ＣＺＴのホームページ－コーポレートガバナンス・コード私見　補充原則４

２０２１年の改訂されたコードからまず見ていき、改訂前のコードについての説明は、その下に続けます。

【補充原則４－３④】

内部統制や先を見越した全社的リスク管理体制の整備は、適切なコンプライアンスの確保とリスクテイクの裏付けとなり得るものであり、取締役会は、グループ全体を含めたこれらの体制を適切に構築し、内部監査部門を活用しつつ、その運用状況を監督すべきである。

参考として、比較のために改訂前の原則を下に示しておきます。

【補充原則４－３④】

~~コンプライアンスや財務報告に係る~~内部統制や先を見越した全社的リスクス管理体制の整備は、適切なコンプライアンスの確保とリスクテイクの裏付けとなり得るものであるがり、取締役会は、グループ全体を含めたこれらの体制をの適切にな構築しや、内部監査部門を活用しつつ、その運用状況を~~が有効に行われているかの~~監督~~に重点を置く~~すべきである。~~り、個別の業務執行に係るコンプライアンスの審査に終始すべきではない。~~

〔改訂の背景〕

改訂前のこの補充原則は原則４－３．の取締役会の責務として（ⅱ）「適時かつ正確な情報開示が行なわれるよう監督を行なうとともに、内部統制やリスク管理体制を適切に整備」することを具現化する内容となっています。経営陣や取締役に対す実効性の高い監督を行なうためには、リスク管理体制や内部統制システムを適切に整備することが不可欠の前提となります。また、会社の業績等の評価を適切に行なう前提として、財務情報を含めた情報開示の信頼性の確保は必須です。こうした内部統制やリスク管理体制について、この補充原則で具現化していると言えます。原則４－３は会社の意思決定の透明性・公正性を担保しつつこれを前提とした会社の迅速・果断な意思決定を促すことを通じて、いわゆる「攻めのガバナンス」の実現を目指すものです。他方で「守りのガバナンス」についても、「攻めのガバナンス」を実現し、企業の持続的成長と中長期的な企業価値の向上を実現するうえで不可欠であり、この補充原則４－３④は、その「守りのガバナンス」を担っている。特に、今回の改訂では、いわゆる三様監査（内部監査、監査役等監査、外部監査）のうち内部監査部門については、ＣＥＯ等のみの指揮下となっているケースが大半を占め、経営幹部による不正事案等が発生した場合に独立した機能が十分に発揮されていないとフォローアップ会議で指摘され、内部監査部門が一定の独立性をもって有効に機能するよう、取締役会や監査役会等に対して直接報告が行われる仕組みの確立を促すことの重要性を検討するよう意見が出されました。そこで、補充原則４－３④が改訂され、取締役会に対して、グループ全体を含めて内部統制と全社的リスク管理体制を適切に構築し、内部監査部門を活用しつつ、その運用状況の獲得を求めることとしました。

　【補充原則４－３．④】
コンプライアンスや財務報告に係る内部統制や先を見越したリスク管理体制の整備は、適切なリスクテイクの裏づけとなり得るものであるが、取締役会は、これらの体制の適切な構築や、その運用が有効に行われているか否かの監督に重点を置くべきであり、個別の業務執行に係るコンプライアンスの審査に終始すべきではない。

〔形式的説明〕

この補充原則は原則４－３．の取締役会の責務として（ⅱ）「適時かつ正確な情報開示が行なわれるよう監督を行なうとともに、内部統制やリスク管理体制を適切に整備」することを具現化する内容となっています。経営陣や取締役に対す実効性の高い監督を行なうためには、リスク管理体制や内部統制システムを適切に整備することが不可欠の前提となります。また、会社の業績等の評価を適切に行なう前提として、財務情報を含めた情報開示の信頼性の確保は必須です。こうした内部統制やリスク管理体制について、この補充原則で具現化していると言えます。ここでは、取締役会に期待される実効性の高い監督とは、個別の業務執行に係るコンプライアンスの審査を仔細に行なうことではなく、統制や管理体制を適切に整備し、その運用状況の有効性を評価することにより実現されるものであるという考え方であると言えます。

つまり、この補充原則に対しては、リスク管理や内部統制の体制が整っていること、そしてその運営が有効に行なわれていることを取締役会がチェックしていることが求められてているので、そうであれば、コンプライと評価できるということになると考えられます。

