全社的リスク管理(ERM)の動向

はじめに

2017年にCOSO ERMが改訂※1されてから約5年経ちました。その間、コーポレートガバナンスコードの補充原則は拡充され、取締役会によるグループリスク管理体制の構築および運用状況の監督責任の明示、有価証券報告書の事業等リスクの記載の充実化が図られました。また、日本企業のグローバル化、グループ管理の必要性の高まりもあり、全社的リスク管理体制(以降、ERM)の強化に取り組む企業も増えています。

最近のERMの特徴は、各事業部門・事業部署によるリスクの洗い出し、評価とリスク対応を主とするボトムアップによるリスク管理体制の構築から、グループ全体への影響を俯瞰するトップダウンアプローチに移行しつつあることです。これまでトップダウンアプローチが過去に皆無だったわけではなく、ボトムアップアプローチが無効になったわけでもありませんが、近年あらためてERMが焦点を当てているリスクと提供する価値が変化してきていると考えられます。

1 トップダウンアプローチとは何か

本稿で言うトップダウンアプローチとは、組織目標や事業戦略・事業計画の達成に影響を与えるリスクを機動的に捉えるアプローチのことです。このアプローチでは、事業戦略・事業計画、ビジネスモデル・オペレーティングモデルの前提に関わる不確実性を事前に把握するような施策をとります。

環境が大きく変わらない状況では、すでに実行しているオペレーションを着実に遂行することが事業戦略・事業計画を確実に達成するために重要な要素となります。このような状況下では、各事業部門・事業部署の業務に係るリスクを分析することでリスク対応が可能となり、結果として会社全体のリスクの総和を測ることが可能となります。これがボトムアップアプローチです。

一方で、現在のように環境が大きく変わる状況においては、そもそもの事業戦略や経営資源配分が適時に調整されないと、事業遂行の着実性にかかわらずリスクが顕在することになります。そのため、環境変化に伴うリスク要因を特定し、そのリスクに対応するトップダウンのアプローチが必要になってきているのです。

トップダウンアプローチの価値は、環境変化への適時の対応をより着実なものとすることと読み替えることもできます。この手法は、金融機関や一部のエネルギー企業ではシナリオ分析として以前より用いられている手法ですが、他の業態においてもその活用が広がってきていると思われます。

本来はどちらのアプローチでもリスクの総和は同じになるはずですが、ボトムアップアプローチのほうが既存事業のオペレーションやコンプライアンスに関わるリスクがより多く特定される傾向が見られます。また、事業部門内に閉じたリスクが複数事業部門から挙げられ、全社への影響が統合的に把握されるケースもよく見られます。

一方で、トップダウンアプローチは、事業目標達成の前提に関わる不確実性を機動的に捕捉するアプローチであり、経営者(取締役会、CEOなど)が自ら管理監督すべきリスクに焦点を当てたものと言えます。図表1は、経営者の目線で見た一般的なERM実務の改善、さらなる活用余地をまとめたものでトップダウンアプローチの必要性に関連するものとなっています。

