メインメニューをとばして、このページの本文エリアへ

news letter
RSS

リスク管理、コンプライアンス体制で「ERMフレームワーク」活用とは

八木 浩史

ERMフレームワークの活用を通じたコンプライアンス体制構築等

拡大八木 浩史(やぎ・ひろし)
 2004年、東京大学法学部卒。2006年、慶應義塾大学法科大学院 (J.D.)修了。2007年、東京弁護士会登録。2016年、Jenner & Block 法律事務所 (ニューヨーク)勤務。2017年、同法律事務所 (シカゴ)勤務。2017年~2018年丸紅株式会社コンプライアンス統括部出向。2018年~2019年丸紅株式会社法務部出向。2021年1月、西村あさひ法律事務所パートナー就任。

1 はじめに

 効果的なコンプライアンス体制(注1)構築は企業における重大な経営課題の一つであり、その主な目的は、①不祥事(注2)を予防し、②早期に不祥事を発見し、③発見した不祥事について適切な対処をすること(調査、再発防止の実施等)である(注3)

 コンプライアンス体制構築のための具体的な対応としては、①社内規程等のルールの作成、②当該ルールの役職員への周知、③コンプライアンス責任者の設置、④職制を通じた報告や内部通報等による不正の把握、⑤コンプライアンス部門や内部監査部によるモニタリング、⑥不正を把握した場合の調査実施及び調査結果を踏まえたコンプライアンス体制の見直し等が一般的であろう(注4)。しかしながら、上記の各対応を具体的にどのように、どこまですべきかについては各企業において工夫することが求められている。

 事業推進を過度に優先させたコンプライアンス体制を構築すれば、企業不祥事が発生した場合、コンプライアンス体制の不十分さ(さらには内部統制システムの不備)の責任が問われ得る。他方、不祥事の防止に過度に偏ったコンプライアンス体制を構築すれば、効率的な企業活動が阻害される。また、不祥事を早期に発見するためにルールやモニタリングを強化しようとしても、人的資源の不足からその実施が難しいこともある。さらに、ルールやモニタリングを強化しすぎると、「コンプライアンス疲れ」が生じ、コンプライアンスが従業員に浸透しにくくなるという皮肉な状況も生じ得る。

 以上は極端な例かもしれないが、各企業は大なり小なり、コンプライアンス体制構築のために、何を、どこまですべきか等の課題を抱えている。かかる課題に対する一つの解として、従前来、「リスクベース・アプローチ」が説かれている(注5)。もっとも、リスクベース・アプローチが有効に機能するには、コンプライアンスに係るリスクを的確に特定し、評価していることが前提となる(注6)。しかし、かかるリスクの特定や評価を的確に行うことは必ずしも容易ではない。コンプライアンスに係るリスクの特定や評価が不十分であれば、当該リスクへの対応も不十分となり、結果として、効果的なコンプライアンス体制が構築されていないとされるおそれがある。そのため、リスクベース・アプローチによろうとしても、各企業はリスクベース・アプローチの具体的な方法を工夫することが求められることになる。

 本稿は、リスクベース・アプローチの具体的な方法として、企業において別途実践されている(注7)リスクマネジメント(Enterprise Risk Management)のフレームワーク(以下「ERMフレームワーク」という。)を活用する方法を検討したい。

2 ERMフレームワーク

 ERMフレームワークについては、トレッドウェイ委員会支援組織委員会(Committee of Sponsoring Organization of the Treadway Commission。以下「COSO」という。)がいくつかの報告書等を公表している。

 すなわち、COSOは、2004年に「全社的リスクマネジメント-統合的フレームワーク(Enterprise Risk Management-Integrated Framework)」を公表している。さらに、COSOは2017年にその改訂版として、「全社的リスクマネジメント-戦略およびパフォーマンスとの統合(Enterprise Risk Management-Integrating with Strategy and Performance)」を公表している。なお、COSOは内部統制に関するフレームワークとして、内部統制の統合的フレームワーク(Internal Control-Integrated Framework)を1992年に公表(2013年に改訂)している(注8)

 ERMフレームワークはリスク全般の管理方法として広く活用されている。そのため、かかるERMフレームワークを活用してコンプライアンスに係るリスクを特定、評価等していれば、リスクベース・アプローチが有効に機能していることも説明しやすい。

