改めて、なぜ企業がリスクマネジメントに取り組まなければいけないのかを考えるために、ここ20年あまりの企業を取り巻く環境の変化について簡単に振り返ってみましょう。

グローバル化する経済環境に適応するために、平成18年（2006年）にいわゆる、会社法の現代化が行われました。これは日本の商法から会社関連の規定を分離し、新たな法体系として「会社法」を制定（※1）したことを指します。このときの重要なテーマが内部統制やコーポレートガバナンスです。なお、内部統制とは、企業が適正な業務運営を行うために必要なシステム（仕組み）やプロセスのことで、特に財務報告の信頼性の確保（※2）や不正防止が主な目的でした。

不正防止というと、どうしても「未然防止」に力点がおかれがちです。が、2000年代後半以降、自然災害や金融危機、サイバー攻撃などのリスクが顕著になったことで「起きたことへの対応」、すなわち「レジリエンス（回復力）」にも注意が向くようになりました。2011年の東日本大震災はこうした意識をさらに高めるきっかけになったと言えるでしょう。

その後、グローバルスタンダードへのさらなる適応を求める声が強まっていきましたが、オリンパスの粉飾決算など幾つかの企業スキャンダルが起きたことをきっかけに、コーポレートガバナンスの実効性向上に強い目が向けられることになりました。2015年、投資家との対話の促進や、長期的な企業価値の向上を目指して、コーポレートガバナンス・コードが公表されました。2021年の同コードの改訂で、サステナビリティやESG（環境・社会・ガバナンス）への取り組みに対する言及が明確化され、企業に対する持続可能性の重要性がより強調されるようになりました。

20年近い歳月を経て、財務報告の信頼性の確保、災害など有事への対応、サステナビリティやESGへの取り組みが必要になり、そのために登場した考え方や仕組みが、内部統制であり、レジリエンスであり、コーポレートガバナンスです。そして、これらを支える共通のキープレーヤーがあります。それが会社法でその体制やルール整備が求められているリスクマネジメント（※3）です。今日の企業、特に上場企業ではこうした取り組みが当たり前のように求められています。

※1 平成17（2005）年7月26日に公布され、平成18（2006）年5月1日に施行されました
※2 平成20（2008）年の金融商品取引法の改正（いわゆる「J-SOX法」）により、その重要性がさらに強調されました
※3 会社法施行規則 第100条 業務の適正を確保するための体制にて規定されています

【図1：内部統制やERM、コーポレートガバナンスの関係性】

こうした取り組みを嘲笑うかのように、企業の不正事案が発生しています。

例えば、2015年には東芝で数年にわたる1,500億円以上の利益の過大申告が行われていたとして不正会計が問題になりました。同じく不正会計という点では2019年から20年にかけて、ネットワンシステムズでは1,000億円を超える循環取引が明るみに出ました。

また、品質不正という点では、2015年、横浜市のマンション傾斜問題が注目を浴びました。建物の一部が基礎部分の杭の施工不良により傾いていることが判明したのです。原因は、杭の一部が支持層に達していなかったことや、三井住友建設の二次下請けになる旭化成建材が杭打ち施工に必要な地盤データに他のデータを流用していたことにありました。また、2018年、レオパレスでは長年にわたり建築基準法違反や施工不良の問題を放置していたことが判明しました。大和ハウス工業でも、約4,000棟の不適合住宅があることが判明しました。

こうした品質不正は建設業界に限った話ではありません。製薬業界でも不正が相次いでいます。2021年の小林化工での品質不正を皮切りに、日医工や久光製薬など数多くのメーカーで品質管理・製造管理上の不備が発覚し、行政処分が行われました。自動車業界では、2016年に三菱自動車が燃費データを不正に操作していたことが発覚しました。2017年、日産自動車では未認定の従業員による車両の最終検査を行なっていたことが判明しました。同年、スバルも日産自動車と同様の問題が発覚しました。さらにトヨタグループでも不正が続発、2022年には日野自動車、2023年にはダイハツ、加えて豊田自動織機でも試験不正が発覚しています。

そのほかの製造業でも、神戸製鋼所、東レ、三菱マテリアル、クボタ、中山製鋼所、三菱電機など、挙げれば枚挙にいとまがありません。

企業を取り巻く法整備が進み、リスクマネジメントへの注力が進む中であるにもかかわらず、企業不正は依然として問題となっています。リスクマネジメントはこうした不祥事に無力なのでしょうか。なぜ、企業不祥事はなくならないのでしょうか。どうしてでしょうか。

