リスクとデジタル・トラストサービス・プラットフォーム―企業リスクや内部統制の可視化
はじめに
海外子会社での会計不祥事、コンプライアンス違反、多額の減損損失や品質問題等が多発したこともあり、企業のリスク管理体制に対する投資家の注目が高まっています。一方で、リスク管理の強化に必要なグローバル人材の確保が難しく、リスク情報の収集や内部統制の評価が十分でない会社が数多く見受けられます。そこで、PwC Japanグループが開発したデジタル・トラストサービス・プラットフォーム(以下、本稿では便宜上「PLAT」といいます)を活用することにより、比較的少ない本社リソースにより、全社のリスクや内部統制の状況を可視化する Risk Control Self-Assessment (RCSA)の事例をご紹介します。このPLATは、比較的容量の大きいデータのやり取りをセキュアな環境で提供するクラウド型のプラットフォームです。証憑の添付機能やチャット機能を備えているため、リスクや内部統制の有効性の評価を、世界中の拠点と双方向のコミュニケーションにより行うことができます。このPLAT上にPwCのノウハウを搭載することで、RCSA、リスクカルチャー分析、およびグローバル内部監査などの効率的な実施が可能となります。
なお、文中の意見に係る部分は筆者の私見であり、PwCあらた有限責任監査法人または所属部門の正式見解ではないこと、あらかじめご理解いただきたくお願いします。
1 Risk Control Self-Assessment(RCSA)
リスクの評価
リスクが顕在化した場合に、企業のコアバリューを大きく棄損する重大経営リスクが明確になるようにリスク評価項目を設定します。拠点の自己評価で重大な経営リスクが識別されるためには、リスクの発生可能性やリスクが顕在化した場合の影響度を、ビジネスの実態に合った明確な評価基準として設定することが重要となります。リスク評価者の主観によるバラツキをなくすために、ビジネスに即した定量基準や、判断しやすい定性的基準の設定が重要であり、本社の事業部やコーポレート部門と議論の上で進めます。その際には、PwCの標準版のRCSAを参考に、企業の実態に合わせてカスタマイズすることで効率的に進めます。
リスクに対する内部統制の評価
次に、評価された重大経営リスクに対する内部統制の状況を確認するために、下記のExCUSMEフレームワークの項目ごとに、自己評価の基準を設定します。その際には、自社のグローバルポリシーに基づくStandard Operating Procedure (SOP)の実在性やその展開の状況(伝達)など、自社が整備運用している内部統制の状況が明確になるように評価基準を設定します。
- Existence(実在性):関連するリスクに対応するプロセスまたはプログラムが存在しているか
- Communication(伝達):プロセスまたはプログラムの存在が関係者に周知されているか
- Understanding(理解):プロセスまたはプログラムが有効であるために、関係者によって理解されているか
- Support(支援):プロセスまたはプログラムが有効に運用されるために、それが支援されているか
- Monitoring(モニタリング):プロセスまたはプログラムの品質を検証するために、それが監視されているか
- Enforcement(徹底):プロセスまたはプログラムが有効であるために、それが経営者によって徹底されているか
また、リスク評価と同様に、リスク評価者の主観によるバラツキをなくすように注意することが必要です。しかし、拠点が回答に迷った場合は、各評価項目の隣にあるチャット機能を活用することで、英語が話せない担当者も文字による双方向のコミュニケーションが可能です。また、自己評価に対する根拠資料を検証するために、証憑添付機能を活用することで、実際に各拠点のSOPや証憑を本社で確認します。また、重大経営リスクとそれに対応する内部統制の識別漏れがないように、自由記載欄も設定されます。
RCSAの各拠点への展開
本社のリスク管理部門は、実態と異なる回答が行われないように、事前の環境テストに併せて各拠点への事前説明や配布するガイドラインを充実させます。子会社の営業・法務・人事・IT等の各部門担当者が、職責に関連するリスクと内部統制に対してのみ評価が行えるように、担当者ごとにIDとパスワードを配信します。各担当者の1次回答の結果に対して、CFO等の責任者が全体を通して最終承認をPLAT上で実施した後に本社へ送信されます。
成果物
回答はデータで回収され、BIツールと併せて活用することで、拠点別のリスクマップが自動的に作成されます(図表)。特に、残余リスクが高い項目については、全社レベルで一覧化することで、優先的に対応すべき課題を可視化します。その際、ExCUSMEの回答結果から課題の分析を行い、本社・地域統括・現地拠点の各コーポレート部門が連携することで改善に向けた責任者を明確にし、リスク管理体制の高度化に向けた取り組みの指導や支援を行います。
以上のように、PLATを活用してRCSAを展開することにより、比較的少ない本社リソースで全社のリスクや内部統制の状況が可視化され、ExCUSMEと組み合わせることで、対応が必要な課題を効率的に整理することが可能となります。
2 その他のPLAT活用事例
リスクカルチャー分析
リスク管理体制の高度化のためにプロセスを整備して文書化を進めたとしても、実際にプロセスが機能するためには、従業員に周知され理解されることが必要です。そしてプロセスが運用されるためには、各従業員の行動に影響を与えるリスクカルチャーの醸成が重要となります。そこで、RCSAの調査に加えて、部門別のリスクカルチャーを調査することで、各部門と経営層が期待するリスク選好のギャップを洗い出すことが可能となります。また、管理者と被管理者の回答結果のギャップから問題となる部門の識別も行われます。特に問題が検出された部門に対しては、研修の実施や会社の期待するリスクカルチャーを浸透させるために、人材交流を進める等の対応策が実施されます。
グローバル内部監査
海外拠点数が増える一方で、日本の内部監査チームが年間に往査できる件数は、リソースや出張予算を考慮すると限られているため、仮に全拠点の往査をするとなると10年以上必要となることがあります。そこで、PLATを活用して内部監査のプログラムをグローバルに展開し、チャット機能や証憑添付機能を活用することで、遠隔地の監査を本社にて実施することが可能となります。海外子会社の内部監査は、重要拠点や重大経営リスクをPLATで識別した拠点を優先させることで、効率的かつ効果的にグローバル全体をカバーした監査手続の実施が可能となります。
ガバナンス・リスク・コンプライアンス活動支援プラットフォーム
グループ会社のリスク情報を世界中から効率的に収集し、ガバナンス・リスク・コンプライアンス活動を⽀援するリスクコミュニティ共通のプラットフォーム。
