リスクマネジメント
大きな災害や事故で被害を受けても重要業務を中断しないこと、万が一、中断しても可能な限り短い期間で再開することは、企業としての重要な責任です。この認識のもと、コニカミノルタは、ワールドワイドに、かつサプライチェーン ※ を含めた視点から、この課題に取り組んでいます。
コニカミノルタでは、具体的な行動計画などをまとめた「事業継続計画(BCP:Business Continuity Plan)」を主要事業である情報機器事業、被災時のニーズの高い医療機器をはじめとして各事業部門・子会社が策定するとともに、災害発生直後に被害状況などを情報収集してBCP発動の要否を判断する「初動体制」を整備しています。
具体的には、日本における大規模な地震発生時にもお客様にご迷惑をかけないよう、消耗品、製品の供給をできるだけ継続すること、また既存のお客様へのサポート業務を継続することを基本的な方針としています。そのために、主要な消耗品の生産拠点を分散するほか、調達先についてもリスク評価を行い、リスクの大きい基幹部品については、代替手段や在庫の確保を進め、事業継続体制のレベルアップに努めています。また、コールセンターは東日本地域と西日本地域で相互にバックアップする仕組みとし、どちらかが被災した場合にもサポート対応を継続できるようにしております。その他にも、新型インフルエンザなどの感染症流行時の対応にも取り組んでいます。さらに、こうしたBCMの質を高めていくために、さまざまな訓練を実施しています。
発生したクライシスへの対応とBCMの強化
2011年3月11日に発生した東日本大震災では、グループの主要拠点に大きな被害はなく、本格的なBCPの発動には至りませんでしたが、発災後1カ月間は毎朝、コニカミノルタ(株)の代表執行役社長が主催する地震対策会議を実施し、グループの視点での情報収集および適宜、適切な指示、統一的な情報発信を継続しました。その後、いつどこで起こるかわからない大災害に備えて、現場の実践力向上の取り組みを推進しています。
具体的には、グループ全拠点の初動対応マニュアルを、混乱期や、夜間休日にも確実に動けるよう見直し、実践訓練で有効性を検証、マニュアルをさらに改善するPDCAを回しています。
大規模地震の発生時には、東京都千代田区丸の内の本社が災害対策本部となり、代表執行役社長を本部長として7つの班が、迅速な初動対応にあたる体制を構築しています。この体制の検証のため、年に1回、経営トップを含め、本社の災害対策本部と、被災想定の各拠点とを結び、災害対策本部が速やかに被災状況を把握、対応を判断、意思決定するグループ一斉防災訓練を実施しており、2020年11月には、首都直下地震が発生したと想定して、関西に対策本部を立ち上げる訓練を行いました。
また、災害時の情報共有ツールとして、国内コニカミノルタグループ全拠点の被災状況をマップ化し、被害全容を把握できる「緊急時情報データベースシステム」、従業員と家族の安否を集約する「安否確認システム」を整備しており、夜間休日などの緊急時の情報共有ツールとしての社内SNS活用も整備、これら防災ICTにより、初動段階からBCP段階の円滑な対応をサポートしています。2018年6月に発生した大阪北部地震では、実際にこれらICTツールを活用、初動の情報共有に有効であることを確認できました。
このほか、2013年4月に施行された東京都条例に基づき、防災備品の拡充、帰宅困難者対策の強化などにも対応しています。
2020年1月からは、新型コロナウイルスの感染拡大を受け、中国の生産拠点を中心として危機管理体制を構築して全社的な対応を開始。その後、3月は欧米販社・生産会社、4月以降は日本拠点と対象を広げ、従業員対応、事業継続対応を行いました。
海外拠点におけるリスク管理の実践
「地政学リスクを踏まえた、日本企業のあるべきリスク管理」Vol.4(『企業リスク』2016年7月号掲載記事)
1.海外拠点におけるリスク管理の実践
1-1.日系グローバル企業におけるこれまでの課題
日系グローバル企業が海外拠点におけるリスクを検討する際、陥りやすい点(課題)が二つある。一つ目は、リスク管理規程、安全管理規程、事業継続計画(BCP)、セキュリティポリシー等の規程の整備を終え満足してしまうこと、二つ目が、子会社の自主性に任せ、リスク管理に関して本社から特段のサポートを行わないことである。
一つ目は多くの日系企業にあてはまるケースでもあるが、グループ本社が苦心して策定した規程類が海外拠点で活用されているケースは少なく、海外拠点の日本人駐在員、ローカルスタッフにヒアリングしても、それら規程類の存在すら知らないことも多い。また、海外拠点では、重厚かつ膨大な種類の規程類を読み解き、かつ、対応できるようなリソースを備えているケースは少ない。
