IPOを目指す会社のための
リスクコンサルティング
上場審査に必要なリスクの認識・対応のサポートを行います
ライフサポートのリスクコンサルティング
J-SOX・IPO・業務の内部監査 それぞれの仕組みづくりからサポート
会社には様々なリスクがあります。リスクに対応するためには、まず会社のリスクを把握し管理する仕組みが必要です。
内部統制上認識すべきリスクと上場審査上認識すべきリスクを専門的な観点から実務的なアドバイス・サポートをいたします。
リスクの
分析と評価
リスク対策の
モニタリング
リスク対策の
検討と実施
①リスクの分析と評価
②リスク対策の検討と実施
③リスク対策のモニタリング
リスク管理の仕組みづくり
業務上の様々なリスクに対応するためには、まず会社のリスクを把握し管理する仕組みが必要です。
そのためにはリスク管理委員会を設置して、リスクを管理する体制を整備することが有効です。
●リスク管理のプロセス
⓪リスクの定義等管理についてのルールを決めます。
①会社・組織目標の達成を阻害する要因をリスクとしてもれなく列挙
②-1リスクを共有し、ジャンル別に分類、主管部門を決定する
②-2リスクを評価し、対応の優先順位をつける
③~④リスク対策を検討し、業務に反映
⑤業務視点と、業務とは独立した視点でモニタリングを実施
⑥対策実施についてリスク軽減の評価
リスク管理委員会で①~⑥のプロセスを繰り返すことで、
リスク管理体制が向上します
●プロセスの運用方法
自社のリスクを定義
会社の「リスク」に当たるものを検討します。
例)・会社に直接または間接に経済的損失をもたらす可能性
・事業の継続を中断・停止させる可能性
・会社の信用を毀損し、ブランドのイメージを失墜させる可能性
・財務報告等の虚偽記載が発生する可能性
リスクの洗い出し:全社のリスクを網羅
・会社・組織目標の達成に影響を与える事象について、会社・組織目標の達成を阻害する要因をリスクとして挙げます。
・会社の経営理念の実現、永続について、売上を伸ばすことや戦略の成功等の視点で、当該事業年度期末までの時間軸で
考えます。
・自部門のリスクだけでなく、他部門についても気づきの参考として共有します。
分析・評価:リスクヒートマップの作成
リスクを「影響」と「現実化の可能性」について、定量と定性の指標を数値化
対応:回避・低減・移転・受容に分類し、対応策を講じる
リスクヒートマップより会社規模やコストのバランスをも考慮し対策を検討
リスクの移転~保険の活用~
コストの面も含めてすべての面で回避・軽減をすることは難しいですが、発生した場合の被害の規模や金額が大きく受容できないリスクに関しては、リスクの一部もしくは全部を第3者に移転することを検討していきます。
リスクを第3者に移転するためにはリスクを金銭的に評価して対価を支払ってリスクを引き受けてもらうことになります。最も代表的なものが保険です。
会社を取り巻くリスク
リスクはさまざまなものがありますが、それは定義づけによって変わります。
たとえば、法令改訂にともなうリスク、地震による事業継続リスク、海外進出にともなうカントリーリスクなど、範囲を広げればいくらでもリスクは存在します。
その中から内部統制上認識すべきリスクと上場審査のために認識すべきリスクとを分類しなければなりません。
内部統制上のリスクとは
●全社的な内部統制に係るリスク
全社的な内部統制とは、内部統制の要となるもので、経営者が自社を経営するにあたり大事にしている、社内・社外に伝えたい自らの考えを明文化したもので、経営理念などと被る概念です。簡単にいえば、経営者が自ら含めて、不正をしない・させないためにどのような考え方、対策をしているかをあらわしたものになります。したがって、本来的には全社的な内部統制の評価項目は、会社によって違って当然です。とはいうものの、一般的には実施基準で示された42項目に準じて整備・評価がされています。
