見出し画像

IPO準備/上場会社でひと工夫 Part.03 - J-SOXはリスク・コントロールがカギ -

 IPO準備会社と上場会社。それぞれ立場は違いますが、意外にもその悩みどころや解決策に共通点があります。ここではその " ひと工夫 " をご紹介します。
今回は、リスク・コントロールのひと工夫です。



2023J-SOX改訂で「リスク管理」は重要課題に

 2023年のJ-SOX改訂(参照:金融庁・企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」)(以下「2023J-SOX改訂版といいます)で、「リスク管理」は重要課題として挙げられました。その理由は、2023J-SOX改訂版の冒頭「経緯」に次のように記されています。

(前部分省略)
 このような内部統制報告制度を巡る状況を踏まえ、令和3(2021)年11 月、「会計監査の在り方に関する懇談会(令和3事務年度)論点整理」において、高品質な会計監査を実施するための環境整備の観点から、内部統制報告制度の在り方に関して、内部統制の整備・運用状況について分析を行い、国際的な内部統制・リスクマネジメントの議論の進展も踏まえながら、必要に応じて、内部統制の実効性向上に向けた議論を進めることが必要であるとされた。

(出典:2023J-SOX改訂版1ページ「経緯」)

 引用の1行目に「このような内部統制報告制度を巡る状況を踏まえ」とありますが、これは平成25(2013)年5月、米国トレッドウェイ委員会支援組織委員会(COSO)が発表した内部統制の基本的枠組みに関する報告書(COSO報告書)のことを指しています。COSO報告書は経済社会の構造変化やリスクの複雑化に伴う内部統制上の課題に対処するため発表されたもので、具体的なポイントは次のとおりです。

  • 内部統制の目的の一つである「財務報告」の「報告」(財務報告と非財務報告を含む。)への拡張

  • 不正に関するリスクへの対応の強調

  • 内部統制とガバナンスや全組織的なリスク管理との関連性の明確化 など

 COSOのポイントのうち2つがリスク管理に関する事項です。日本もこれを踏まえてJ-SOXの改訂を検討したのですから、もちろんリスク管理が重要課題としている内容となります。

 それでは、2023J-SOX改訂版でリスク管理をどのように見ているか。簡単にまとめますと次のようになります。

<2023J-SOX改訂・リスク管理に関するまとめ>

  1. 内部統制、ガバナンス及び全組織的なリスク管理は、組織及び組織を取り巻く環境に対応し、リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直しを行う。

  2. サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティの確保を行う。

  3. 経営者及び経営者以外の内部統制における業務プロセスに責任を有する者が、内部統制を無視又は無効ならしめることもある点を考慮したリスクへの対応を行う。

 かなりザックリとまとめましたが、1は全組織(全社)を総合的・網羅的な観点で見たリスク管理。2はITに関するリスク管理。3は経営者、従業員等による不正行為等に対するリスク管理というものです。会社のリスクと言えば、経営リスク、事業リスクなど様々ありますが、2023J-SOX改訂を見ると全社的なリスク管理、ITに関するリスク管理、不正行為等に対するリスク管理の3点を重要課題として挙げていると理解しています。

 上記3つは、すべての上場会社がいままでも行っていたリスク管理だと思いますが、特にこの3点を挙げた理由を2023J-SOX改訂版で次のように述べています。

 一方で、経営者による内部統制の評価範囲の外で開示すべき重要な不備が明らかになる事例や内部統制の有効性の評価が訂正される際に十分な理由の開示がない事例が一定程度見受けられており、経営者が内部統制の評価範囲の検討に当たって財務報告の信頼性に及ぼす影響の重要性を適切に考慮していないのではないか等の内部統制報告制度の実効性に関する懸念が指摘されている。

(出典:2023J-SOX改訂版1ページ「経緯」)

金融庁と企業会計審議会は「これまでのリスク管理では不十分である」という認識です。


 今回の2023J-SOX改訂版で、リスク管理が重要課題であるとしていますので、これから上場会社の皆さんはこれに対応する必要があるということになります。

 それでは、リスク管理のひと工夫をご紹介します。



【リスク管理のひと工夫・1】役割分担を明確にする。

 皆さんの会社でもリスク管理に関する役割分担を明確にしていると思いますが、例えば次のような役割分担です。

  • 情報セキュリティ等IT関連部門は無いので、総務部門が行なっている

  • 会計システムに関するITGC上のリスク管理を、情報システム部門ではなく、経理部門が行なっている

  • 契約等法務に関するリスク管理を法務部門が行なっている  など

 上記のような役割分担で現在は問題無いと思いますが、今回の2023J-SOX改訂と社会状況の動きに伴って見直しが必要になるかもしれません。例えば【2023J-SOX改訂・リスク管理に関するまとめ】の1の「内部統制、ガバナンス及び全組織的なリスク管理は、組織及び組織を取り巻く環境に対応し、リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直しを行う」について柔軟な対応が取れるかどうかです。皆さんの会社の職務分掌に沿ったかたちでリスク管理ついても役割分担されると思いますが、いわゆる「タテ(縦)割り」で全組織を総合的・網羅的な観点でリスク管理することが可能かどうかです。また、具体的な対応を検討し実施するにしても、柔軟な対応が可能かどうかです。そのように考えると、個別の部門にのみ任せるのは難しいかもしれません。