このような状況を回避するため、グループ本社としては、規程類を策定することと同じ程度の労力を費やし、それらをどのように浸透させるかを考え、浸透状況を定期的に確認することが必要となる。
次にリスク管理に関して本社から特段の管理やサポートは行っていないケースであるが、こちらも海外拠点にヒアリングしてみると、「自分たち(海外拠点)はリスク管理の専門家ではないため、何をどうすればよいのかわからない」「リスクへの対策をせよ、とグループ本社から指示を受けても、自分たちで執行できる予算は少なく対策ができない」という不満も聞かれる。後述するとおり、この点も本社として一定のサポートが必要となる。
1-2.どこから始めればよいのか
(1)リスクの評価
グローバル企業では、大小さまざまなリスクを抱えているが、不正リスク、贈収賄リスク、自然災害のリスク等の個別のリスクにピンポイントで焦点を当て検討をはじめた場合、進め方やリスク評価結果を経営陣や社内各所へ報告した際に、「本当にそのリスクだけでよいのか」「その他のリスクのほうが重要ではないのか」という問いが数多く寄せられることとなる。そのような状況を防ぐために、冒頭に挙げたような、自然災害、感染症、テロの脅威、デモ・労働争議の拡大、政府による為替・貿易政策の急激な変更のリスク等、グループ全体として抱えるリスクを俯瞰し、その中から、経営陣や各部門へのヒアリングや、グループ内の過去のリスク顕在化事例を考慮のうえ、焦点を当てるリスクを特定することが必要となる。
このプロセスにおいて俯瞰するリスクの範囲を図表1で例示する。
(2)重要リスクの特定
次に、(1)でヒアリング等を元に焦点を当てることを決めたリスクのうち、さらに詳細な評価を行い、具体的に対応を講じることとする重要リスクを特定する。重要リスクの考え方は諸々あるが、日系グローバル企業では、以下の軸から検討することが多い。
●従業員の安全を脅かすリスク(テロ・暴動、自然災害、工場の火災・爆発)
●事業停止に係るリスク(自然災害等のほか、法令違反やソフトウェアのライセンス違反)
●レピュテーションに係るリスク(ストライキや労務管理の不備に起因するリスク)
このうち、事業停止に係るリスクついては、数時間から数日程度の事業停止まで完全に回避するとなると対策が膨大で現実性がないものとなるため、「1ヶ月以上事業が停止してしまうこととなるリスク」「当局から事業停止命令が出される可能性があるリスク」等、“取り返しがつかないもの”に着目するとよい。
なお、重要リスクの範囲をあまりに多くした場合、リスク対応へ割くリソースが確保できない可能性があるため、この段階ではスモールスタートを意識するとよい。
そのほか、先に述べた軸に該当するリスクのほか、ここ1、2年の傾向として、リスク管理の巧拙が財務インパクトへ直接影響を与える「経営リスク」(為替リスク、原材料価格の変動リスク、M&A後の事業運営のリスク、従業員の高齢化リスク等)に着目する企業も増加している。
(3)重要リスクへの対応
リスクへの対応策は幅広く、規程類の整備(リスク管理規程、事業継続計画等の策定)、インフラ面での対応(地震や水害に係る工場の強靭化対策等)、組織内への教育や浸透(遵守すべき法令の周知、セキュリティポリシーの説明等)等が挙げられる。上記(2)で特定した重要リスクについては、これら対応策から一つ、あるいは、複数を組みあわせて実行し、リスクを軽減することとなる。この段階で重要なことは、各対応策について、誰がオーナー(責任者)となり、いつまでに対策を進めるか、また、内部・外部コストを含め必要なリソースはどの程度か、という点を検討し具体化することである。例えば、物品やデータの盗難リスクが高い拠点については拠点の入退館のプロセスを見直したり、水害リスクが高い拠点について土嚢を積み上げた簡易な堤防を構築したりと、具体的な対策が検討されることとなるが、期限や必要なリソースを踏まえ、リスク管理委員会あるいは経営陣が会する会議にて、優先的に対応するリスク、対応しないリスク(グループとして許容するリスク)を決定することが必要である。
なお、海外拠点においては、リスクへの対応のみならず対応策検討のためのスキルやリソースが十分でないケースも多く、グループ本社のサポートが不可欠となる。ある製造業では、各種のリスクについて同業他社がどこまでやっているかを確認し、それを海外拠点に展開しており、また、別の企業では、同じグループ内の他企業や他拠点がどのようにリスク対応を行っているか、という事例をとりまとめ、グループ内の拠点に展開し、海外拠点はそれを参考に対応を検討している。