全社的な内部統制の評価項目は、6つの基本的要素(a.統制環境、b.リスクの評価と対応、c.統制活動、d.情報と伝達、e.モニタリング、f.ITへの対応)からなり、具体的には経営者の倫理観、組織構成、人事政策、リスクマネジメント体制、コンプライアンス体制、内部監査体制などがあげられます。
この全社的な内部統制の不備が内部統制上のリスクのひとつと言えます。
統制環境
・経営理念、企業倫理、行動規範等の明文化
・財務報告に係る内部統制基本方針書の作成
・年度事業計画(人材採用方針)の作成
・人事考課制度の整備
情報と伝達
・財務報告に係る内部統制基本方針書の作成、内部統制規程の整備
・収集資料一覧表の作成、決算事前ミーティングの開催、議事録の整備
・内部統制に影響を及ぼす事実が発覚した場合の伝達ルートの整備、社内ルールの策定
リスクの評価と対応
・リスク管理規程の整備
・リスク管理委員会等の組織(会議)体の整備、議事録の整備
モニタリング
・業務プロセスの可視化
・内部監査規程および内部統制規程の整備
・評価範囲検討資料・内部監査計画書の作成
・人事考課規程等による各業務プロセスの責任者における要件の記載
・内部統制に関する教育プログラムの設置
統制活動
・職務権限規程、業務分掌規程の整備
・稟議制度の整備
・フローチャート・業務記述書
・RCM(3点セット)の作成
ITへの対応
・事業計画書、予算書等へシステム開発投資などの記載
・自社のIT環境を把握できる資料の作成
・アクセス権管理、バックアップ管理、マスタ管理についてのルール整備
●業務プロセスに係るリスク
上場審査のために認識すべきリスクとは
上場申請書類「Ⅰの部」に記載する「事業等のリスク」
上場申請書類「Ⅰの部」で求められる記載内容に「事業等のリスク」という項目があります。届出書に記載した事業の内容、経理の状況等に関する事項のうち、財政状態、経営成績及びキャッシュフローの状況の異常な変動、特定の取引先・製品・技術等への依存など、投資者の判断に重要な影響を及ぼす可能性のある事項を一括して具体的に記載する必要があります。
金融庁の「記述情報の開示に関する原則」には望ましい開示に向けた取組みとして下記の点を挙げています。
望ましい開示に向けた取組み
取締役会や経営会議において、そのリスクが企業の将来の経営成績等に与える影響の程度や発生の蓋然性に応じて、それぞれのリスクの重要性(マテリアリティ)をどのように判断しているかについて、投資家が理解できるような説明をすること
時々の経営環境に応じ、経営方針・経営戦略等との関連性の程度等を踏まえ、取締役会や経営会議における重要度の判断を反映すること
リスク管理上用いている区分(例えば、市場リスク、品質リスク、コンプライアンスリスクなど)に応じた記載をすること
認識したリスクへの対策の検討と実施
事業上のリスクへの対策例
ケース1 情報漏洩
PC等の情報機器の紛失、盗難により数万人の顧客の個人情報を流出させてしまった。
対応例:情報セキュリティ規程等の規程の整備
会社を取り巻く情報リスクは様々です。情報システムやインターネットが企業の運営に欠かせないものとなっている現在、会社のブランドイメージの失墜等の多大な影響を及ぼしかねない情報リスクをどのように低減するか、そのために情報資産をどのように管理し運用するか、社内のルールとして情報セキュリティ基本規程が必要です。
●情報セキュリティ基本規程策定のポイント
情報資産をどのように管理するか定める
不正な情報の持ち出しや紛失の防止を防ぐために情報資産の適切な管理・運用方法を定めます。
①保管の仕方(保管方法、管理責任者、情報の使用者)
②社外への持ち出しの可否
③適切な廃棄方法
④定期的なバックアップの必要性
情報資産への適切なアクセス権
①アクセス制御
会社の経営情報や経理データ等の重要情報へのアクセス権は、会社の業務分掌及び権限に合ったアクセス制御が必要です。退職者や人事異動に伴った適切なアクセス権の変更も重要です。
②情報端末への認証
社外で情報端末を紛失した場合や、社内に外部から侵入者があった場合、不正に会社の情報端末を利用されないように、各端末ごとのログインパスワードの設定等の管理が必要です。