以降、トップダウンアプローチによるリスク管理の具体的な特徴を3つの視点で概説します。

図表1:経営者(取締役会、CEO等)の目線で見た既存のERMの改善ポイント

改善を要する兆候 考えられる原因 検討事項
戦略の議論上、主に機会を重視しており、リスクへの言及がない
  • 戦略の策定にあたり、リスクが十分に考慮されていない可能性がある
  • 経営層が全体像を把握せず、ポジティブな側面のみに着目している可能性がある
  • 特定されたERMリスクは、取締役会が事業固有の戦略リスクと位置付けたものと一致しているか?
  • 取締役会は、戦略にかかる議論上、機会を特定するためのツールとしてリスクやERMの結果を使用することを検討しているか?
リスクリストに会社の戦略目標との関連性がない
  • ERMが最大限に活用されず、コンプライアンスの実践と見なされている可能性がある
  • ERMが継続的なプロセスではなく、年次のリスク自己評価の調査手段として利用されている可能性がある
  • 取締役会はERMに関する最新情報をどれほどの頻度で受け取っているか(年次、またはより頻繁か)?
  • ERMの結果(アウトプット)は、取締役会の戦略的意思決定にどのように活用されているか?
財務報告上のリスク、コンプライアンスリスク、オペレーショナルリスクなどの、理解しやすい個別のリスクを特に重視している
  • ERMの手法として、リスクは戦略と関連付けられず、ボトムアップのみに基づき特定されている可能性がある
  • リスク管理の重点領域が適切でない可能性がある
  • リスクをいかなるプロセスで特定しているか?トップダウンとボトムアップのバランスは適切か?
  • 経営層や取締役会はERMの結果(アウトプット)をどのように審議しているか?
ERMが取締役会や上級管理職のレベルで認識、可視化されていない
  • ERMリーダーが社内で十分な支援を受けていない可能性がある
  • ERMリーダー(多くの場合、最高リスク責任者またはCFO)は、会社を深く理解し、リスク管理の取り組みを適切に主導できているか?
ERMの議論が陳腐化しており、管理対象のリスクが毎年同じである
  • ERMが環境変化や将来の可能性を捕捉するために経営陣に問いを投げかける機能を果たしていない
  • ERMのプロセスで、エマージングリスクが検討されていたか?
  • 経営陣は、リスクがどのように拡大または発現し、それが事業にどのような影響(ポジティブまたはネガティブ)を及ぼし得るかを検討しているか?

出典:PwC「Risk oversight and the board: navigating the evolving terrain」をもとに作成※2

2 環境変化を捉えるリスク管理

トップダウンアプローチによるリスク管理の特徴の1つ目は、外部環境変化を捉えるリスク管理です。先述のように、トップダウンアプローチによるリスク管理においては外部環境変化による影響を捕捉することが重要となります。外部環境変化による事業運営への影響は近年特に大きくなっており、世界の経営者を対象に実施したPwCの「2022 Global Risk Survey」※3においても、重要なリスクとして挙げられている上位5つのリスクは、「市場環境」「ビジネス・オペレーティングモデル」「サイバーセキュリティ」「外部環境変化」「地政学リスク」であり、多くは外部環境変化に関連しています(図表2)。またPwCが2022年8月に国内企業に対して実施したサーベイでも、約8割の企業が過去3年間で地政学リスクが上昇したと回答しています。

外部環境変化によるリスクの捕捉は、世の中のあらゆる環境変化を捉えるのではなく、あくまで事業戦略・事業計画、ビジネスモデル・オペレーティングモデルに影響を与える要因を捉えることとなります。

一般的な手法としては、シナリオ分析がよく使われます。シナリオ分析には外部環境要因を経済・金融市場環境に限定せず、PEST(Politics〔政治〕、Economy〔経済〕、Society〔社会〕、Technology〔技術〕)などのいくつかの要素に整理して、それらの動向について複数の軸で想定される世界を描くことになります。これは特定の将来を予測するものではなく、複数のシナリオにおいて、いずれが実現した場合でも必要な対応が取れるよう、影響評価と対応の十分性の検証をするためのものです。また、オプションを保持しておけば、そのようなシナリオがモニタリング時に実現した場合、早期に対応することが可能になります。これらの影響を評価する際には、自社にとってプラスの側面も存在する点に留意が必要です。

一部の業界では、シナリオから影響を評価する手法に加え、致命的な影響を与えるシナリオ(水準)を逆に導出するリバースストレスシナリオも活用されています。昨今の想定外の事象が生じる状況においては、事業戦略やビジネスモデルの弱点を特定するのに有用なアプローチと考えられます。

出典:PwC「2022 Global Risk Survey」をもとに作成

3 バリューチェーン、サプライチェーンでのリスク管理

トップダウンアプローチによるリスク管理の2つ目の特徴は、外部環境、内部環境要因にかかわらず、最終的なサービスの提供(価値提供)を確実に行うために、原材料の調達から販売までの一連の流れでリスクとその影響を捉える、というものがあります。End to Endという言い方をすることもありますが、端から端まで全体を流れで捉えるというものです。

