Comments
Description
Transcript
リスクマネジメント、これまでの10年
トーマツ 企業リスク www.deloitte.com/jp/book/er これまでの10年 リスクマネジメント、これまでの10年 トーマツ企業リスク研究所 主席研究員 杉山 雅彦 過去10年間に起きた代表的なリスク顕在化事象(事件、企業不祥事、自然災害等) と企業における対応、関連する法規 制を概観する。本稿執筆時点(2013年5月)の10年前は2003年5月となるが、説明の便宜上、米国企業改革法が制定 された2002年7月を起点として以降に生じたリスク顕在化事象、企業における対応、関連法規制等について、米国等の 海外状況を適宜織り込みつつ解説していくこととする。 1. リスク顕在化事象と 関連法規制の振り返り に取り纏めているので、そちらをご覧頂きたい。 リスクマネジメントを振り返るに当たり、過去10 年間に生じたリスク顕在化事象を分類する。Deloitte 2002年7月以降生じた代表的なリスク顕在化事象、 のリスクインテリジェンスマップに従えば、企業を取 それらに対応する形で制定された法規制について、図表1 り 巻くリ ス ク は 大 きく5つ に 分 け るこ と が 出 来 る。 図表1 年 米国及び諸外国動向 2002年 米国企業改革法成立 SARS流行 2003年 イラク戦争開戦 COSO ERM公表 2004年 スマトラ沖地震 2005年 ロンドン爆破テロ ハリケーン・カトリーナ 2006年 北朝鮮核実験 原油価格高騰 サブプライムローン問題 リーマン証券破綻 2008年 四川大地震 2009年 北朝鮮核実験 メキシコ湾原油漏出事故 2010年 タイ暴動事件 2007年 2011年 タイ洪水 イラク戦争終結 2012年 欧州財政危機 日本 ガバナンス リスク分類と関連する企業課題 業務運営と 戦略と計画 コンプライアンス 経営インフラ 開示と報告 体制構築 BSEにより米国産牛肉輸入停止 大規模顧客情報漏洩発生 顧客情報管理 鳥インフルエンザ流行 BCP対応 個人情報保護法施行 先進企業から学ぶ事業リスクマネジメント公表 体制構築 JR福知山線脱線事故 証券会社誤発注事件 改正会社法施行 体制構築 公益通報者保護法施行 経営者不正 コーポレートガバナンス報告書(証券取引所) ライブドア上場廃止 コーポレートガバナンス開示(有価証券報告書) 産地・消費期限偽装事件多発 内部統制報告制度施行(J-SOX) 関連業法 関連業法 業務管理 個人情報保護法 関連業法 会社法 公益通報者 保護法 信用リスク管理 関連業法 業務管理 会社法 ガバナンス 報告書 ガバナンス開示 内部統制 報告制度 体制構築 新型インフルエンザ流行 BCP対応 口蹄疫拡大 BCP対応 東日本大震災 BCP サプライ チェーン対応 領土問題による近隣諸国との紛争 法令違反等による支払 BCP対応 関連業法 諸外国対応 関連業法 アルジェリア人質事件 2013年 中国で鳥インフルエンザ流行 BCP 対応 ボストンマラソンテロ事件 2013/07 季刊 ● 企業リスク 31 トーマツ 企業リスク www.deloitte.com/jp/book/er これまでの10年 ガバナンス、戦略と計画、業務運営と経営インフラ、 コン 2003年に入ってからは、イラク戦争が開戦する一方で プライアンス、開示と報告である。 世界的な景気回復の兆しが見られた。また世界的に重症急 過去10年間に生じたリスク顕在化事象や関連法規制 性呼吸器症候群(SARS)が流行した年でもある。SARSは 等を振り返ってみると、ガバナンス、コンプライアンス、 2002年11月に中国で発生し、2003年後半まで中国、香 開示と報告に関連した事象が多かったと考えられる。ま 港、カナダ等を含む世界的な規模の流行となった。 た発生したリスク顕在化事象(主に企業不祥事等)に関 SARSについては航空機による移動が世界的な感染 連して、法規制等が強化されてきたことが理解できる。 スピードを高めたこともあり、日本企業にとっては出張 戦略と計画、業務運営と経営インフラについては、地 延期等の措置がなされた。SARSを契機にパンデミック 震、津波、パンデミックといった自然災害に関連した外 (感染症等の世界的流行)に対するリスク管理につい 部リスクや顧客情報保護、業務処理等に起因した不祥 て、関心が高まった時期でもある。 事が顕在化することにより対応が迫られた場面が多く 2003年は同時に牛海綿状脳症(BSE)の問題が社会 なった。 問題化した年でもあった。