Proact’s View Vol.11 「攻めの経営」のためにリスク管理体制の⾼度化を!
Points of View
- 「攻めの経営」の実現のためには果敢なリスクテイクを可能にするリスク管理体制が不可⽋である。
- 上場企業のリスク管理体制は、「過去の現場リスク」への対応に多くの時間を取られ、「将来の経営リスク」を管理する体制にはなっていない。
- 経営環境やリスクの複雑化による CEO や CFO のキャパシティの限界、リスクの対応をめぐる事業部⾨とリスク管理部⾨との対⽴、リスク相互の影響という問題に対応する必要もある。
- このような問題を解決し、「将来の経営リスク」を重点的に管理する体制に⾼度化するための⽅策が CRO とその下にあるリスク管理委員会である。
- すでにリスク管理委員会を採⽤している上場企業では、期待される統合機能が発揮されるよう PDCA を回すべきである。
「攻めの経営」を実現するにはそれを可能にするリスク管理体制が必要
上場企業に対しては「事業ポートフォリオの⾒直しや、⼈的資本や知的財産への投資・設備投資等、適切なリスクテイクに基づく経営資源の配分等」を実⾏し、「資本コストや株価を意識した経営」を実現することが求められています。しかし、経営者が果断なリスクテイクを⾏って「攻めの経営」を⾏なうには、それを可能にする管理体制が不可⽋です。
多くの企業のリスク管理体制は「過去の現場リスク」への対応で⼿いっぱい
ではリスク管理体制の現状は「攻めの経営」を可能にするものになっているのでしょうか。この点、経営法友会の法務部実態調査(2020 年度)によれば、1,151 社が法務部⾨の役割として重視する業務の上位 3 つは、①法律相談・契約書審査等を通じたリスク管理、②重要案件(重要な企画・事業計画等のプロジェクトおよび M&A・協業等の重要な契約)への対応、③紛争・訴訟への対応であり、法務部⾨の⼤きさで⼩規模(5 名未満)、中規模(5〜10 名)、⼤規模(11〜30 名)、メガクラス(31 名以上)でもこの順番は変わっておらず(ただしメガクラスは①②が同順位)、また資本⾦の規模(5 億円未満から 1,000 億円以上)でも変化がないと指摘されています。ところが、法務部⾨が取り組んでいる現在の課題の上位3位は、①法的リスクの管理、②紛争・訴訟への対応、③社内研修・法務情報の発信となっており、経営判断への⽀援は5位、M&A・投資案件の対応は7位と低位にとどまっています。企業法務部では、過去発⽣したリスクおよび現在発⽣する同種のリスク(「過去の現場リスク」)への対応が業務の中⼼となっていることがうかがわれます(図表1参照)。
| 順位 | ⼩規模 | 中規模 | ⼤規模 | メガクラス |
|---|---|---|---|---|
| 1 | 法的リスクの管理 | 社内研修・法務情報の発信 | 紛争・訴訟への対応 | M&A・投資案件へ の対応 |
| 2 | 紛争・訴訟への対応 | 紛争・訴訟への対応 | 法的リスクの管理 | 紛争・訴訟への対応 |
| 3 | 社内研修・法務情報の発信 | 法的リスクの管理 | M& A・投資案件へ の対応 | 経営判断への⽀援 |
| (5位)経営判断 への⽀援 | (6位)経営判断 への⽀援 | ( 6 位 )経営判断への⽀援 |
また、法務部の今後取り組むべき課題として選ばれた項⽬は図表2の記載どおりであり、規模が⼩さい法務部ほど法的リスクの管理が、規模の⼤きい法務部ほど経営判断の⽀援、業務の効率化やグループ全体のリスク管理体制の強化策が、上位を占めています。
| 順位 | ⼩規模 | 中規模 | ⼤規模 | メガクラス |
|---|---|---|---|---|
| 1 | 法的リスクの管理 | 法務業務の効率化・IT 化 | 経営判断への⽀援 | 法務業務の効率化・IT化 |
| 2 | 法務業務の効率化・IT 化 | 経営判断への⽀援 | 法務業務の効率化・IT 化 | 経営判断への⽀援 |
| 3 | 経営判断への⽀援 | 法的リスクの管理 | グループ法務ネットワーク の構築・強化 | グループ法務ネットワークの 構築・強化 |
| (7 位)グループ法務 ネットワークの構築・強化 | (6 位)法的リスクの管理 | (4位)M&A・投資案件 への対応 | ||
| (9 位)M&A・投資案件への対応 | (7位)M&A・投資案件への対応 | (8位)法的リスクの管理 |
企業法務部は、収益機会につながる経営判断への⽀援や M&A・投資案件等の⽀援の重要性を認識し、戦略を遂⾏する上で将来発⽣することが予測される経営上のリスク(「 将来の経営リスク」)に取り組むべきと考えてはいるものの、現在は「過去の現場リスク」への対応に最も時間がとられており、その傾向は、法務部が⼩・中規模の上場企業になればなるほど強いという実情がうかがえます。
「過去の現場リスク」から「将来の経営リスク」へ軸⾜を動かす