3 ERMフレームワークの具体的な実践例

 ERMフレームワークのうち、リスクの特定・評価に関するフレームワークを筆者なりに要約すると、①リスクの特定、②特定したリスクの評価(固有リスクの評価=リスクの深刻度と発生可能性の総合考慮によって判定)、③当該リスクにつき、既存のコンプライアンス体制により低減される効果の評価(残余リスクの評価=コンプライアンスリスクの関係でいえば、当該リスク防止・低減のための社内規程類や組織体制の整備、社内教育や内部監査の実施等により低減後のリスクの程度を判定)、④残余リスクへの対応、となる(注9)(注10)。以下、コンプライアンスに係るリスクについて、ERMフレームワークを活用したリスクベース・アプローチの実践例を検討したい。

(1) リスクの特定(事業ごとのビジネススキーム図作成)

 ERMフレームワークの活用に関しては、2019年1月31日に公布・施行された「企業内容等の開示に関する内閣府令の一部を改正する内閣府令」により、有価証券報告書における「事業等のリスク」の開示が強化されたこと等を契機に、各社の抱えるリスク、当該リスクの所管部署、当該リスクの評価等を一覧化したリスクマップを利用する方法が改めて紹介されている(注11)。もっとも、紹介されているリスクマップは全社のリスクを集約したものであり、この前段階の作業として、事業ごとにリスクの特定・評価を行う必要がある。

 ここで、事業ごとに、取引先、顧客、関係当局等の主な当事者の相関関係を図式化したものをまずは作成することを推奨したい(このような図式化したものを、以下「スキーム図」という。)。

拡大

 上記は、事業部門が展開しているX事業における当事者の相関関係を図式化したものである。スキーム図の作成目的は、当該事業における主な当事者の相関関係やその役割等を可視化することで、事業の全体像を俯瞰し、リスクの発生箇所を把握しやすくすること等である。スキーム図はあくまでリスクの特定等のためのツールに過ぎない。重大なリスクを見落とさないために必要な情報をスキーム図に盛り込むべきであるが、事業環境、事業内容等は絶えず変化するのであるから、時間をかけて些末な情報まで盛り込んだ精巧なスキーム図を作成する必要はない。

 事業の全体像を俯瞰し、リスクの発生箇所を把握しやすくする観点から、スキーム図は、一つ一つの取引ごとに作成せず、X事業で取り扱っている取引を集約する形で図式化した方がよい。例えば、X事業の多くの取引では協業先とJVを組成した上で発注元から受注しているが、中には単独で発注元から受注しているものもあるのであれば、スキーム図としてはJVを組成したものを描き、単独受注していることもある旨注記しておくようにする。このように関係する当事者をスキーム図に盛り込んでいく。重大なリスクを見落とさないようにするため、事業全体における金額的なインパクトが小さい、登場回数が少ない等として、そのような当事者をスキーム図の記載から一律に除外しないように注意する必要がある(注12)。そのような当事者であっても、リスクが顕在化すると企業全体に与えるインパクトが大きい場合があり得るためである(注13)

 また、各当事者間の関係(JV契約、請負契約、業務委託契約等といった契約関係、人材派遣、部品納入、出資、費用支払等といったヒト・モノ・カネの動き、許認可申請やその代行、関係者間の折衝等といったその他事業に必要な活動)、当事者の主な属性(民間企業か公的機関か等)等といった定性的な情報や、X事業における発注元は何社あって、うち何社が国営企業である、案件の実施国は何カ国あり、Corruption Perceptions Index(CPI)(注14)の数値が低い国が何カ国含まれている等といった当事者や取引内容等に関する定量的な情報を整理し、スキーム図に盛り込んでいく。

 この点、スキーム図の作成主体であるが、X事業を熟知している当該事業部門の部長や課長等といった管理職が中心になって一次的に作成し、コンプライアンス部門(コンプライアンス体制構築の責任を担う部門のことをいう。以下同じ)が過不足の有無等を確認しながら完成させていくのが効率的と考えられる。

 X事業を担当している事業部門の部長や課長といった管理職は、X事業の詳細を把握し、当該事業が抱えるリスクの発現を防止すべき立場にある(注15)。そのため、当該管理職は、自らが把握するX事業に係る情報を整理し、スキーム図を作成することになるが、かかる作業を通じて、それまで明確に認識していなかった重要な情報に気が付ける、部下の業務状況を視覚的にも確認(再確認)できる等といった副次的な効果も期待できる。