日本における発生は、2001 2013年に入ってからは、 アルジェリア人質事件等の 年に報告されているが、2003年の米国におけるBSE発 テロ事件が多発しており、日本企業にとっても、テロリ 生を受けて、同年12月に米国からの牛肉及び牛肉関連 スクといった新たなリスクを真剣に考える時期に来て 製品の輸入が禁止され、牛肉及び牛肉関連製品を取扱う いるといえる。 日本企業は大きく影響を受けた。 以下、2002年から2013年までを簡単に振りかえっ BSE対応としてリスクマネジメントの観点からは、原 てみたい。 材料等の調達ルートの多様化が必須となった。また商品 やサービスそのものが直接影響を受けた場合には、商品 2. 2002年から2004年 〜パンデミックリスクが注目され始めた時期〜 やサービス自体を変更せざるを得ないリスク(例:牛丼 チェーン店がカレーや豚丼を提供する)が認識された。 また2003年には、大規模企業における個人情報漏洩 エンロン、ワールドコム事件等の大規模会計不正事件 事件が問題となり、何万件といった大規模な個人情報流 を契機として、2002年7月に米国企業改革法が制定さ 出を防止するためのリスク管理、流出してしまった後に れた。米国上場企業は2004年12月より財務報告に関 おける事後対応のための体制構築に注目が集まった。 する内部統制について経営者評価の実施及び外部監査 2004年に入ると、九州地区から鳥インフルエンザが拡 (以下、 「US-SOX」)に対応することが必要となった。 2013/07 季刊 大し、日本における社会問題となった。また一部の養鶏 US-SOXは、内部統制のフレームワークであるCOSO 場業者において、鳥インフルエンザの発生報告が遅れ に従って、財務報告に関するリスクを評価した上で内部 たため、 メディアによる批判を大きく受けることになっ 統制の文書化及び経営者評価を要求している。米国上場 た。危機時における当局対応やメディア対応についても 企業及び外部監査人は、US-SOX対応のために、2002 リスクマネジメントの観点から重要性が確認された。 年から2004年にかけて財務報告に関するリスクマネ また2004年はCOSO ERMが公表された年でもあっ ジメント、文書化、経営者評価、外部監査に多くの労力 た。1992年に公表されたCOSO概念を踏襲したうえ を割くことになった。米国に上場している日本企業も影 で、エンタープライズリスクマネージメント(ERM)を体 響を受けることになった。 系化した方法論であり、 フレームワーク篇と、適用技法 ● 企業リスク 32 トーマツ 企業リスク www.deloitte.com/jp/book/er 篇が公表された。 同時に2006年は公益通報者保護法が施行された。同 リスクマネジメントに関するフレームワークや実例 法律は不正行為を告発した従業員等を不当解雇等から保 紹介については、翌年の2005年に経済産業省から「先 護することを目的としている。同時に企業における内部 進企業から学ぶ事業リスクマネジメント」 ( 監査法人 通報制度の導入が促進された。内部通報制度の導入によ トーマツ作成)が公表されており、2004年及び2005 り今まで顕在化しなかったリスクが浮き彫りになるケー 年は日米双方におけるリスクマネジメントに関するフ スが多く発生した。特に会計不正については、2006年以 レームワークが形成された時期でもある。 降に内部告発によって多くの事件が発覚している。 また2006年はライブドアに証券取引法違反の容疑 3. 2005年から2008年 〜個人情報保護法、会社法改正、 で強制捜査が入り、結果として上場廃止となった年でも ある。ライブドアは2005年後半以降、株価上昇に支え 金融庁商品取引法対応等の法規制対応が られて急成長した会社であったが、粉飾決算が判明し摘 中心となった時期〜 発されることとなった。投資事業組合を利用した不正 会計スキームを利用した粉飾決算であり、経営陣自らが 2005年はロンドン、エジプト、バリ等で、大規模な爆 主導した会計不正であったとされる。これにより、経営 破テロが発生した年であった。同時に米国においては大 者不正という内部統制の限界を示したリスクがクロー 型ハリケーンのカトリーナが上陸し、ニューオリンズを ズアップされた。また複雑な会計スキームを利用した 始めとする主要都市に大きな被害をもたらした。 経営者不正という新たなリスクを識別するきっかけと 一方日本においては、個人情報保護法が施行された。個 なった。 人情報の取扱いに関して企業に一定水準の管理責任が求 開示面において2006年は、東京証券取引所を始めと められることになった。