〔実務上の対策と個人的見解〕

そもそも取締役会によるリスクマネジメントについて、業務執行取締役の職務執行を監督することを中心に、どうすべきかを考えてみたいと思います。

取締役会は経営方針や事業計画を決めて、会社の戦略的な方向性を示し、内部統制システムの基本設計を決め、その方針に従って運用されているか監督し、さらに業務執行取締役の職務執行を監督します。以下で、取締役会が実効的なマネジメントの推進に取り組んでいくべきか考えてみたいと思います。

①経営の舵取りのためのリスクマネジメント

１）経営方針の決定とリスクマネジメント

取締役会は中長期の経営計画や単年度の事業計画を決めるなどにより、会社の戦略的な方向性を示します（原則４－１）。このように経営の舵取りをすることは、リスクマネジメントと表裏一体の関係にあります。経営戦略や事業計画を推進する上で、それらの目標達成の障害となる事象が様々に発生しますが、それらの可能性を幅広くリスクと捉え、対処することがリスクマネジメントです。取締役会で経営計画などについて審議する際に、「その計画の目的達成を阻害するようなリスクは何か。それらのリスクにどのように対処すべきか」を検討し、検証することが重要です。ここで、実際に期待されるのは社外取締役からの建設的な質問や問題提起です。つまり、社外取締役は経営陣からの事業計画などの提案に対して、その計画を実現する上でどのようなリスクがあるか認識し、対処案を検討しているのかを問いただす役割を担います。経営陣から合理的な説明が得られなければ、リスクマネジメントの観点での検証が不十分な計画ということになり、再検討を促す。このような段階的な審議を経ることで、経営計画の内容が実質化していくのです。

２）経営課題を取り上げて審議すべきこと

特に重要な個別の経営課題を取り上げ対処方針を検討することはリスクマネジメントの観点で必須です。

実務上の対処としては、各事業部門が直面している経営課題を集約し、とくに重要な課題について取締役会で対処方針を審議するといった取り組みが求められ。たとえば、リスク管理委員会や内部統制委員会を設置する取り組みなども見られます。

②重要な意思決定のためのリスクマネジメント

１）取締役会で決議することの意味合い

個別案件の決定は業務執行取締役に権限委譲することができますが、戦略上の重要性や財務に与える影響などの観点で、取締役会で決議すべき特に重要な案件はあります。このような、特に重要な業務執行案件について、取締役会が決議するということは、取締役会がリスクオーナーとなることを意味します。決定者としての責任を果たすということです。この場合、業務執行取締役は取締役会の決議に従って、その案件を実行しているに過ぎないのです。

２）プロジェクト管理

取締役会がリスクオーナーとしての職責を果たすために、決定の際のリスク分析だけでなく、進行管理リスク管理があります。

取締役会は自ら決定した案件について、当初の方針検討から終りのレビューに至るまで、リスクオーナーとしての進行管理をすべきです。つまり、案件がはじまると、当初の想定通りに進捗しているか、新たに認識しえたリスクがないかなど、進行管理を行う。必要に応じて計画の変更を決定する。そして、案件終了時には、終了報告を行い、意思決定のためのリスクマネジメントと継続的なリスクマネジメントが充分であった自己検証する。

③内部統制システム構築義務の監督

１）内部統制システム

取締役会の決定に従い、経営計画の実現に向けた日々の業務執行を行うのは業務執行取締役です。取締役会はこうした経営陣に業務執行を委ねつつ、業務執行取締役が適正にその業務の執行をするように監督しなければなりません。そのための手段の一つが内部統制システムです。

取締役会は内部統制システムの基本方針の決定と実際の構築・運用状況の監督です。

２）内部統制システムの基本方針の決定

基本方針は、業務執行取締役が具体的にどのような内部統制システムを構築すべきであるのかについて、明瞭な指針を示すものでなければなりません。これはさまり、内部統制システムで構築すべき機能や実現すべき目標を明確にするということです。要件定義をするということです。

内部統制システムは、意思決定のためのリスクマネジメントを実効的に行い、通常想定されるリスクを特別に予見すべきリスクを管理するために整備するものであり、企業実務における具体的な必要性に応えるためのものでなければなりません。そこで、実装すべき機能に漏れと重複がないよう、かつ達成すべき目標が明確となるような形で、基本方針を示す必要があります。