(4)Readiness、Response、Recoveryの3本柱での対応
前節(3)で述べた重要リスクへの対応について、「大規模なインフラや仕組み・システムの構築が対応として必要であるが、リソースの制限によりできない」「不正や機密漏えいリスクのように、事前に十分に備えをしていても発生件数をゼロとすることが難しいものがある」というケースが存在することにも留意しなければならない。
それらについては、Readiness(リスク評価やリスク顕在化を防ぐ事前の対応)だけでなく、Response(リスク顕在化時の対応)やRecovery(リスク顕在化で受けたダメージからの復旧)もあわせて検討することが考えられる。この2つの考え方について、代表的な対応を次にあげる。
海外事業を展開、拡大する限り、リスクをゼロとすることは難しいが、リスクが顕在化した際の対応をできるだけ具体的に考えておくことで、広報対応の失敗によりさらに世間の批判にさらされる等の二次被害を防ぎ、事業への影響を最小限にとどめることが出来る可能性が高まる。重要リスクについては、Response、Recoveryについても是非、検討いただければと思う。
2.海外拠点のリスク管理の先進事例
2-1.既存の内部統制制度を有効活用した事例
世界各国で100拠点近くの製造拠点、生産拠点を持つA社では、内部統制制度を従来より構築していたが、財務諸表の正確性の担保を目的としたその制度が、「就業規則の内容の確認」「情報システムの可用性(事業継続性)の確保」「機密情報の漏洩の防止」等に至るまで幅広くカバーしていることに着目し、その制度を海外拠点のリスク管理に広く準用することとした。
具体的には、近年、他の日系企業で顕在化している諸リスクについて、グループ内の海外拠点にてどのような対策を実施しているか、内部統制制度の枠組み、雛型等を活用しながらアンケートと現地でのヒアリングにて特定し、その結果リスクが高いと想定される拠点については、現地に訪問しての実地調査や、現地ならではの悩み・課題のヒアリングを実施した。対策の検討、実行についてもグループ本社がサポートし、対策状況の進捗についても、内部統制制度における統制の整備状況や運用状況の評価の枠組みの中で確認することした。
これらの仕組みにより、新たなリスク管理制度を導入することなく、また、海外拠点の負担も最小限としつつ、海外拠点のリスク管理が可能となった。
2-2.海外事業のあらゆる分野のリスクを洗い出した事例
連結における海外売上が5割を越えたB社では、これまで海外事業や海外拠点に関するリスク管理を実施しておらず、経営陣はもちろん、社内の各部門において、「いつか大きなリスクが顕在化するのでは」という漠然とした不安を抱えていた。一方、大小様々なリスク全てを評価したり、対応することは、少ない社内リソースの面からは現実的では無い。
解決策として、自然災害、感染症、テロの脅威、デモ・労働争議の拡大、政府による為替・貿易政策の急激な変更等、グループとして抱えるリスクを全て俯瞰しながらも、事業の停止やレピュテーションリスクの毀損に係る重要なリスクについてのみ、詳細な評価や具体的な対応を講じることとした。
リスク評価の過程では、グループ本社の経営陣、部門長全員から、自身が考えるリスクをあげてもらうことで、社内にどのようなリスクが存在するかが明確になるとともに社内にリスク管理の重要性が浸透し、全社一体となって重要なリスクに対応する、という体制が組まれることとなった。 リスク管理
2-3.海外拠点の事業停止をきっかけとしグローバルBCPを策定した事例
中国、マレーシア、フィリピン等の数十の拠点で部品・製品を製造しているC社では、2011年のタイでの水害、2013年でのフィリピンの台風等において製造拠点や拠点間をつなぐ物流が断絶した経験を踏まえ、サプライチェーンの強靭化を目標に掲げた。
それまでも一部の海外拠点においては、事業継続計画(BCP)という名称の文書が存在したが、内容は拠点によりばらばらであったたため、数十の拠点を対象とし、あらためてグループ全体の事業継続計画(BCP)を策定することとした。
BCPは、主に「事業停止リスクの有無、程度の評価」「事業停止リスクへの対応」で構成されることとなるが、各拠点にはBCPを策定するノウハウ、リソースは乏しいことを考慮し、本社が素案を作成することとした。一方、実際にBCPの担い手は各拠点となることから、本社、各拠点間の協議を重ね、拠点側が納得し拠点長がオーナーシップを持った上で、各海外拠点のBCPを完成させた。
