リスク情報のディスクロージャーとERM
こんにちは、GRCプラットフォーム部の徳永です。
先日NHKのニュースにて金融庁が3月期の決算から企業の有価証券報告書で具体的に企業において存在するリスク情報を公表するよう求めるという報道がありました。
昨年(平成31年)の1月31日に、内閣府令第3号「企業内容等の開示に関する内閣府令の一部を改正する内閣府令」が公布され、このうちリスク情報の開示については平成32年(令和2年)3月31日以後終了する年度の有報から適用となっていたため、これは予定通りの動きと言えます。
公開する内容については「②事業等のリスクについて、顕在化する可能性の程度や時期、リスクの事業へ与える影響の内容、リスクへの対応策の説明を求める」と定められているため、詳細については企業側に任されていますが、具体的な研修会の実施や先進的な企業の事例も公開されており、今後この流れは強化されていくものと考えられます。
実際に金融庁のWebサイト上にて公開されている例を拝見しますと、企業によって内容はまちまちですが、主要事業に関わる5~8くらいのリスクについて、対策を含めて定性的に文章で記述されているものが多い印象です。為替がXX円変動した場合の影響は記載されているものもありますが、投資家の立場として漠然とした情報だけが載っており、投資判断に十分な情報になっている例が少ないように感じます。海外の先進事例ではリスクマップを利用して、発生可能性や影響度をビジュアル化してわかりやすく表現している例もありますので、まだまだ改善の余地はありそうです。
もちろん企業側にとっては 金額換算が難しいリスクも多いため、下手な情報を出して投資家に疑問を持たせたくないということもあると思いますが、そもそも開示する情報の源として現場部門を含めて十分なリスク情報の吸い上げと分析、つまりERM(全社リスクマネジメント)のプロセスをきちんと回しているかどうかも課題となっていると考えます。
リスクマネジメントにおいては、いわゆる3線モデルの2線目にあたるリスク管理部門が、単に損失の最小化を図る事だけに特化して事業部門の足を引っ張ったり、事業部門側を監視する役割に徹してしまうとうまくPDCAが回らないため、事業部門とリスク管理部門が目標・目的や情報を共有して、リスクのコントロール(管理策)を業務プロセスに落とし込んでいく活動を日常的に行うことが重要とされています。
今後企業活動においてますます重要となるリスクマネジメントを推進するためには、マネジメント側のリーダーシップ、リスクマネジメントに関する理解の共有とリスクカルチャーの醸成が不可欠ですが、タイムリーな情報共有とリスクマネジメント自体の効率化も重要な要素です。
今後上場企業を始めとする皆様のお役に立てるよう、コンサルティングとクラウドサービスの両面からサポートする体制を強化していく所存です。