リスクマネジメントの導入には難所が多い。経営層のコミットと現場の意識改革なしには成功しない。「壁」を切り崩すのは、経営センスを持ち現場の感覚を備えたキーマンだ。
昨年10月〜12月期の国内総生産(GDP)の実質成長率は前期比で年率6.4%増と、バブル期以来の高成長を記録。日本経済新聞社によると、2004年度の実質成長率は3.4%と、2年連続の3%成長を達成する見通しだという。規制緩和と景気の回復に牽引されて、ビジネスチャンスは飛躍的に増加。企業が新規事業分野へ進出する動きが活発化している。
企業を取り巻く環境が急速に変化する一方で、不祥事も目立ってきた。食品会社による牛肉の偽装問題や電力会社の放射能漏れ事故、自動車会社によるリコール隠し、最近では個人情報漏えい問題が連日のように報道されている。
企業にとって、これらの不祥事は「対岸の火事」では済まされない。ブランドが一瞬にして地に落ち、最悪の場合、企業が立ちいかなくなる危険性をはらんでいる。対外的に倫理や法令を遵守する「コンプライアンス」が重視され、CSR(Corporate Social Responsibility:企業の社会的責任)の観点から、リスクマネジメントと内部統制が待ったなしの状況になってきた。
これを受けて2003年6月には、経済産業省が「リスク新時代の内部統制−リスクマネジメントと一体として機能する内部統制−」を、研究会の報告書として発表している。
 経済産業省 経済産業政策局 企業行動課 遠山毅課長補佐 |
経済産業省経済産業政策局企業行動課の遠山毅課長補佐は「内部統制やリスクマネジメントの整備が甘いと、企業は倒産に追い込まれる可能性があります。そうなると、雇用面で大きな不安を与えるだけでなく、産業全体にダメージがあります。これらを予防する意味で、我々がリスクマネジメント・フレームワークのデファクトスタンダードを作る必要がありました」と説明する。
同報告書では、国内の食品会社や電力会社の不祥事をつぶさに分析。その原因を以下の6点にまとめている。
- リスクの特定:
企業価値に影響を与えるリスクを特定できていない。もしくは、リスクを認識してもそれに対応するための仕組みを社内に構築できていない。
- 行動規範:
コンプライアンス等の行動規範が確立されていない、もしくは規範があっても社員に周知徹底されていない。
 図1 リスクマネジメントの必要性についてのアンケート(クリックすると拡大します) |
- 職務権限:
職務権限の範囲が明確でない。
- 通常業務での経路以外の情報伝達:
通常業務の経路以外の情報伝達ルートがない。このため、現場の担当者が問題意識を持っても、管理者等が障害となり、経営層にまで問題意識を伝えられない。本来は社内で浄化すべき問題が「社外への告発」となって表れている。
- 事故発生後の対応:
万一事故が発生した場合の対応方法が、事前に明確になっていない。
- 内部監査:
通常の業務執行部門から独立した内部監査機能が存在しない。もしくは存在しても充分に機能していない。また、問題点が指摘されても、改善のための対応やフォローアップが実行されていない。
いくらビジネスチャンスが増えても、リスクヘッジなしには利益は増大しない。
こうした背景から、リスクマネジメントへの注目度は急速に高まった。この傾向はアンケートにも表われている。2004年3月に、経済産業省主催で「リスクマネジメント・国際シンポジウム」が開かれた。約300名の出席者にアンケートしたところ、52%が「リスクマネジメントの必要性が高く、日本企業にも積極的に導入すべき」と回答。39%が「必要性が高く、日本企業も前向きに取り組むべき」と答えた(図1参照)。
経産省が主導で日本版ERMフレームワークを策定
リスクマネジメントは、新しい概念ではない。各企業は従来から制度を構築・運用してきた。だが、企業によって取り組みに温度差があり、運用は各部門に任されてきたのが実情だろう。
そこで注目されてきたのが、経営者や管理者が全社規模でのリスクを管理し、内部統制を図る「統合リスクマネジメント」(Enterprise Risk Management:ERM)だ。
ERMのコンセプトは米国が発祥だ。もともとは、トレッドウェイ委員会組織委員会(Committee of Sponsoring Organizations of Treadway Commission:COSO)が70年代に作成したリスクマネジメントのフレームワーク「COSOレポート」に始まる。2000年以降、エンロンやワールドコムの事件が相次ぎ、不正会計を防止する法制化が加速。2003年7月には、COSOレポートの改訂版である「COSO's Enterprise Risk Management」(COSO ERM)が公開され、2004年9月29日に正式にリリースされた。前述した経済産業省の「リスク新時代の内部統制」は、COSO ERMの公開草案を参考に作成されたため、「日本版COSO」と呼ばれている。
日本国内の企業で、真っ先にERMに着目したのは、外資系企業と、海外に拠点を持つ大企業だ。米国では、2002年7月からサーベインズ・オクスレー法(米国企業改革法:SOX法)が施行された。これにより企業のCEOやCFOは、決算書の適正性や、内部統制の有効性を保証する宣誓書を、米国証券取引委員会に提出しなければならなくなった。外資系企業や米国で上場する企業は、早急にSOX法に対応する必要があったのだ。
ERM導入の推進役の多くは、総務部や経営企画部だ。東京ガス監査部の吉野太郎主席は「当社でリスクマネジメントの必要性に気付いたのは監査部ですが、企業戦略の立案を担う総合企画部とのタッグがなければ、実行できないと感じました。経営感覚を持ちながら現場の業務も知り、全社員に影響力のある部門が関わると導入はスムーズです」という。
 三菱総合研究所 安全科学研究本部 安全政策研究部 リスクマネジメント研究チーム 佐藤洋主任研究員 |
一方大企業では、「リスク管理推進室」や「コンプライアンス部」、「CSR部」等の専門組織を設置するケースも多い。たとえば資生堂やNEC、松下電器産業などがそうだ。大企業のリスクマネジメントは、管理項目や各部門との折衝業務が多いため、通常業務の片手間にはできないからだ。
三菱総合研究所安全科学研究本部安全政策研究部リスクマネジメント研究チームの佐藤洋主任研究員によると、リスクマネジメントの専門部署を設置するのは、導入企業全体の約半数程度だという。
「ただし、選任部署を設置すると、現場の声に疎くなる危険性があります。専任部署を設置しても、現場が言うことを聞かず形骸化すると、元の木阿弥です」と同氏は指摘する。
導入段階でつまづきやすい3つのポイント
リスクマネジメントが注目される一方で、その実施状況を危惧する声もある。トーマツ企業リスク研究所の亀井将博主任研究員は「自社でリスクを洗い出してから、管理方法についてアドバイスを求められる場合もありますが、『どこから手をつけていいのか分からない』と相談されるケースがしばしばあります」と打ち明ける。
トーマツ企業リスク研究所が2003年に、セミナー来場者に向けて実施したアンケートによると、金融機関では大多数がリスク管理部署を設置しているが、約半数がリスク評価をしていない。「仏作って魂入れず」の状態が目立つ。
リスクマネジメントの導入は容易ではない。専門部署を設置し、内部統制の仕組みを用意しても、機能していないケースは意外と多い。
実際、不祥事が起こった企業の大半は、リスクマネジメントに未着手なわけではない。大半が、事件が起こる以前からリスク管理専門組織を設置し、コンプライアンスを取りまとめているのだ。
リスクマネジメントの定着に失敗した原因は、主に以下の3つに大別できる。
- リスク評価
- 現場と経営層のコミット
- キーマンの存在
後編では、失敗例を踏まえ、成功へ導くポイントを紹介する。