以上、2.1から2.3まで日系グローバル企業における事例を3点挙げた。これらの事例では、グループ本社が海外拠点のリスク評価やリスクへの対応をサポートしたこと、事業停止リスク等の特定の種類のリスクに着目して対応を行ったこと、規程類の整備とともに各拠点への浸透に着目したこと等、いくつかの共通点がある。
これらの共通点は多くの業態、企業において適用しうると考えられるため、読者の皆様が海外拠点のリスク管理に取り組む際、参考にしていただければ幸甚である。
リスク管理態勢
銀行は、日常的に、信用リスクや市場リスクといった様々なリスクにさらされております。また、こうしたリスクは、規制緩和の進展や業務の高度化に伴い、さらに多様化、複雑化しております。このため、リスクをいかに適切に管理していくかが、銀行経営における重要な課題となっております。
一方、銀行にとって、リスクは収益の源泉にほかなりません。相応のリスクを取ってこそ、適切な収益を上げることが可能となります。リスクと収益の間には、そのような関係があります。
したがって、銀行は適切な収益目標を定め、そのために発生すると思われるリスクを想定し、適切な管理を行いながら、リスクを取っていくことが必要になります。
こうした中、当行では、リスク管理を経営の最重要課題として位置づけ、期毎に取締役会においてリスク管理計画を定め、より一層のリスク管理態勢の強化とリスク管理水準の向上に全力で取り組んでおります。
リスク管理態勢の整備の状況
当行のリスク管理態勢は、大きく次の4つに分けられます。①コンプライアンス会議のもとにおける法令等遵守管理、②ALM委員会における収益の源泉となるリスクの管理、③信用リスク管理委員会における信用リスクに重点を絞ったリスクの管理、④オペレーショナル・リスク管理委員会における事務リスク、システムリスク等の極小化すべきオペレーショナル・リスクの管理であります。
ALM委員会では、市場リスクや信用リスクの計量化により当行のリスク量を把握し、最適な運用・調達構造の実現と、中長期的な安定収益の確保を目指しております。
また、信用リスク管理委員会では、信用リスク管理、内部格付制度に係る制度設計および検証、バーゼル規制に係る課題対応に取り組んでおります。
一方、オペレーショナル・リスク管理委員会では、オペレーショナル・リスクの実態を特定、評価、モニタリングの上、重要課題について組織横断的に対応を策定する等、オペレーショナル・リスク管理の高度化に取り組んでおります。組織的対応では、オペレーショナル・リスクである事務リスク、システムリスク、法務リスク、人的リスク、有形資産リスクについて、各リスクの主管部署を定め、厳正なリスク管理を行うと同時に、統括部署としてリスク統括部を定め、管理態勢の整備を行っております。
また、リスク管理全般の統括部署である「リスク統括部」は、各リスク主管部署が担当しているリスク管理に関する検証の統括を行っております。
なお、当行のリスク管理体系図は、次のとおりであります。
信用リスク
融資を主たる業務とする銀行にとって、信用リスクの管理が健全性のみならず収益性に関する戦略目標の達成に重大な影響を与えると認識しております。
信用リスクにかかる管理態勢として、リスク統括部を営業関連部門から完全に独立した信用リスク管理部署として定め、「内部格付制度」を当行における信用リスク管理の根幹の制度と位置付け、個社別の与信管理、業務運営等に活用しております。
リスク統括部では、内部格付制度の設計・基準制定および変更、内部格付制度の検証および運用の監視等を所管しており、内部格付制度の適切な運営や格付の正確性・一貫性の確保に責任を負う態勢としております。
一方、審査関連部門は個別与信にかかる審査等を担当しており、営業推進部門から分離し審査の独立性を確保するとともに、融資に関する基本原則を遵守し、お取引先の財務状況や資金使途、返済能力等を勘案した厳正かつ総合的な審査を実施しております。
なお、審査関連部門は、審査関連業務の企画やお取引先の与信にかかる審査を担当する審査部、海運・造船等の審査に特化したシップファイナンス部、企業再生のための経営相談機能をもつ企業コンサルティング部、問題債権を担当する融資管理室の4部室体制としております。
資産の自己査定につきましては、査定基準の制定等をリスク統括部が所管した上で、営業店による1次査定、本部各部による2次査定ののち、リスク統括部による検証を実施する等、厳正な運用体制を確保しております。
