全社的リスク管理（ERM）の所管部署の役割は？“今さら聞けない”全社的リスク管理Q&Aシリーズ②

全社的リスク管理（ERM）は時代の要請

ーーまず、「全社的リスク管理」が注目を集めている背景を教えてください。

清水）一言でいうと、従来のやり方では、企業を取り巻くリスクを十分にマネジメントしきれなくなっているためです。

従来のリスクマネジメントの代表例の一つが、リスクを洗い出し、評価し、重要なテーマを選定し、対策を講じるという一連のリスクマネジメントの流れを社内の部署ごとに実施させる「部門別リスクマネジメント」です。各部署のリスクは各部署が一番よくわかっているため、それぞれが主体的に取り組む、という考え方です。

各部署がそれぞれの視点で主体的に取組を推進すること自体は必要ですが、その場合、経営視点でのリスクの検討や対応部署が存在しない、または曖昧なリスクの検討が抜けてしまったり、喫緊の課題ばかりに目が行き中長期的な問題が先送りされてしまったり、ということが起きやすくなるデメリットがあります。

現在、世界的な政情の不安定化、人材の流動化、ESGに対する企業の責任の増大など企業を取り巻く環境は目まぐるしく変化しており、企業が捉えるべきリスクは急速に多様化・複雑化しています。部門別リスクマネジメントに代表される従来のリスクマネジメントでは、そうした環境変化に対応しきれなくなることが懸念されます。

ーー従来のリスクマネジメントの課題を解消し、昨今の激しい環境変化にも対応できるのが「全社的リスク管理」なのですね。

清水）その通りです。「全社的リスク管理（Enterprise Risk Management）」と部門別リスクマネジメントの最も大きな違いは、リスクを捉える視座の違いです。部門別リスクマネジメントでは、当該部門の活動の目的に影響を及ぼす要因に着目するのに対し、全社的リスク管理では、企業グループの目的（パーパス）や中期経営計画など重要な事業戦略の達成に影響を及ぼす要因に主眼を置きます。より俯瞰的な視点かつ中長期的な時間軸でリスクを捉えることになります。捉えるリスクの重要性も高まることから、経営レベルでの審議・管理が求められます。

企業が安定的に事業を遂行し目標を達成し、かつ持続的に発展するためには、中長期的な視野で幅広くリスクを捉え、経営層主導のもと全社・グループ包含的に対応していく全社的リスク管理が必要不可欠となってきているのです。

社内のリスクマネジメントに関わる様々な部署、例えばサステナビリティ分野のリスクの検討をしているサステナビリティ推進部や、保険手配を行う財務部・経理部、情報開示を行うIR部などにおけるリスクマネジメントに関連する機能を統合的に運用していくことも全社的リスク管理の特徴です。

2021年に改訂されたコーポレートガバナンス・コードでは、取締役会の役割・責務として“全社的”リスク管理体制の構築を求めています。従来のリスクマネジメントを全社的リスク管理へと高度化することは、まさに「時代の要請」だといえます。

全社的リスク管理（ERM）所管部署は経営に近く

ーー従来は総務部や法務部がリスクマネジメントを所管する企業が多かったと思いますが、全社的リスク管理では、どの部署が所管することになるのでしょうか？

清水）全社的リスク管理を実現するには、その大きなポイントである「全社・グループ包含」、「経営層主導」の2点を実現しやすい部署が所管するのが理想です。

従来のリスクマネジメントは、防災や危機管理を所管する総務部門がその延長線で受け持ったり、リスクの中心的なテーマがコンプライアンスであることも多いことから法務・コンプライアンス部門が担ったりするケースが多く見られました。特定のリスク分野に知見を持つ部署に任せるメリットもありますが、全社的リスク管理のポイントを踏まえると、経営層と距離感がある、また全社・グループ組織全体に働きかけしづらいという課題認識を持つ企業は少なくありません。

