管理規程)
  2. ② グループリスクマネジメント規程(目的・基本方針・グループ全体の体制等を規定)
  3. ③ グループリスクマネジメント手順書(グループとしての標準的なリスクマネジメント手順を定めたもの)
  4. ④ リスクアセスメントツール(例:リスク項目リスト・リスク評価指標・リスクマップ)
  5. ⑤ リスク対応計画のPDCAマネジメントツール 

 4.おわりに

企業グループ全体でリスクマネジメントを推進する体制・プロセス・ツールの見直しについて概括した。本稿が企業の取組みの一助となれば幸いである。 

参考情報

執筆コンサルタント

小澤 浩司
ビジネスリスク本部 主席研究員
専門分野:リスクマネジメント・危機管理・海外展開・BCP、防災士、CPCU(米国認定損害保険士

脚注

[1]   https://www.fsa.go.jp/news/r4/sonota/20230407/20230407.html

PDFファイルダウンロード

グループリスクマネジメント体制の見直しについて PDF

Tokio dR-EYEトップへ戻る