1. HOME
  2. リスクマネジメント
  3. 【連載】不祥事とガバナンスの再構築~正しく「3線」防御の態勢を整備せよ

【連載】不祥事とガバナンスの再構築~正しく「3線」防御の態勢を整備せよ

日本では「3線」防御というと、「3回、チェックすれば間違いが少なくなる」という程度の浅い理解にとどまっている。以下では、正しく「3線」防御の態勢を整備するうえで、日本独自のガバナンスのどこが問題なのか、また、日本企業・金融機関は、今後、何をすべきかを記載したい。

【連載】不祥事とガバナンスの再構築~正しく「3線」防御の態勢を整備せよ
  1. 「1線」の業務部門におけるリスクオーナーシップの確立
  2. 独立社外取締役による「2線」を通じた監督機能の発揮
  3. 現場のリスクオフィサー、コンプライアンスオフィサー等の独立性確保と機能強化
  4. 独立社外取締役の指揮による監査機能の確立
  5. 執行部門には戻らない内部監査の専門職の確保
  6. 取締役会の視点に立った経営監査の実践
  7. 最後に

「1線」の業務部門におけるリスクオーナーシップの確立

不祥事が起きると、収益・業績を優先する経営姿勢が批判されることが多い。しかし、すべての企業・金融機関には、収益・業績の目標がある。チャレンジ、ストレッチの目標があること自体は問題ではない。目標が過大であったかどうかも結果論に過ぎない面もある。

問題なのは、「1線」がリスクオーナーであり、リスクマネジメントの第一義的な責任を果たさなければならないことが忘れられていることだ。

取締役会は、「1線」の業務部門長、現場責任者に対して、収益・業績の達成を求めるだけでなく、彼らがリスクオーナーシップを持つよう働きかけ、組織のリスクカルチャーを健全に保たなければならない。

国際社会では、取締役会の指揮下で「1線」の業務部門長、現場責任者は、重要なリスクを洗い出し、対応策を策定する。それらが有効に機能しているかを自己評価し、取締役会に説明する責任を負っている。

最近、日本企業・金融機関でも、リスク・コントロール・セルフアセスメント(RCSA)を実施する先が増えてきたが、リスクオーナーとしての意識が不足し、自己評価が形骸化しているケースも目立つ。

経営者は、「1線」、「2線」の責任者であるから、本来、収益・業績とリスクのバランスをとる必要がある。しかし、多くの経営者は、「1線」の業務部門長や現場責任者と感覚が近く、収益・業績を優先しがちだ。

独立社外取締役は、「1線」における収益・業績目標達成のための取り組みとリスクへの対応について、「2線」、「3線」を通じて客観的に評価し、経営者を正しく導く必要がある。

経営者を含む「1線」のリスク・オーナーシップが形骸化してしまうのは、「2線」、「3線」を通じた独立社外取締役による監督、監査の機能が弱いからにほかならない。

独立社外取締役による「2線」を通じた監督機能の発揮

国際社会では、取締役会のなかに、リスク委員会、コンプライアンス委員会、品質評価委員会など「2線」の各部門を指揮する専門委員会を設置するのが一般的だ。委員長は独立社外取締役が務め、メンバーの過半数は独立社外取締役が占める(図1、3参照)。

リスク管理、コンプライアンス、品質管理などの監督の枠組みは、上記委員会で、独立社外取締役が中心になって協議・決定される。金融機関であれば、リスクアペタイト・フレームワーク(RAF)と総称される監督の枠組みがリスク委員会で協議・決定される。リスク・コントロール・アセスメント(RCSA)はその枠組みの一部である。

日本でも、メガバンクなど大手金融機関は、海外のプラクティスにならい、取締役会のなかにリスク委員会を設置し始めた。

地域銀行、一般企業では、そうした動きはまだみられない。取締役会のなかにリスク委員会等は設置されておらず、リスク管理等の重要事項の決定は、執行サイドの経営会議で行われている。独立社外取締役に対しては概略が形式的に報告されるに過ぎない(図表2-1,2-2、3参照)。

こうした取締役会の構造・運営では、執行サイドが独立社外取締役へのリスク情報を意図的に選別・遮断できてしまう。実際、スルガ銀行の不正融資に関する情報は、執行役員によって選別され、取締役会に報告されなかった。

リスク情報の選別・遮断を防ぐには、独立社外取締役はリスク委員会等のメンバーとなるだけではなく、「2線」を通じて監督機能を発揮できるように規程を整備する必要がある。

具体的には、リスク委員会等で決定した監督の枠組みからの逸脱・違反行為や経営に重大な悪影響を及ぼす懸念があるときは、「2線」の部門長は、経営トップを飛び越えて、リスク委員会等に直接報告を行う義務があることを規程に明記するべきである。

一方、リスク委員会等は何らかの懸念を感じる場合、「2線」に対して、リスク検証の実施を指示し、結果報告を直接受ける権限を持つ必要がある。

現場のリスクオフィサー、コンプライアンスオフィサー等の独立性確保と機能強化

国際社会では、「2線」を構成するリスク管理部門、コンプライアンス部門などは、「1線」の業務部門から独立しているのが一般的だ(図1参照)。

これに対して、日本企業・金融機関では、「2線」は「1線」に従属する組織構造となっていることが多い。

たとえば、日本企業の品質データ管理部門は、「1線」の業務部門のなかに置かれている。担当役員、業務部門長は「1線」と「2線」の両方を指揮しているのだ。この誤ったガバナンス構造が、品質より納期を優先しがちな悪いリスクカルチャーを生む背景・原因となっている(図2-1参照)。