３）内部統制システムの構築・運用状況の監督

取締役会は、業務執行取締役が内部統制システムをどのように構築・運用しているかを注視し、実際の構築。運用状況が基本方針の実現のために実効的な取り組みとなっているかを評価し、必要があれば改善の指示をします。それが内部統制システムの構築を監督するということです。

事務上の対応としては、四半期に一度や半期に一度、内部統制システムの構築・運用状況について取締役会に報告させる。基本方針の中で実装すべき機能がはっきり定められていれば、その目的達成のために十分な取り組みがなされているか実効性を評価できます。例えば、「経営環境の変化に機敏に対応するためのリスクマネジメント体制を構築する」という方針が定められているのであれば、業務執行取締役は取締役会に対し、どのようにして新たに生じた経営課題の把握に努めているか、当該四半期にどのような重要課題を認識したのか、それぞれに対しどのように対処したのかなどを報告します。

この報告に対して、とくに社外取締役が中心となって、建設的な質問や問題提起をすることが求められます。例えば、「経営陣は、内部統制の目的を達成するための組織構造、情報の収集・報告体制、意思決定の権限と責任の体系を構築する」という方針を定めているのであれば、実効的な統制環境が整備されているかを検証するひつようがあります。内部通報は何件来ているのか、どのような通報が多いのか、内部通報の件数が少ない原因をどのように見ているのか、会社のリスク情報はどこに集積するのか、集約されたリスク情報はどの部門で共有されているか、などが切り口となるでしょう。

④業務執行取締役の職務執行の監督

１）取締役の監視義務

取締役会が取締役の職務の執行の監督をすることは会社法でも規定されています。前項の内部統制システムは代表取締役をはじめとする業務執行取締役が適正業務執行を履行するために構築・運用されています。しかし、それでは取締役会が取締役の職務執行を監督するための意味合いは含まれないことになります。そこで、取締役の意思決定について監督をする、いわば職務執行監督体制の構築が必要なのです。

そのためには、社外取締役が取締役会に占める割合が高まり、業務執行の決定が経営陣に大幅に委譲されるようになってきている中で、現場の実務に直接関与しない社外取締役は、業務執行取締役による職務執行を実効的に管理するためには、情報の収集・報告体制を整備する必要があると考えられます。

２）職務執行監督体制のための情報収集システム

取締役会がまず検証すべきは、経営陣に付与した権限が適切に行使されているかです。大幅に権限委譲しておきながら、その行使状況を注視しないのは単なる職務放棄と言えます。

そのための合理的な監督方法としては、例えば、経営会議のような取締役会に準ずるような重要な会議の決議事項と審議事項の全案件をリスト化して、取締役会のメンバーに情報提供することが考えられます。それと同時にそのような会議の議案書、参考資料、議事録なと゜へのアクセス権限も付与します。これにより、取締役会のメンバーは執行系の最上位の意思決定機関で何が議論されているかの全体像をつかむことができます。そして、次にリストの中から取締役会に詳細報告すべき案件をピックアップします。そのピックアップのやり方は取締役会で選別基準を定めてもいいし、議長が判断するというのもあります。

そこで取締役会による監督の視点としては、①経営計画は順調に進捗しているか、経営計画を変更する必要は生じていないか、経営環境の劇的な変化や技術革新等の変化はあるか、②業務執行取締役による業務執行が経営計画に沿っているか、③内部統制システムの構築・運用に問題が生じていないかなどが重要です。

そして、これに加えて、社外取締役に個別案件について詳細に質問するための権限と機会を付与することも重要です。社外取締役がいつでも業務執行取締役に対して、リストに記載された特定の案件について詳細説明を求める権限を明示的に付与するのです。一種の抜き打ちチェックのようなものです。

３）調査権限と独自の情報源の確保

併せて整備すべきは、社外取締役に経営陣から独立した情報源を制度的に与えることです。社外取締役が被監督者である業務執行取締役からの報告や説明のみに依拠するのであれば、不都合な情報が遮断されるおそれがあります。そこで実務上の対応として、たとえば、取締役会が社外取締役に対し、一定の要件の下に、ほかの取締役の職務執行を監督するための調査権限を付与することが考えられます。取締役会規程などで規定して制度的保障を整備するわけです。