 ここで、皆さんにお勧めするひと工夫は「スクワッド(Squad)」体制です。



【リスク管理のひと工夫・2】タテではなくヨコの役割分担

 前述に「個別の部門にのみ任せるのは難しい」とお話ししました。理由は、個別の部門はその会社の職務分掌のうえで役割が割り当てられています。その役割から外れている部分にも業務範囲が広がるのは、負担が重いかもしれません。
 また、今回の2023J-SOX改訂版にありますように、

5.内部統制とガバナンス及び全組織的なリスク管理

 内部統制は、組織の持続的な成長のために必要不可欠なものであり、ガバナンスや全組織的なリスク管理と一体的に整備及び運用されることが重要である。ガバナンスとは、組織が、顧客・従業員・地域社会等の立場を踏まえた上で、透明・公正かつ迅速・果断な意思決定を行うための仕組みであり、全組織的なリスク管理とは、適切なリスクとリターンのバランスの下、全組織のリスクを経営戦略と一体で統合的に管理することである。内部統制、ガバナンス及び全組織的なリスク管理は、組織及び組織を取り巻く環境に対応して運用されていく中で、常に見直される。

(出典:2023J-SOX改訂版17ページ)

 全社的なガバナンスと全組織的なリスク管理を一体的に整備及び運用されることが重要であると明示していることは、単に全社・全組織的に俯瞰してリスクを管理するだけでなく、会社・組織を取り巻く環境に対応して運用し、常に見直すことを求めているのです。これを具体的に行うとなると、個別の部門がその職務分掌に応じて対応するだけでは手当てが難しいです。

 そこでお勧めするのは、部門を横断してリスク管理に当たることができるSquad(スクワッド)体制です。

 スクワッドとは、軍隊編成上の戦術単位のひとつで、数名ほどの「分隊」のことです。リスク管理を担当する委員会/部門が会社のリスク(組織目標の達成を阻害する要因)を洗い出し、これを会社のリスク管理方針に従って分類します。スクワッドは、その分類されたリスクに個別に対応し、リスクの低減を図るというものです。具体例として、情報システムの故障等不具合についてみてみましょう。

<具体例:情報システムの故障等不具合>

  • 分類:情報システム、事業継続計画(BCP)、財務報告の信頼性

  • 対応内容:会社の情報システム構成の構築/再構築、ネットワーク等インフラ整備、情報セキュリティ体制の見直し、BCPの再検討と計画策定、会計システムの運用方法の見直し、データのバックアップ方法の見直し

  • 事象発生時:情報システム/情報セキュリティの復旧対応、インフラの復旧対応、BCPに基づく事業継続対応、経理業務等財務報告に係る業務の早期正常化、など。

  • 対応担当:情報システム担当、情報セキュリティ担当、総務担当、経理担当


 個別のリスクを分類することで、対応する内容が集約され、これに対応する担当もおのずとまとまってきます。この対応する担当がまとまった分隊を一つのスクワッドにします。このスクワッドを数個分隊編成することで、担当それぞれの専門性を活かした対応策を講じることができ、いざ事象発生の際も機動的かつ迅速に対処することができるのです。ここが大きなメリットです。ただ、会社の業務はほとんど情報システムとネットワーク等インフラを利用していますので、情報システム担当、情報セキュリティ担当に大きな負荷がかかります。リスク管理担当する委員会/部門には、情報システム担当、情報セキュリティ担当を複数名ご準備いただいたほうが良いでしょう。それに、2023J-SOX改訂版では「ITへの対応」特に「セキュリティの確保」に重点を置いている記載もありますので、この点においても情報システム/情報セキュリティ各担当を補充するか、情報システム/情報セキュリティを専門とする会社に外部委託するなどの検討も必要かと考えます。

 このように、2023J-SOX改訂は会社・組織を取り巻く環境に潜む多くのリスクに適時かつ適切に対応することを求めていますので、タテ(縦)の役割分担ではなく、部門を横断したヨコ(横)展開のスクワッド体制で平常時はそれぞれの専門性を活かした対応策を講じ、非常時は発生した事象に機動的かつ迅速に対処する。このような体制編成を構築することをお勧めします。



不正行為等へのリスク管理は次回に

 話は変わりますが、2023J-SOX改訂でもうひとつのリスク管理に「経営者及び経営者以外の内部統制における業務プロセスに責任を有する者が、内部統制を無視又は無効ならしめることもある点を考慮したリスクへの対応」を挙げています。これは、これまでご紹介しましたリスク管理とは内容が変わってきます。なぜなら、このリスクは「経営者及び経営者以外の内部統制における業務プロセスに責任を有する者」が不正を行う意思を持って行うものですから、これに対応する登場人物が変わります。その登場人物とは、監査役(監査等委員会)、内部監査です。


 不正行為等へのリスク管理は、次回ご紹介します。



いいなと思ったら応援しよう!