金融機関等は情報漏洩時には所 する証券取引所における開示規則が改正され、コーポ 管官庁への報告等も必要となり、情報漏洩リスクに関す レートガバナンスに関連した社内体制、運用施策等を開 る体制構築及び対応がより求められることになった。 示することが必要となった。 2005年は、JR福知山線脱線事故があり、鉄道会社に 2007年に入り有価証券報告書においてもコーポレー おける安全管理、関連する要員教育、経営責任等がク トガバナンスの開示が始まった。また同年は産地偽装や ローズアップされた。また証券会社誤発注事件があり、 賞味期限偽装事件が多発した時期でもある。偽装発覚後 システム入力時におけるリスク、発注取消に関するシス の企業対応の如何によっては、その後の企業イメージの テム処理リスク等に注目が集まった。 回復が大きく影響を受けた。問題発覚時点での説明や再 2006年は改正会社法が施行され、大会社において 発防止策についての説明責任に対して、誠実に対応した は、内部統制システムの基本方針に関する取締役会決議 かどうかにより評価が分かれた。不誠実な対応は様々な が必要となった。 これによって企業は会社法で要求され 憶測を呼んだため、その観点で、風評リスクを企業として る内部統制システムの整備が法律上必要となった。 リス どのように対応すべきかについても注目を集めた。 クマネジメントについても「損失の危険の管理に関する 2007年は、米国においてサブプライムローン問題 規程その他の体制」を整備することが必要となった。具 が表面化し、2008年における投資銀行リーマン・ブラ 体的にはリスク管理部門の設置、リスク管理規程作成 ザースの破綻の契機となった。複雑な金融商品に関する 等について実務上の対応がなされた。 信用リスク管理の脆弱性が問題視された。 2013/07 季刊 ● 企業リスク 33 トーマツ 企業リスク www.deloitte.com/jp/book/er これまでの10年 2008年には、内部統制報告制度が施行され、上場企 リスクも脚光を浴びることとなった。 業は従来の財務諸表監査に加えて内部統制監査を受け 同年には、タイにおける大型洪水が発生し多くの日 ることが必要となった。具体的には財務報告に関する内 本企業が影響を受けた。タイで生産されていた部品等 部統制について、 リスク評価を実施したうえで内部統制 の供給不足を原因とした世界的な規模でのサプライ の文書化及び経営者評価を実施することが必要となっ チェーンリスクが問題となった。 た。US-SOX導入時の米国企業と同様に、多くの日本企 業は財務報告に関するリスク評価、文書化及び経営者 5. 2012年以降 〜新たなリスクへの対応〜 評価に多くの労力を費やした。 2012年に入ると、世界的には欧州財政危機が顕在 4. 2009年から2011年 〜パンデミックリスク、自然災害リスクへの対応〜 化することになった。日本においては近隣諸国との領土 問題に端を発した近隣諸国における暴動事件が問題と なった。日本企業の中国における店舗や工場も暴動に 2009年は民主党政権が発足し、緊縮財政政策が取ら よる被害を受け、営業や生産の一部停止をせざるを得 れる一方で、高等学校無償化等の従来の自民党政権と ない事態が多く発生した。企業にとっては外部リスクで は異なった政策が打ち出された。一方で、新型インフル ある地政学的リスクが顕在化した場合における管理の エンザが猛威を奮い、パンデミック・リスクに関して再 難しさが課題として識別された。 び注目が高まった年でもあった。 また、従来から生じていたリスク顕在化事象である 2010年は口蹄疫問題もあいまって、消費者の食に対す が、米国外国公務員贈賄防止法(FCPA)や、カルテル等 るリスク感度が一層高まった年といえる。一方海外におい の法律違反を原因として多額の罰金を支払う事態が発 ては、メキシコ湾における原油流出事故が注目を集めた。 生し、法令違反リスクの重要性が再認識された。これら 単なる一事故としてではなく、被害地域の生態系、地域住 法律は従来から施行されていたものである。 コンプライ 民の生活にまで大きく影響を与えるリスクが識別された。 アンスに関するグローバル化は進展する一方であり、日 企業にとっても、リスク管理の重要性を再認識すると共 本企業のグローバル化が進展は、同時に現地法令遵守 に、リスク対応の前提となるリスクシナリオをどの程度 リスクを高めることが認識された。 まで広範囲に検討すべきか、について課題を識別した。 2013年はいまだ半年しか過ぎていないが、世界的 2011年に入ると、東日本大震災が発生し、多くの人 にはアルジェリア人質事件、ボストンマラソンテロ事件 命が失われると共に、多くの日本企業が影響を受けた。 