〔「事業などのリスク」の開示〕

２０１９年１月に企業内容の開示に関する内閣府令が改正されました。その改正では、有価証券報告書における「事業等のリスク」の開示が強化されました。経営者が企業の経営成績等の状況に重要な影響を与える可能性があると認識している企業の重要な影響を与える可能性があると認識している企業の主要なリスクについて、顕在化する可能性、顕在化した場合の影響、リスクへの対応策などを具体的に記載することが求められます。適用開始は２０２０年３月期の有価証券報告書からです。

なお、経営者が認識する主要なリスクについて記載しなかった場合や、主要なリスクへの対応策について事実と異なる記載をした場合は、有価証券報告書の虚偽記載に該当することになるおそれがあります。したがって、会社としては、単に開示内容だけを工夫すれば足りるのではなく、開示するに値するリスク管理体制の実質を整備しなければならなくなったと言えます。

２０１９年３月に金融庁が開示原則を策定し、企業情報の開示について、開示の考え方、望ましい開示の内容や取り組みを示しました。その中で、とくに事業等のリスクについては、次のように示されています。

（考え方）

事業等のリスクは、翌期以降の事業運営に影響を及ぼし得るリスクのうち、経営者の視点から重要と考える者をその重要度に応じて説明するものである。

（望ましい開示に向けた取り組み）

①事業等のリスクの開示においては、一般的なリスクの羅列ではなく、財政状態、経営成績及びキャッシュ・フローの状況の異常な変動、特定の取引先・製品・技術等への依存、特有の法的規制・取引慣行・経営方針、重要な訴訟事件等の発生、役員・大株主、関係会社等に関する重要事項等、投資家の判断に重要な影響を及ぼす可能性のある事項を具体的に記載することが求められる。その際、取締役会や経営会議において、そのリスクが企業の将来の経営成績等に与える影響の程度や発生の蓋然性に応じて、それぞれのリスクの重要性（マテリアリティ）をどのように判断しているかについて、投資家が理解できるような説明をすることが期待される。

②リスクの記載の順序については、時々の経営環境に応じ、経営方針・経営戦略等との関連性の程度を踏まえ、取締役会や経営会議における重要度の判断を反映することが望ましい。

（注）リスクを把握し、管理する体制・枠組みを構築している企業においては、当該体制・枠組みにおけるリスク管理の過程において、各リスクの重要度が議論されることも多いと考えられる。このような場所には、当該体制・枠組みについても記載することが望ましい。

③また、リスクの区分については、リスク管理上用いられている区分（例えば、市場リスク、品質リスク、コンプライアンス・リスクなど）に応じた記載をすることも考えられる。

これについて、具体的な手順を《旬刊商事法務№２２０８》で提案されているので、簡単に紹介します。詳しい内容は、商事法務を読んでください。まず、具体的手順を可視化したリスクマップの作成を推奨しています。以下は、その各項目です。

１）リスク特定

まず管理の対象となるリスクを網羅的に列挙して特定します。リスクマップでは、開示布令と開示原則が例示している項目を大項目とし、その中に中分類と小分類を並べる形にしています。会社の業種や業態に即して、リスクを抽出して特定することが出発点となります。

具体的な手順としては、各事業部門にリスクの抽出を依頼し、各事業部門から提出されたリスクを集約します。もっとも、各事業部門から提出されたリスクを集約するだけでは、現場レベルでのリスクの羅列にすぎないので、必ず経営者の視点からみた重要性（マテリアリティ）を検証し、漏れている事項は追加し、些末な事項は削除することが必要となります。また、リスクを特定する際には、小分類に対応するリスク管理の所管部署を特定します。

２）固有リスク評価

固有リスク評価とは、統制活動の影響を受ける前のリスクを評価することです。「リスクが顕在化する可能性の程度や時期」つまり発生可能性と「当該リスクが顕在化した場合に連結会社の経営成績等の状況に与える影響の内容」つまり損失影響度をそれぞれ４段階で評価し、双方を掛け算した数値で算定します。例えば、発生可能性については、〈１年に数度／１年に１度／数年に一度／数十年に１度〉という分類が考えられます。また損失影響度については〈存続に関わる重大な損失／長期的に重大な損失／一時的に重大な損失／軽微な損失〉というそれぞれ４段階の分類ができます。