当社が上場企業を対象に3年に一度実施している「上場企業のリスクマネジメント体制整備状況調査」（https://rm-navi.com/search/item/1880）からは興味深い変化が読み取れます。2021年の調査では、総務部署がリスクマネジメントを所管している企業が最も多く、法務・コンプライアンス部署が所管している企業、両方の部署が共同で所管している企業を合わせると全体の半数以上を占めていました。しかし、2024年の最新の調査では総務部署が所管している企業が減少し、代わって経営企画部署やリスクマネジメントを専業とする独立部署を設立した会社が増加しました。（図1）

図1：設問「リスク管理を所管している部署はどこか」　前回（2021年）との比較

経営主導で、全社・グループ全体を巻き込んだ活動をしやすくするために、経営に近い立ち位置の部署にリスクマネジメントの機能を移管しているものと推察されます。上場企業においてリスクマネジメントが「経営と切り離せない重要事項である」との認識が高まっている証左とも言えます。

ーー全社的リスク管理の所管部署はどのような役割を担うのでしょうか？

清水）リスクマネジメントを高度化して「全社的リスク管理」を目指すならば、所管部署の役割も高度化させ、より戦略的な視点からリスクマネジメントに取り組むことが必要となります。

多くの企業で所管部署が担っているのが、「リスクマネジメントについて審議する会議体の事務局機能」ですが、従来のリスクマネジメントから抜け出せていない企業では、リスク管理委員会などの会議体の審議が事故や不祥事の報告に終始し、所管部署は事務局としてその情報集約に追われてしまうことがあります。

危機事象の情報共有や再発防止策の検討自体は重要ですが、全社的リスク管理を志向するのであれば、リスク管理委員会では会社にとっての重要リスクやリスク対策計画の妥当性を経営の目線を入れて審議することなどに時間をかけることが望まれます。所管部署は事務局として、委員会の“あるべき姿”に向けて運営や審議事項の見直しを主導する必要があります。

従来からの役割の質を高めることも重要ですが、従来のリスクマネジメントにはなかった新たな役割を担っている企業もあります。

今回の調査では、「リスクアセスメント（洗い出し・分析）の実施」「会社にとって重要なリスクの候補の提言」などリスクマネジメントのベースとなる役割だけでなく、「リスク対策の有効性確認・改善指導」や「リスクに関する外部環境変化の情報収集」、「外部環境変化を踏まえたリスク・機会の分析」など難易度の高い役割を担っている企業が増えていることが確認されました。（図2）

図2：設問「リスク管理所管部署が担っている役割」の回答分布（複数回答可）および前回との差分

全社的リスク管理（ERM）への高度化に向けて着実なレベルアップを

ーー全社的リスク管理の実現には、所管部署の役割も含めたレベルアップが必要なのですね。

清水）そうですね。所管部署の役割を高度化させるには、目標や理念として掲げるだけではなく、適切な人的リソース（人数、能力、経験値など）を確保することが必要です。当然ながら人材配置の変更や予算の確保を伴うため、そうした意思決定がスムーズに進むという点も経営に近い部署がリスクマネジメントを所管するメリットだといえるでしょう。

所管部署を変更するのは簡単なことではないですが、全社的リスク管理の実現を見据えた大胆な見直しも必要です。もちろん、所管部署やその役割を見直せばすぐに全社的リスク管理が実現するわけではありません。会議体の運営やリスクアセスメントなど、すでに実施している取り組みが、全社的リスク管理の目的に合うものになっているか、陳腐化していないかなどの観点で見直し・改善していくことも重要です。

全社的リスク管理への高度化は一日にしてならずですが、自社の現状やその課題を見直し、着実にレベルアップを図っていきましょう。

【視聴無料】動画で「リスクマネジメント」を学びませんか？

「全社的リスク管理（ERM）」を含めたリスクマネジメントを動画で学べるコンテンツを用意しています。リスクマネジメントの概要を学びたい方、新たにリスクマネジメント部門に配属された方などにおすすめです。無料でご覧いただけますので、リスクマネジメント向上にご活用ください。