【連載】内部統制からERMへ
第1回 内部統制対応を起点としたERMの導入
シニアコンサルタント 藤本 健
2009年5月14日(木曜日)
企業を取り巻くリスク環境は、多様化・複雑化により影響の深刻度を増しています。不祥事の多発、大規模な地震災害、環境問題、サブプライムローン等々、企業の持続的発展を揺るがすものばかりです。一方で、利益成長のためにこれまで以上にリスクと高度に付き合うことが求められています。経営者は、これらの経営リスクを可視化し、ERM(*1)に取り組むことで、経営への影響を最適化できるだけでなく、経営の透明性を高めることでステークホルダーへの説明責任を果たすことに繋がります。これから3回にわたり、企業の持続的発展に向けた経営管理基盤としてのERMについて、現在上場企業が取り組んでいる内部統制との関係や導入に向けた対応ポイントを紹介していきます。
第1回目は、内部統制の対応を起点としたERMの取り組みの考え方について紹介します。
現在、上場企業各社は日本版SOX法(*2)の初年度の仕上げとして、内部統制報告書の作成に入っています。この取り組みの目的を改めて振り返ると、“経営者が自社の財務報告の信頼性について合理的な保証を得る”ことでした。合理的な保証を得るために、各企業は以下の4つの対応をプロセスとして構築し、実行してきました。
- 合理的な保証を得る為の範囲をリスクアプローチで決定(評価範囲の決定)
- 業務プロセス上のリスクとコントロールを抽出(文書化)
- 残存リスク(既存コントロール)を評価(有効性評価)
- 許容範囲を超える残存リスクの改善(不備改善)
2年目以降もこのプロセスの継続的運用が求められます。
内部統制は、これまでも企業活動の中に当然組み込まれているものであり、内部監査部門によるチェックも行われていました。しかしながら、これら従来の取り組みは、財務報告リスクの概念(定義)やどの程度が重要なリスク(欠陥)となるかの評価尺度が全社的に共有されておらず、言葉を変えると、リスク定義や評価尺度が、“暗黙知”のままで、財務報告の信頼性に合理的保証を与えるには十分な取り組みではありませんでした。
つまり、今回の日本版SOX法のポイントは、上述の暗黙知を形式知化して、全社に浸透させることにあったと言えます。この形式知化に必要な基盤となったのが、以下の3項目でした。
- 継続的なプロセス(PDCA)の確立
- 経営者の関与と責任の明確化
- リスク定義と評価尺度の共有
これら3つの基盤は、有効なERMの導入においても鍵となってきます。
注釈
*1 ERM : Enterprise Risk Management(全社的リスクマネジメント)
企業活動全般に関する様々な不確実性(リスク)を管理するために企業内の全ての構成員により実施されるプロセス
*2 日本版SOX法 : 金融商品取引法における内部統制報告制度
関連サービス
富士通総研の内部統制・リスク管理コンサルティングでは、企業の社会的責任の履行とリスクマネジメントによる経営基盤強化を支援します。