 コンプライアンス部門は、スキーム図の作成を通じてX事業におけるリスクの特定を行うことが求められる。コンプライアンス部門はリスクの発生箇所となり得る当事者、契約関係、ヒト・モノ・カネの流れ等が十分に盛り込まれているか等といった観点から、事業部門が作成したスキーム図を確認し、不足があれば追加の事実確認をした上で、スキーム図を修正する必要がある。例えば、コンプライアンス部門は、カルテルリスクを想定して、X事業における協業先や下請先に競合他社が含まれているのではないか、あるいは贈賄リスクを想定し、X事業において公務員と接触する可能性がある当事者が他にもいるのではないか、接触する場面は他にもあるのではないか、といった観点から事業部門の管理職に確認し、不足している情報があれば、その情報をスキーム図に盛り込む修正をする必要がある。以上のような確認作業を通じて、X事業におけるリスクが特定されるとともに、次のステップである固有リスクの評価に必要な情報が整理される。

(2) 固有リスクの評価

 スキーム図が完成した後は、コンプライアンス部門において、特定したリスクが顕在化する可能性の高低と顕在化した場合の影響の大小を検討し、当該リスクを評価することになる。

 かかる評価にあたっては、スキーム図で整理した情報に基づいてなぜ顕在化する可能性が高い(低い)といえるのか、あるいは法執行等がなされた場合のインパクト(罰金額、指名停止等に伴う逸失利益等)に照らし、なぜ影響が大きい(小さい)といえるのか、できるだけ定量的な評価や具体的な事実に基づいて客観的に行うことが望ましい。例えば、X事業における贈賄リスクについて、スキーム図で整理した情報に基づくと発注元の大半が民間企業であり、取引実施国のCPIがいずれも高く(汚職が少なく)、しかも公務員と接触する機会も殆どない等であれば、贈賄リスクが顕在化する可能性は低い等といった評価がしやすい。

 また、リスクが顕在化した場合の影響の大小は、企業全体に与えるものとしてどうか、といった観点から評価されるべきである。そのため、例えば、仮に適用される業法上の規制違反に係る罰金額が僅少であったとしても、企業の事業継続に必要な許認可の取消事由になっているのであれば、かかる許認可の取消可能性の大小も踏まえて検討しないと、企業全体に与える影響の真の大きさは分からない。また、業法違反が別の事業における契約解除事由等となっている場合には、業法違反に対する罰金額が僅少であったとしても、企業全体に与える影響は大きいと評価せざるを得ない場合もあり得る。例えば、反贈収賄法違反や競争法違反等は重大な法令違反として認識されており、かかる重大な法令違反があると、関係当局への多額の罰金・課徴金の支払のほか、入札の指名停止等の直接的な営業上の不利益等(注16)もあるなど、企業全体に与える影響は大きいと評価されることが一般的であろう。

(3) 残余リスクの評価

 以上の固有リスクの評価が終わると、コンプライアンス部門は当該固有リスクが既存の社内管理体制によってどれだけ低減できているかを評価することになるが、固有リスクの評価同様、スキーム図で整理した情報を前提に、リスクの発生箇所に対し、既存のコンプライアンス体制がどのような措置をとっているか、その措置が固有リスクをどの程度低減させているか等について、できるだけ定量的な評価や具体的な事実に基づいて客観的に行うことが望ましい。

 例えば、X事業におけるカルテルリスクの固有リスク評価において、協業先や下請先に競合他社が含まれ、競合他社でもある協業先や下請先の候補者と面談する際にカルテルリスクが顕在化する可能性が高い(あるいは中程度)としていた場合、既存のコンプライアンス体制として、従業員に対し協業先や下請先の候補者を含む競合他社との面談に係る事前届出及び事後報告を行うことを求める社内規則があり、カルテルに関する全従業員向け研修を年に1回以上の頻度で実施しており、内部監査等で当該社内規則の履行状況を定期的に確認し、その内部監査等の結果、上記社内規則が十分に遵守されており、かつ不適切な競合他社との面談の事実は確認されていないことから、顕在化する可能性は中程度(あるいは低い)まで低減できているなどと評価しうる。