が発生しており、 イスラム教過激派による世界的なテロ 被災地域で生産されていた部品や原材料の供給不足を が日本企業の経済活動に直接影響を与える場面が多く 原因とした製品等の供給不足が全国的に注目された。 なってきている。 大規模地震等が発生した場合において、業務を如何に継 続するかといった業務継続リスクに関して課題が認識 された。東日本大震災を契機に、業務継続計画(BCP)の 6. 日本企業における今後10年間 のリスクマネジメント 再検討を多くの企業が実施した。また原材料等の調達が 2013/07 季刊 不十分となるといったリスクが、自社製品の供給能力に 前章で振り返ったとおり、2002年の米国における企 どのように影響を与えるのかといった、サプライチェーン 業改革法の成立から2008年まで、日本で相次いで内部 ● 企業リスク 34 トーマツ 企業リスク www.deloitte.com/jp/book/er 統制、ガバナンスに関連する法規制が強化された。企業 以上、リスク管理すべき領域について、地域的な広が にとっては、財務報告に関連するリスク管理に最も注力 り、ビジネス領域の広がりを受けて、より広範囲に新た した時期であったといえる。 なリスクを識別して対応する必要が生じているが、ビジ 2008年から2012年までは、リーマンショックによ ネスの進展スピードに合わせて、実態に即して迅速にリ る景気後退期から立ち直るための企業努力が多くな スク識別及び対応をしていく必要が高まると思われる。 されたが、リスクマネジメントの観点からは、主に自然 災害に対応するためのリスク管理が注目された時期で 6-2 法令遵守リスクのグローバル化への対応 あったと理解できる。 2012年後半の政権交代を受けて、日本経済の景気回 2点目は、コンプライアンスに関するグローバル化の 復が期待されている。ビジネス成長を支えるリスク管理 流れを受けて、法令遵守リスクを全世界的に管理してい に注力をする一方で、テロリスクといった新たなリスク かなければいけないという点である。金融機関において に対しても対応しなければいけない。 またコンプライアン は、Basel規制といったグローバル規模の規制に従来か スに関するグローバル化の流れを受けて、外国公務員贈 ら対応する必要があった。一般事業会社においても、前 賄防止法(FCPA)等や、カルテル等の海外法規制に対す 述したFCPAやカルテル等の不正関連の法律に対応する る法令遵守リスクも高まっている。 必要が生じてきている。 また業界ルールも全世界で共通化 今後10年間におけるリスクマネジメントについて (グローバル化)される流れであり、法令遵守リスクにつ の、特徴点は以下の3点に集約できると考える。 いては、グローバルで対応する必要が生じてきている。 6-1 新たなリスクへの対応 6-3 評判リスクに関するリスク識別及び 対応の一層の迅速化 まずは、グローバル化の一層の進展により新たなリ スクを如何に迅速に捕捉して対応するかが重要になっ 3点目は、ウエブサイトやソーシャルメディアを始め てくると思われる。 これは、日本企業の海外進出が、欧米 として、情報伝播スピード、リスク伝播スピードは従来 とアジア諸国における生産販売拠点の確立から、BRICs と比べ物にならない早さになってきている。その点でリ を中心とした新興諸国への進出に力点が移動している スク識別とリスク対応をより迅速に対応しなければな こと、また同時に進出形態が単に生産販売拠点だけで らない。近年は特に情報漏洩や、製品に関する評判リス なく、進出先の内需依存型の海外進出となっていること クを、全世界的に管理する必要が生じている。 が第一の理由である。BRICs等の新興諸国の地政学リス 特に多くの日本企業にとっては、提供する製品、サー クや、業務遂行上のリスクを現地から如何に吸い上げ ビスについて今後は機能的な差別化が難しくなると考 て対応するかの必要性が増している。前述したテロリス えられる。一方で製品デザインやブランドの重要性は増 クといった新たなリスクを迅速に識別して対応する必 す一方である。知的財産権の管理を徹底すると共に、 ブ 要も生じている。 ランド価値を毀損しないために、評判リスク管理をより また、日本企業の成熟度が高まる中で事業多角化が進展 重視する必要性が高まっていくと考えられる。その観点 する一方、コアビジネス以外のノンコアビジネスについて からも、リスク識別及び対応のより一層の迅速化が必 のリスク管理が死角となりやすいので注意が必要である。 要になってくると思われる。 Ò 2013/07 季刊 ● 企業リスク 35