企業不正を起こした企業の調査報告書に頻出する言葉があります。1つが「組織風土（リスクカルチャー）」であり、もう1つが「ガバナンス」という言葉です。なお、リスクカルチャーとは、事細かなルールが明文化されていなくてもブレずに適切な判断ができる、いわば「組織共通の心の軸」であり、組織内におけるリスクに対する意識や態度、行動を包括する文化のことです。また、ガバナンスとは、組織の運営や管理、意思決定が健全に行われるようにするための枠組みのことです。リスクマネジメントの文脈では、リスクガバナンスという言葉で表現されます。

企業不祥事を起こしやすい「リスクカルチャー」については、例えば「何かあったら隠さず報告する」「誤魔化しは絶対にしない」などといった基本的な考え方が浸透しておらず、結局は売上重視の活動になっていたなどの指摘をよく見かけます。例えばダイハツでは品質について「お客様のご満足と信頼を常に最優先であること」を謳っていたにもかかわらず、以下のように車両の試験担当者が不正行為に手を染めてしまいました。

「仮に認証試験に不合格となった場合には開発、販売の日程を守れず大変なことになるとの思いで、認証試験に確実に合格することを目的として、認証試作車に対し、衝突時にシャープエッジが生じないような割れ方をするように樹脂製のフロントドアトリム裏面に切込みを入れるなどして量産車とは異なる手加工を行った」（調査報告書, ダイハツ工業株式会社　第三者委員会, 2023.12より）

部外者からすれば「悪事に手を染める前にどうして上司に相談しなかったんだ！？」と思いたくなりますが、組織には相談できる信頼関係が築かれていなかったことがわかっています。

「管理職は表向きは『何でも相談してくれ』というものの、実際に相談すると、『で？』と言われるだけで相談する意味が無く、問題点を報告しても『なんでそんな失敗したの』『どうするんだ』『間に合うのか』と詰問するだけで、親身になって建設的な意見を出してくれるわけではない」といった意見に接した。」（調査報告書, ダイハツ工業株式会社　第三者委員会, 2023.12より）

ちなみに、三菱電機でも似たようなことが起きていました。同社では、顧客と約束した品質基準を満たさない製品を誤魔化して出荷していたことがわかりました。「顧客と約束していた品質基準を満たさなくても品質に影響はない。実質的に影響があるかどうかこそが大事である。それが三菱が謳う品質である」といった考えが現場に蔓延していたからだとも言われています。こうした品質不正を防ぐために、同社は「品質は第一である」という品質基本理念を制定していましたが、有名無実化してしまっていたわけです。

一方、「ガバナンス」に関して指摘が上がる典型的な理由が、不正に繋がった現場の業務が属人化、すなわちブラックボックス化して他人の目が入りづらい状況にあったというものです。仮に目が入っていたとしても、厳しい目を入れるべき立場の上司や管理部門が、現場担当者と密接な関係を持ちすぎて客観性を失っていたことが原因として挙げられる場合もあります。より客観的な立場でメスをいれる内部監査に至っても、その実施が形式的なものにとどまり、改竄されたデータを「正しいもの」と判断してしまい、「問題なし」と判断してしまっていたケースもあります。

実際、先のダイハツの事例では、不正が行われた領域は、職場環境がブラックボックス化しており、不正やごまかしを行っても見つからない状況にありました。具体的には、車両の試験業務と試験報告書を作成する業務、認証申請書類作成業務のいずれをも一部署（安全性能担当部署）が兼務していたため、やろうと思えば、試験のやり方から、試験結果の記録、認証申請書の改竄までを精巧に誤魔化すことができたのです。もちろん、監査証跡自体が改竄されているという前提に立って内部監査をすれば発見することができたでしょうが、そこまで思いが及ばず発見することができませんでした。先の三菱電機の事例でも、同様に、モニタリングをする立場にあった内部監査者が、偽のデータを提示され騙されていたといいます。