③物理的な侵入の防止
重要情報を保管している場所や情報が集まっている場所はセキュリティカードによる入室制限で物理的に侵入を防止する方法があります。また、社外の人がどこまで立ち入って良いのかどうかといったルールや立ち入りが必要な場合の手順等、来客時の対応を定めることも重要です。
システム障害時の対応
早期の業務再開のためにも、障害発生から復旧、及び再発防止策の実施までの一連の手順を定める必要があります。
●規程・マニュアルの作成
社内規程は書面として作成しているだけでは意味がなく、実際の業務において運用されており、各規程や細則との整合性も必要です。規程は自分の会社に合った内容でなければ形骸化したものとなってしまい、従業員の不正やミス等のリスクに対応できず、ネットや書籍から流用したものでは不十分です。
①上場会社にとって運営に必要な諸規程を揃っていること
会社の業務内容や規模によって、必要な社内規程の内容は異なります。会社に合わせて、必要な諸規程が揃っていることが重要です。
②最新の法令に対応していること
会社法・金融商品取引法・商法を始め、会社を取り巻く法令は様々です。現状の規程が最新の法令に対応しているか確認し、必要に応じて改訂をしていく必要があります。
③規程間の整合性
規程間及び細則・実施要領、業務マニュアルとの整合性があることが必要です。
④規程の周知・管理の仕組みがあること
作成・改訂した規程は、従業員に理解してもらうことが必要です。
また、定期的な見直し・規程の体系化による管理・改廃変更する際の仕組みづくりも重要です。
●顧客や取引先から訴訟を起こされるリスク
国内の情報漏洩は年間約443件起きており、1件当たりの平均想定損害賠償額は6億3,767万円にも上ります。PC等の情報機器の紛失、盗難やメールの誤送信等のリスクは、ある程度規程やマニュアルの制定で補えますが、サイバー攻撃によるデータの盗難等の悪意のある攻撃についての対策は難しい場合もあります。そのように規程やマニュアルの制定だけでは防ぐことができない訴訟リスクに対しては保険で高額な賠償に備えることもできます。
労務リスクへの対策例
ケース2 従業員からの訴訟
・従業員から未払残業代の支払を求める訴訟を起こされた。
・パワハラを受けた従業員が、会社と社長に対して慰謝料を請求した。
就業規則の整備、見直し
労務関連の法令は近年目まぐるしく改正されています。規程が最新の法令に対応できていないと、従業員との労使間トラブルに発展し、訴訟等のリスクとなりますので、定期的な就業規則の見直しによって最新の法令に即した整備が必要です。
●未払い残業代問題
改正前の労働基準法では残業代に請求権の消滅時効期間が2年となっておりましたが、令和2年4月から3年となり、いずれは5年になります。会社にとって就業規則の不備や残業代の計算方法の誤り等で未払い残業代が発生していると、使用者にさかのぼって支払わなければならないケースとなり、非常に大きなリスクとなります。
●セクハラ、マタハラ、パワハラの防止
男女雇用機会均等法、育児・介護休業法、労働施設総合推進法で上記のハラスメントの防止として、違反した社員の懲戒処分や相談窓口の設置が会社の義務とされており、これらの内容も就業規則に盛り込む必要があります。
●労務に関する訴訟は会社の責任が問われる可能性が高い
支払・賠償責任を争われた場合に企業にとって不利な訴訟として、使用者賠償責任訴訟の事例が多くあります。就業規則整備や業務ルールの制定は重要ですが、訴訟を起こされた場合のリスクを完全に0にはできず、高額な賠償には保険で備えることも対応策となります。
事業継続リスクへの対策例
ケース3 大規模な自然災害による事業継続困難
本社が被災し、事業を休業した。
BCPの策定
感染症の流行や予期せぬ自然災害等の緊急時に、事業の中断を最小限にし可能な限り早期の事業再開をすること、また社員やその家族の安全を守るためにBCPの策定が有効です。