固有リスクと残余リスクは別項目として評価します。その最大の眼目は、固定リスクの変動に注意を向けることにあります。社会情勢の変化、他社での重大な不祥事の発覚、法改正や規制の強化、重要なソフトローの生成やガイドラインの策定といった外部環境の変化により、ある分野の固有リスクが一気に増大することがあります。このときに従来の統制活動を漫然と継続するだけでは、残余リスクも一気に増大してしまいます。外部環境の変化による固有リスクの変動に注意を向け、固有リスクが一気に増大したときには統制活動も一気に強化して、残余リスクを許容範囲内に抑え込むことが必要であり、その必要性に気づかせてくれるのが固有リスクの評価です。

３）統制活動の内容

特定されたリスクの小分類に対し、会社が実施している統制活動の内容を記載します。「当該リスクへの対応策」で、これにより現状の統制活動の棚卸が可能となり。統制活動が実施されていない小分類があれば、所管部署に統制の実施を求めます。

この統制活動の棚卸は、相当の労力を予想できますが、所管部署やルール作成の経緯を網羅的に検証し、錯綜した管理体制を再構築する作業が必要になります。

４）統制活動の有効性評価（４段階）

統制活動の有効性評価を統制活動の内容とは別項目として盛り込んでいるリスクマップは、現状ではまだ多くはありません。その最大の眼目は、あるルールについて社内規程を策定して全社に通達したことで現場のリスクは低減されたはずだ、という所管部署による独善的かつ一方的な思い込みを排除するためです。

５）残余リスク評価（３段階）

残余リスク評価とは、統制活動の影響を受けた後のリスクを評価することです。会社としてどのようなリスクについてどの程度受容（リスクテイク）しているかの現状を総攬するものとなります。

固有リスク評価のように〈１／２／３／４〉の４段階で評価せず、〈Low／Medium／High〉の３段階で評価することを推奨するのは、次の理由によるものです。固有リスク評価の数値から統制活動の有効性評価の数値を差し引いて算出された残数値を残余リスクの数値とする実務慣行も存在しますが、この数値に引きずられると、全社的にリスクを見渡している統括部門の担当者の肌感覚に合わない結果となることがあります。その際には、機械的に算出された数値よりも主観的な肌感覚を優先させることが実務対応としてより妥当と考えられ、そのためにあえて〈Low／Medium／High〉の３段階で評価するわけです。

６）対策の優先度（３段階）

対策の優先度は、優先度の高い順に〈Ａ／Ｂ／Ｃ〉の３段階で評価することが望ましい。

残余リスクの評価で終わってしまえば、これは過去の通信簿を眺めたのにすぎません。リスク管理の統括部署として、これから優先的に統制活動を強化して残余リスクを抑え込みたいリスクを選び取り、具体的な統制活動強化のためのアクションプランを立案し、これに必要な予算と人員を配置するよう経営陣に提案し、経営陣から承認を得て、アクションプランを実行し、終了後に効果測定するというＰＤＣＡサイクルを回すことが、リスクが顕在化する前に先手を打つプロアクティブなリスク管理の要諦となると考えられます。

７）リスク管理委員会の活性化

リスクマップを作成したら、リスク管理委員会（コンプライアンス委員会、内部統制委員会など呼称は様々）でこれを定期的に更新し、リスク管理の高度化に向けたＰＤＣＡサイクルを回していくことが望ましい。

具体的には、例えば３月決算の会社で、毎年４月と９月にリスク管理委員会を開催して、４月にはリスクマップを更新し、対策の優先度の最も高いリスクテーマを選定し、これに対する統制活動を強化するアクションプランとこれに必要な予算人員を承認します。所管部署は半年間かけてこのアクションプランを実行して統制活動を強化し、終盤には強化された統制活動の有効性を評価するために内部監査を実施します。

そして９月の委員会では、内部監査の結果も踏まえてリスクテーマに対する統制活動の有効性を評価し、残余リスクを再評価し、リスクマップを更新します。次に、対策の優先度が高くなったリスクテーマを選定し、これに対する統制活動を強化する半年間のアクション・プランとこれに必要な予算と人員をかけていきます。

このようなプロアクティブなリスク管理活動を半年ごとに繰り返すことで、会社のリスク管理体制は確実に高度化し、リスク管理委員会は活性化します。

関連するコード　　　　　　　　*　　　　　　　

基本原則１．

基本原則２．

基本原則３．

基本原則４．

原則４－１１．

補充原則４－１１．②

補充原則４－１１．③

基本原則５．

へ