 残余リスクの評価にあたっては、リスク発生箇所に対しどの社内規則等がどのような措置をしているのかを当てはめて検討することになる。かかる検討の過程で、複数の社内規則が別々の手続によって、リスクの顕在化を低減するための措置を取っていることに気づける場合もあると思われる。他の事業におけるリスクへの影響も確認する必要はあるが、もし過剰な手続を課している状況にあるのであれば、いずれかの手続を廃止・省略化することで従業員の負担を軽減できる。

(4) 残余リスクへの対応

 以上の検討を経て残余リスクを把握できる。固有リスクが大きくても、企業として許容できる程度まで残余リスクを低減できていれば、コンプライアンス部門は、当該残余リスクについては更なる対応は不要と判断できる。他方、企業として許容できる程度まで低減できていない残余リスクについては、コンプライアンス部門においてかかる残余リスクを低減させるための具体的な方法を検討することになる。

 例えば、X事業におけるカルテルリスクが、(例えば、X事業のビジネス環境では、カルテルが生じやすいといった事情があったため)上記(3)の既存のコンプライアンス体制によっても顕在化する可能性は中程度はあり、カルテルリスクが顕在化すると企業への影響は甚大なので、残余リスクは未だに大きいと評価したとする。コンプライアンス部門は、例えば、①競合他社となりうる企業については協業先や下請先として選定できないこととする、②外部と連絡する際のメールの同報や会議の同席者にコンプライアンス部門又は弁護士を含めることとし、モニタリングを強化する、③外部との会議には必ず複数の従業員が出席することとし、内部牽制機能を強化する、④競合他社となりうる企業を協業先や下請先にする可能性がある場合は、それらの企業とのコミュニケーションのすべてを証拠化のうえ上長の確認を得ることとし、内部牽制機能を強化する等といった対応のいずれか又は複数を行うことで、企業として許容できる程度まで残余リスクを低減できるかを検討することになる(注17)。残余リスクを低減するための追加措置をとることで事業Xに係るコンプライアンス体制が再構築されたことになる。

(5) 小括

 以上は特定の事業に係るリスクベース・アプローチの具体的な実践の一例である。複数の事業を有する企業はそれらの複数の事業についても上記のリスクの特定、評価及び対応を行うことが必要である(注18)

 効果的なコンプライアンス体制を整備するために、このようなスキーム図をどれだけ必要とするかは、企業の規模、組織構成、事業環境、事業内容の多様さ等により異なり、絶対的な正解はない。もっとも、主力事業(不祥事が生じると企業の業績に多大な影響を及ぼすため)、関係当事者が多数いる事業(リスクの見落としがある可能性が比較的高いため)、新規事業(認識できていないリスクがある可能性が比較的高いため)、固有リスクが大きいと評価されたリスクを幾つも抱える事業(事業環境等の変化によりリスクが顕在化してしまう可能性が比較的高いため)等についてはスキーム図を作成し、丁寧にリスクの特定、評価等をした方がよいのではないだろうか。

 また、事業環境等の変化により残余リスクの大小は変動する。そのため、スキーム図を作成し、リスク評価等を行った後も、絶えず見直していくことが必要であることにも留意しなければならない。

4 ERMフレームワークの他場面での活用

 上記3では、効果的なコンプライアンス体制構築のためのリスクベース・アプローチの具体的な方法としてERMフレームワークの実践例を述べた。ERMフレームワークは、内部監査、買収等の際のコンプライアンス・デュー・ディリジェンスやその後のPost Merger Integration(PMI)、不祥事発生後の危機管理等の場面においても活用できる。

 スキーム図の作成目的の一つは事業内容の可視化である。可視化ができていれば、当該事業に直接携わっていない者であっても、どこにリスクがありそうか、どこを確認すれば当該事業のリスクの大小を判断できるか等の確認ポイントを比較的容易に把握することが期待できる。また、ERMフレームワークを活用したリスクの特定、評価を行っておけば、固有リスクに対して既存のコンプライアンス体制がどのようにリスク低減の措置をとっているのか等も容易に把握できることが期待できる。

 内部監査を実施するにあたり、例えば、スキーム図やリスクの特定、評価の検討結果を踏まえて、監査の優先順位等を決定することができる。また、実際の監査にあたっては、残余リスクの大きいものを中心に、残余リスクを低減するための措置が十分に機能しているか、従前のリスクの特定、評価において不十分な点はないか、アップデートが未了となっている点はないか等を中心に監査することで、メリハリのある、より効果的な監査の実施ができる。