また、信用リスク管理強化のためには人材育成が不可欠との観点から、階層別研修の実施等、行員の信用リスク管理能力の向上にも努めております。
市場リスク
市場リスク管理態勢
(注)VaR(バリュー・アット・リスク)
VaR(バリュー・アット・リスク)とは、金利や為替相場、株価等の将来の変動を、統計的手法を用いて推計することによって、一定の期間において一定の信頼性のもとで顕現化する可能性のある「時価ベースの最大損失額」を算出するリスク管理手法です。当行では、いわゆる「政策的に保有している株式」も含めた市場リスクについて、保有期間240日(※)、信頼水準99.9%を前提としてVaRを算出しております。ALM委員会等では、VaRによって把握した「潜在的なリスク」が、自己資本や収益力と比較して、過大になっていないかどうかを常にチェックしております。
(※)2018年度より保有期間を120日としております。
流動性リスク
流動性リスクとは、市場環境の悪化等により必要な資金が確保できなくなったり、または、著しく高い金利での資金調達を余儀なくされるといった、いわゆる「資金繰りリスク」、および市場の混乱等により市場において取引ができなくなる場合や、通常よりも著しく不利な価格での取引を余儀なくされるといった、いわゆる「市場流動性リスク」の2つを意味しております。
当行では、地域における信頼性を背景にした安定的な資金調達力が、流動性確保のための基盤となっております。流動性リスク管理につきましては、半期毎に運用・調達のバランスに配慮した資金計画を策定するとともに、月次ベースで予想・実績を作成し、計画との差異を検証しております。また、市場における取引状況に異変が発生していないかチェックを行い、毎月ALM委員会に報告することにより、市場流動性リスクの顕現化による多額の損失発生を未然に防止する体制としております。
さらに、運用・調達ギャップや資金化可能な有価証券残高等を、ALM委員会および取締役会等へ報告する体制としております。外貨資金につきましては、通貨スワップ等を利用した長期資金調達等によって流動性を確保し、お客さまの外貨資金調達ニーズにお応えしております。
オペレーショナル・リスク
事務リスク
事務リスクとは、役職員が正確な事務を怠ること、事故や不正等を起こすこと、あるいは事務に関連する外部不正が発生することにより損失を被るリスクのことをいいます。取扱商品の多様化やお客さまとの取引量の増加等により、事務リスクも増大する傾向にありますが、当行では、お客さまの信頼にお応えする第一歩は正確な事務処理にあるとの基本的な考え方に立って、堅確な事務処理体制確立のため全力で取り組んでおります。
具体的には、営業店事務のレベルアップを図るため、各種事務規程、マニュアル類を整備し、正確な事務の取扱いに努めるとともに、事務統括部を中心とした本部各部による臨店事務指導を行っております。さらに、営業店自身による自店検査を各店に義務づける一方で、各種研修会を通じて行員の事務管理能力の向上を図る等、事務管理態勢の強化に取り組んでおります。
また、お客さまに関する情報を安全に管理するため、「情報セキュリティ管理規程」をはじめ、より具体的な取扱方法を定めた「情報セキュリティ基準(共通編)」を制定する等、セキュリティ管理態勢の強化に取り組んでおります。
システムリスク
システムリスクとは、コンピュータシステムのダウン・誤作動といったシステムの不備、コンピュータの不正使用、あるいは情報の漏洩・改ざん等に伴い損失を被るリスクのことをいいます。銀行業務の多様化やネットワーク化の進展に伴い、システムリスクはますます増大しております。当行では、システム障害の発生を未然に防止するとともに、万一発生した場合の影響を極小化し、早期の回復を図るため様々な対策を講じております。
具体的には、当行グループの重要システムにつきましては、定期的な点検を実施し、システム障害発生の未然防止に取り組んでおります。また、万が一の障害発生に備え、ホストコンピュータ等の重要機器の代替機設置、営業店とコンピュータセンターを結ぶ通信回線の二重化により、バックアップ態勢を確保しております。さらに、コンピュータセンター自体が災害等により使用できなくなる場合に備えた災害対策システム(バックアップセンターの設置)については、2001年11月より本格運用を開始しております。
また、データの厳正管理、不正使用の防止等、情報システムを安全に管理するため、「情報セキュリティ管理規程」、「情報セキュリティ基準(共通編)・(システム部編)」を制定しております。
コメント