End to Endでのリスク管理は、自社に限らず調達先を含むサードパーティ全体を含むものになります。近年は、外部機関との協働や依存の高まりを受け、サードパーティリスク管理(TPRM)として別途管理を強化する取り組みも多く見られます。サードパーティは直接の委託先や調達先に限らず、利用している外部サービス(クラウドサービス)や再委託先など、幅広く捉える必要があります。そういった先は必ずしも調達部門で一元的に管理されていないこともあるため、ボトルネックにならないように留意したほうがよいでしょう。

機能復旧に限定せず、重要な機能の冗長化など、ビジネスやサービスの提供を維持したり、提供方法を変革したりするためにレジリエンスの考え方が適用されることもよくあります。さらに、後述のように、最近は調達先を含めた人権対応や環境対応など、提供する機能に直接影響しない領域の非財務リスクも管理の範囲となってきています。

4 ステークホルダー視点でのリスク管理

3つ目は、ステークホルダー視点の拡張です。これはステークホルダー資本主義やESG推進の流れと同様のものであり、自社のリスクに限定するのではなく、広くステークホルダーに与える影響をリスク管理でも捉えるという取り組みです。なお、ステークホルダーには、顧客、株主・債権者、従業員、ビジネスパートナー(調達先、委託先等)、社会などが挙げられます。

現在は過渡期にあると言えますが、すでに一部の企業では、マテリアリティとの関連の整理、ステークホルダー視点でのリスクタクソノミーの再整理などの取り組みが始まっています。今後は、こうした取り組みがより意識されたものへと発展していくことが期待されます。

取り組みにあたっては、国・地域で進度や捉え方に大きな差があるもの、現時点で必ずしも法制度化されていないテーマ(典型的には人権や環境)についてのリスク対応に注意を払う必要があります。リスクの負担、リターンの配分の公正性や透明性にも留意する必要があります。こうしたリスクに求められる基準や価値観は、社会環境の変化に応じて変わってくるため、自社の方針をグループレベルで定め、定期的に見直しを行うとともに、必要に応じて開示(対話)することで、能動的なリスクマネジメントにつなげることができます。

5 PwCのERMフレームワーク

PwCはこれまでもCOSO ERMなど、ERMのフレームワークについて外部機関からの委託や協働で策定を行ってきました。さらに、それらのフレームワークとも整合したERMフレームワークについての成熟度モデルも策定しています。

図表3は9つの視点でERMを整理したものです。成熟度を5つの段階で表しており、ベストプラクティスとして定義しています。前述の3つの視点に加え、リスク管理の戦略との連携、リスク評価・モニタリング手法、リスクデータを含むインフラ整備など、ERMの重要となる要素について取りまとめています。

本稿で解説してきたものは、PwC JapanグループおよびPwCグローバルネットワークでの整合の状況や、短期・中長期でどの水準を目指すのかといった活用を企図したものであり、今後読者の皆様の組織においてERMの見直しをする際の参考としていただければ幸いです。

出典:PwC作成


※1 COSO(The Committee of Sponsoring Organization of the Treadway Commission:米国トレッドウェイ委員会支援組織委員会)によるERM(Enterprise Risk Management:全社的リスクマネジメント)フレームワークの改訂版(2017年)

※2 PwC「Risk oversight and the board: navigating the evolving terrain」2022年
https://www.pwc.com/us/en/governance-insights-center/publications/assets/pwc-risk-oversight-and-the-board-navigating-the-evolving-terrain.pdf

※3 PwC「2022 Global Risk Survey」
https://www.pwc.com/us/en/services/consulting/cybersecurity-risk-regulatory/library/global-risk-survey.html


執筆者

PwCあらた有限責任監査法人
ガバナンス・リスク・コンプライアンス・アドバイザリー部
パートナー 辻田 弘志

PwCあらた有限責任監査法人
ガバナンス・リスク・コンプライアンス・アドバイザリー部
マネージャー 西村 裕子