 コンプライアンス・デュー・ディリジェンスにおいても、例えば、買収側はERMフレームワークを活用したリスクの特定、評価を行うために必要な情報を被買収側に質問等し、その回答結果を踏まえてリスクの大小を判断することができる。その際、買収側の担当者において看過できないリスクがあると思われる場合には、許容できるレベルのリスクといえるか等を検討するため、追加の情報提供や、リスク低減のための既存のコンプライアンス体制に基づく他の措置等についての追加質問を行うことになる(被買収側も平時より、リスクの特定、評価を効果的に行っていれば、買収側に対して、リスクを的確に低減できていることを説得的に、速やかに伝えることができる)。また、買収側がERMフレームワークを活用したコンプライアンス・デュー・ディリジェンスを行うことは、買収後、コンプライアンス体制に関するPMIを迅速、効果的に実施するために有益であると考えられる。かかるデュー・ディリジェンスを通じて、リスクの発生箇所、その大小、当該リスクを低減するための既存のコンプライアンス体制の内容等をある程度把握しておくことで、買収後の追加確認時間を短縮でき、比較的スムーズなPMIを実現することが期待できるからである。

 不祥事が発生した際の危機管理対応においても、例えば、不祥事を防止できなかった原因、早期に発見できなかった原因等を分析・検討するにあたり、スキーム図やリスクの特定、評価の検討結果を確認することで、リスクの特定ができていなかったのか、評価を誤っていたのか等を容易に把握することができ、より効果的な再発防止策を策定することが期待できる。

5 さいごに

 以上のとおり、企業はERMフレームワークの実践を通じて、事業内容、事業に内在するリスクの発生箇所、リスクの程度、リスクを低減するためのコンプライアンス体制の内容等を可視化、透明化することができる。そして、ERMフレームワークは、コンプライアンス体制構築の場面、さらには内部監査、コンプライアンス・デュー・ディリジェンス、危機管理対応等の場面でも活用できる。

 コンプライアンス体制構築の場面においてERMフレームワークを実践することのメリットとしては、例えば、①事業部門において、自らが担当している事業内容等に対する認識を深めることができること、②コンプライアンス部門において、リスクの発生箇所、既存のコンプライアンス体制の内容等に対する認識を深めることができること、③監査部門において、よりメリハリのつけた内部監査等が実施できること、④複数の目でリスクの特定、評価を検討することから、リスクの見落とし等を防げること、⑤リスク低減効果が薄い社内手続等の統廃合など、コンプライアンス体制の効率化を図れること、⑥効果的なコンプライアンス体制を整備していることを対外的にも説明しやすくなること等が挙げられる。

 もとよりERMフレームワークを一度実践すれば、ただちに完璧なコンプライアンス体制が構築されるわけではない。そのため、ERMフレームワークの実践は、継続的になされる必要があり、工数がかかるものである。しかしながら、ERMフレームワークは、体系的となっており、具体的に何をすべきかが比較的明確に示されている上、ERMフレームワークの実践には上記のような様々なメリットもある。ERMフレームワークの活用を通じたコンプライアンス体制構築は、コンプライアンスに係るリスクについての有力なリスク管理方法の一つであろう。

 ▽注1:本稿においてコンプライア

・・・ログインして読む
(残り:約3442文字/本文:約12511文字)

全ジャンルパックなら本の記事が読み放題。


筆者

八木 浩史

八木 浩史(やぎ・ひろし) 

 2004年、東京大学法学部卒。2006年、慶應義塾大学法科大学院 (J.D.)修了。2007年、東京弁護士会登録。2016年、Jenner & Block 法律事務所 (ニューヨーク)勤務。2017年、同法律事務所 (シカゴ)勤務。2017年~2018年丸紅株式会社コンプライアンス統括部出向。2018年~2019年丸紅株式会社法務部出向。2021年1月、西村あさひ法律事務所パートナー就任。
 主な書籍・論文に、『役員・従業員の不祥事対応の実務~社外対応・再発防止編~』(共編著、2019年)、「【役職員の不祥事対応】取締当局に対する対応」(Website「Lexis AS ONE」、2015年)、『実例解説 企業不祥事対応 - これだけは知っておきたい法律実務(第2版)』(共編著、2014年)、『インサイダー取引規制の実務[第2版]』(共編著、2014年)などがある。

※プロフィールは原則として、論座に最後に執筆した当時のものです

八木 浩史の記事

もっと見る