こうした傾向は、他の多くの企業不祥事で確認されています。同時に、内部統制が狙いとする「財務報告の信頼性」や「不正防止」、そのためのコーポレートガバナンスやリスクマネジメント活動が、必ずしも期待通りに機能していないことの表れでもあります。企業の多くで、内部通報制度が設けられ、コンプライアンス研修が行われています。また、年1回、各部門にどんなリスクが潜んでいるのかを確認するリスクサーベイが行われ、こうした結果は経営だけでなく、取締役会にも報告されているはずです。しかし、「品質第一と言っても所詮は売上優先だろ」とか「上司に相談したところで仕方がない」と思われている環境下でいくらリスクサーベイをしたところで意味がないのは明らかです。コーポレートガバナンスにしても、取締役会に報告を入れる立場の内部監査が騙されていたとなっては、機能するはずもありません。

仕組みを入れても骨抜きにされる・・・。そんな状況下において企業はどうすればいいでしょうか。リスクマネジメントはここに楔を入れることができるのでしょうか。

あえて単純化して考えれば、取れる選択肢は3つあります。1つ目は何もしないこと。たまたま運が悪かっただけと現状を受け入れ、既存の仕組みを粛々と回し続けること。2つ目の選択肢は、仕組みのさらなる強化です。新たな仕組みを入れるか、または既存のルールの穴を探し、さらに細かく厳しいリスク評価を行い、ルールを追加し、多重のモニタリング体制を敷くこと。

しかし、この2つの選択肢はいずれも現実的ではない、ということは直感的に理解できます。そこで私がお勧めしたいのは3つ目の選択肢。リスクマネジメントの力点を変えること。リスクマネジメントのリスク洗い出し方法や分析・評価方法や判断基準の網の目を細かくしてより厳格なルールを設けようとするのではなく、上位概念であるリスクマネジメント方針にテコ入れすること。言うなれば、リスクマネジメント方針をお飾りの方針ではなく生きた方針に変えることです。

生きた方針とは、リスクカルチャーといういわば"魂"を入れた真のリスクマネジメント方針を意味します。こうした方針を示せるかどうかが重要な鍵となります。リスクマネジメント方針というと、目的や基本方針、体制や役割・責任、経営のコミットメントなどを記載した形式的で無味乾燥なものというイメージが強いかもしれません。が、ここではそのような形式的なものを求めているわけではありません。もし仮に皆さんの企業が掲げているリスクマネジメント方針がそのようないい加減なものであるなら、企業不正予備軍に入っていると考えてもらっていいでしょう。ではどうやって魂を込めればいいのか。それには適切な問いの用意とその問いへの回答を企業として本気で考えることにあります。

最初に問いたいのは「リスクマネジメントという手段を用いて、どの山に登るのか？」です。これは企業がリスクマネジメントを整備・運用する目的を問う質問です。目的というと「そんなの企業価値を毀損しないようにすることだろ」とおっしゃる方がいるかもしれませんが、ここで欲しい答えはそのような抽象的なものではありません。具体的にどんな状況を防ぐためにリスクマネジメントを実施したいのか、どんな最悪の事態を防ぎたいのか、それは具体的にどんな最悪の事態なのか、という問いに対する答えの裏返しでもあります。

例えば、ITサービス企業であれば「最悪の事態」の1つは、個人データの漏洩だと思います。ただ逆説的に言えば、個人データ漏洩で潰れた会社はそんなに多くありません。だとするならば「個人データの漏洩」は本当に最悪の事態なのでしょうか。もし最悪の事態だというなら、誰がどこにどんな形でどんな情報を何件漏洩させた場合に、企業の顛末がどうなるというのでしょうか。そこまで言語化できて初めて「最悪の事態」ということができます。経営陣自身がそうしたことすらも言語化できないのであれば、社員がイメージをできるはずもありません。そんなものは最悪の事態とは言えないし、魂の入ったリスクマネジメントの目的ということもできません。

次に問いたいのは「その山を制覇するのにどれくらいリスクを取る覚悟か？」という質問。これは専門用語でリスク選好（リスクアペタイト）と呼ばれるものです。このリスク選好とは、経営陣がリスクをどこまで取るのかを指し示す判断基準を意味します。山の踏破にどこまで無理をするのか、いくつも登りたい山があれば優先順位をどうするのか、を考えることです。ダイハツの不正は「コンプライアンスという山」よりも、期日までの製品リリースを実現することによる「売り上げ目標という山」を制覇することを優先した結果起こったものだとも言えます。実は企業不正の多くは、このリスク選好を蔑ろにしていたがために起こっていると言っても過言ではありません。なぜなら、「登りたい山」は相反関係にあることが少なくないからです。