そこで、リスク管理の⽬線を「過去の現場リスク」から「将来の経営リスク」へアップし軸⾜を動かしつつ、「将来の経営リスク」の観点から、外部環境の変化にも影響され変化する可能性のある「将来の現場リスク」をプロアクティブに管理するという⽅向性を志向しなければなりません。しかし、事業部⾨や各リスク管理部⾨にそのような⽅向性を志向しろといってまかせても、このような体制の実現は難しく、組織全体が適切にリスクを認識し対応するよう調整し統合する機能(以下、「統合機能」という)を持った「⾼度化されたリスク管理体制」の構築に取り組むことが必要です(図表3参照)。
図表3 ⾼度化されたリスク管理体制のイメージ(プロアクト法律事務所作成)
リスク管理体制が直⾯する問題点を解決する
業務部⾨とリスク管理部⾨の関係については、事業部⾨は収益の最⼤化に、リスク管理部⾨は損失の最⼩化に集中するという「攻撃と防御」型、事業部⾨はリスク管理部⾨によって定められたリスク管理⽅針の範囲内でのみ事業活動を⾏うことができリスク管理部⾨や監査部⾨によってモニタリングされるという「⽅針と監視」型、事業部⾨とリスク管理部⾨は共同してリスク管理の問題を評価・解決し、共通の⽬標や⽬的を共有化するという「協⼒関係」型という 3 つの組織モデルがあり、実際には、リスクの種類や重⼤性によってモデルが組み合わされています。しかしどのモデルを取り⼜は組み合わせるにしても、以下のような問題が発⽣してます。
第⼀は、各企業の事業戦略策定のためには複雑な事業環境下にある事業だけでなく、複雑化するリスクの理解も必要となっており、CEO や CFO がカバーしなければならない事象の範囲をさらに広げており、⼀⼈の⼈間のキャパシティを超える可能性が⾼くなっているという問題です。判断権と責任が⼀⼈に集中する体制より、対応しなければならない分野ごとに専⾨性を有する者に委任して判断させるモデルが合理的となってきています。
第⼆に、上場会社がリスクを取って戦略を実⾏することにより⼤きな収益が得ようとする際、事業部⾨とリスク管理部⾨との間で、リスクが収益機会であるか、損失機会であるかをめぐって対⽴が起きる場⾯が多く出てくる可能性があるという問題です。実はこのような対⽴は⽇常的に起こり得るものです。かかる場合、事業部⾨にリスク判断を委ねると収益を取りたいというインセンティブが強く働き慎重さを⽋くことがあるし、他⽅、リスク管理部⾨に委ねると慎重になりすぎて戦略を考慮せず近視眼的にリスクを回避する可能性があります。また、誰が判断してもリスクを取った結果⼤きな損失が出たという場合には、経営責任の問題に直結します。戦略とリスクの⼤きさの相関関係で判断主体を選択する必要があります。
第三の問題は、各リスクは相互に関連していることがあるので、担当部⾨だけで判断すると、他のリスクに影響を与えて担当部⾨の予測を超える結果がでることがあり得ることです。リスク相互の影響を理解するための、共通のプラットフォームが必要となります。そこで、第⼀および第⼆の問題に対応するためにチーフ・リスク・オフィサー(CRO)を、第三の問題に対応するためにリスク管理委員会を設置することが考えられます。
統合機能を発揮する CRO とリスク管理委員会でリスク管理体制を⾼度化へ
リスクを統合的に管理し戦略の達成可能性を⾼めるようなリスク・コントロールを⾏うことが、CRO の役割です。したがって、CRO は企業のミッションと戦略、固有リスクとリスクシナリオ、対応策と残余リスクを理解し、⼀段⾼い視線からリスクを把握して、戦略の実現に向けてリスクの対応を最適化し戦略を成功に導くことを可能にする知識・知⾒・経験を兼ね備えている者でなければなりません。また、CRO は事業部⾨とリスク管理部⾨が対⽴した場合に、この対⽴を解消し⼜は最終的にリスクテイクをするかどうかの判断を⾏う役割をにない、その判断により結果的に企業に⼤きな影響が出る場合には、ステークホルダーに対して CEO とともに説明責任・経営責任を負うべき⽴場にあります。
さらに、CRO は、リスク管理委員会を束ねる者として、委員会を構成する各部⾨が適切な活動をしているかどうかを監督する⽴場にあり、各リスク管理部⾨の⼈材と機能の現状の把握を⾏い必要に応じて補強策をとるとともに、各種リスクが相互に影響をしあうかどうかについて留意を払い、リスク管理委員会における議論を促して各部⾨間でのリスクの⽬線合わせを促進する役割を担います(図表4参照)。
図表4 CRO とリスク管理委員会の位置づけ
リスク管理委員会は、CRO のもとで各リスク管理部⾨が識別し対応しているリスクの現状とリスク相互の影響への理解するプラットフォームたることが期待されます。したがって、CRO は企業の職制の中で上位の経営陣の⼀⼈として位置づけられなければならず、会社法上業務執⾏状況の取締役会への定期的報告義務が課される業務執⾏取締役レベルあるいは上級執⾏役員レベルに位置づけられることがふさわしいでしょう。
すでにリスク管理委員会が設置されている企業は PDCA を
リスク管理委員会はさまざまな企業で設置されていますが、単なる報告と情報共有の場になっていないでしょうか。リスク管理委員会が期待されるべき本来の機能を果たしているのかを⼀度評価することが必要です。また、「攻めの経営」を⽀援する役割を果たすためのリスク管理の⾼度化には、リスク管理委員会に対する強いリーダーシップが必要です。CRO の機能をどうやって組み込むのかを検討し、改善につなげていただければと思います。