さらに「何を信条にしてリスクマネジメントを実践するのか？」という問いに対しても企業としての答えを出したいところです。これは、リスクマネジメントの行動指針ともいうべきものです。リスクマネジメントに対する向き合い方は三者三様です。金融機関ではリスクはとるものではなく潰すべきものという考え方が一般的です。ですが、リスクをゼロにしたら儲からないから適度に潰すべし、という考え方を持つ企業もあります。成長著しいベンチャー企業は、企業理念を実現するためにとにかくリスクをとって積極果敢に攻め続けるという文化を持つことが多いです。いくらリスクを取るべきと言っても、全く何もしなければ大事故を起こし、後から大後悔する事だってあります。だとするならば、どれくらいの大穴をあらかじめ認識して塞いでおきたいのか。本業を大切にしつつも、何か起こった時の対応、すなわち、レジリエンスを身につけるためにどこまで時間をかけるのか、などと言ったことをまずは経営者自身が方針として示すことが重要になります。

もちろんいくら魂を込めたからと言っても、それを言語化したリスクマネジメント方針が自動的に組織に浸透してくれるわけではありません。リスクマネジメント方針が各組織階層の社員一人一人にとって自分ごと化していく必要があります。それはつまりリスクマネジメント方針を、社員一人一人が自分の言葉で、第三者に説明できる状態になることです。そのための意識啓発や啓蒙を行うことが大切になります。企業が掲げるミッションやビジョン、バリューなどと同じように、丁寧かつ根気強い浸透活動が必要になります。

と同時に、その浸透度の可視化も必要です。言うなればリスクカルチャーの測定です。目に見えないリスクカルチャーだからこそ、浸透結果を可視化し、評価を行うことが必要不可欠です。それにより、「教育をやっているから浸透しているはずだ」と言う自己満足の罠に陥らず、加えて意識啓発の深化に繋がります。

【図2：全ての根幹となるリスクカルチャー】

こうしたことを踏まえて、皆様に改めてお伝えしたいのは、下記5点に関する自己点検をぜひ実施いただきたいということです。

経営や取締役会が、重大リスク認識の抜け漏れやリスク対策の実行状況を指摘することも大事ですが、それにも増して「どのようなリスクカルチャーを醸成するのか。それは適切なのか。それはリスクマネジメント方針に適切に反映されているのか？それは実際にどれだけ組織に浸透しているのか？どうして浸透していると言い切れるのか？」と言った観点で、企業のERMを見直すことこそ重要なのだと納得されたのではないでしょうか。

なお、ここで私がお伝えしている話は、経営陣や取締役会の責任から逸脱するものではありません。実際、G20/OECDのコーポレートガバナンス原則でも「リスクカルチャーを確立し、内部統制を含むリスク管理を監督することは、取締役会にとって重要である」とは述べていますし、リスクマネジメントの国際的なガイドラインの1つであるCOSO-ERMでも似たような記述があります。既知の考え方ではありますが、残念なことに、その実践は正しくありません。現実は、リスクマネジメント方針を形式的なものとして捉えがちで、取締役会において企業が大切にしたいリスクカルチャーを明らかにし、それを組織に浸透させるための重要な手段と言う目線ではレビューできていないケースが多いのではないでしょうか。

一般的に「このリスクも必要では？」「なぜこのリスク管理でよいのか」「対策やモニタリングが不十分ではないか」などの観点からの指摘のみになってしまいがちです。ですが本来は、リスクマネジメント方針に経営陣の適切な考え方が反映されているのか、そしてそれが現場に十分に刷り込まれているのか、経営陣が挙げたリスクは、その方針に沿っているかといったチェックが必要なのです。

大事なこと、それはリスク洗い出しに力を入れることではなく、リスクカルチャーにメスを入れることです。組織のリスクマネジメントの方針・周知のあり方を見直すことでもあります。企業の不祥事が後を絶たない今、改めてリスクマネジメントの原点に立ち返るべきときなのではないでしょうか。リスクマネジメント方針の真の意義について正しく理解をし、見直しを行うだけでなく、その浸透やその成果をはかるところまで徹底しましょう。

もう一度、最後に問います。「あなたの会社のリスクマネジメント方針とは何ですか？　それは自分の業務において具体的にどのように実践することですか？」。あなたの会社の経営陣や取締役にも同じ質問を投げかけてみてください。この問いに直球で答えられないのだとしたら、リスクアセスメントやサステナビリティを考える以前の問題です。後悔しないためにも、原点回帰することを強くお勧めします。