日本の金融機関では、バブル崩壊後の金融危機の発生を踏まえ、統合リスク管理の態勢整備が進んだ。このとき金融当局の指導もあり、「1線」の業務部門から独立した「2線」としてリスク管理部門が設置された。

現状、日本の金融機関では、「2線」のリスク管理部門等の担当役員・部門長が「1線」の業務部門の担当役員・部門長を兼務することはほとんどなくなっている。

しかし、営業現場をみると、リスクオフィサー、コンプライアンスオフィサー等は、営業店長配下の担当者(次席者)が兼務しているケースが多い。実は、日本の金融機関の営業現場では、「2線」は「1線」から独立していないのだ。この誤ったガバナンス構造が、リスク管理、コンプライアンスより収益・業績を優先する悪いリスクカルチャーを生む背景・原因となっている(図2-2参照)。

兼務者による片手間の仕事では、「2線」の各本部から送られてくる膨大な通達は机上に積み上がり、関係者への回覧も形式的になりがちだ。本来、リスクオフィサーが果たすべき、ミスコンダクトの監視機能や研修・指導等のサポート機能が弱くなってしまう。

本来、リスクオフィサー、コンプライアンスオフィサー等が果たすべき役割は多岐にわたる。良いコンダクトとミスコンダクトの類型化、営業店長を含むミスコンダクトの監視、リスクオーナーシップを高めるための正規・非正規、役席・担当者向けの研修・指導など「1線」の兼務者による片手間の仕事では到底できない。リスクオフィサー、コンプライアンスオフィサー等による監視、指導機能が弱ければ、「1線」のリスクオーナーシップは確立しない。

日本の金融機関も、海外金融機関にならい、「2線」の本部に直属するリスクオフィサー、コンプライアンスオフィサー等の配置を検討するべきである。

リスクオフィサー、コンプライアンスオフィサー等の要員として、内部監査部門の準拠性監査要員を「2線」に移管し、「2線」の中で重複する役割・機能を再整理すれば、大幅な要員の追加は避けられるはずだ。

独立社外取締役の指揮による監査機能の確立

国際社会では、監査の責任者には独立性が最重要視される。監査委員会は、独立社外取締役のみで構成されるのが一般的であり、監査法人の選定や内部監査部門長の選解任、監査資源の確保に関する権限を有する(図1,3参照)。

これに対し、日本の三様監査では、監査機能に十分な独立性が確保されない。社内監査役、社内監査委員の存在や社長直属の内部監査部門は監査機能の独立性と実効性を弱めるものだ。国際社会では、不祥事の誘発、隠ぺいにつながるため、違法、許容できない悪慣行とみなされている(図2-1,2-2,3参照)。

実際、日本の不正会計、不祥事で社内監査役、社内監査委員が不正に関与した事例や社長直属の内部監査部門が隠ぺいに加担した事例がみられる。スルガ銀行の事件でも、社内監査役は端緒を把握しながら社外監査役に伝えず、内部監査部門は十分な調査を行わなかった。

不祥事対策のためだけに、監査機能の大改革に取り組む必要があるのかと、疑問に感じる経営者もいるだろう。成功している経営者ほど、その傾向が強いかもしれない。しかし、変化の時代にあって、不祥事とは無縁と考える経営者は認識が甘いと言わざるを得ない。

独立社外取締役の直接指揮下に監査機能を置くプラクティスが、国際社会に広まったのは、不祥事対策のためだけではない。独立社外取締役のラインで監査を行うと、経営改善が進むというメリットを経営者が実感したからだ。

たとえば、海外企業でも経営者が旗を振る案件に関するバッド・ニュースは、「忖度」が働き、経営者本人には伝わりにくかった。しかし、独立社外取締役の指揮下に監査機能を置き、別ラインでチェックすると、より早く正確な情報が経営者にも伝わるようになった。しかも、問題点の指摘だけでなく、改善策まで提言してくれる。経営者は安心して本業に専念できるようになったのだ。

独立性が不十分な三様監査の限界を理解し、独立社外取締役の指揮下で国際標準の監査機能を確立するべきだ。

メガバンク等の大手金融機関や一部の先進的な地域銀行では、監査機能の独立性を高めるため、監査委員長に独立社外取締役を選任し、「3線」の内部監査部門を指揮する権限を与え始めている。

執行部門には戻らない内部監査の専門職の確保

独立社外取締役が監査の責任者として機能するには、彼らの指揮下で継続的に働く監査の専門職が必要になる。

国際社会では、内部監査要員は、公認内部監査人(CIA)の有資格者が主力だ。彼らは資格の取得を義務付けられているだけではなく、執行部門には戻らない専門職である。執行部門との「馴れ合い」を排除して、独立した立場で経営を客観的に評価するためだ(図1,3参照)。

さらに、将来の幹部候補を、トレーニーなどの形で内部監査部門に配属するのがグッド・プラクティスとされている。多くの現場をみせて、内部統制のあり方を考えさせる。そのうえで経営に対して提言をするよう求め、競わせるのだ。

日本企業・金融機関も、独立社外取締役の指揮下で働く監査の専門職の設置を検討するべきだ。

メガバンク等を中心に、内部監査部門を監査委員会に直属する組織として位置付けるとともに、準拠性監査の要員は「2線」へ移管。「3線」の内部監査部門に残った要員は、取締役会の視点に立って、経営監査を実践する強力な専門集団として編成し直す動きがみられはじめている。

取締役会の視点に立った経営監査の実践

独立社外取締役は、「1線」からは業務の遂行状況に関する報告を受けている。「2線」からはリスクとその対応方針に関する報告を受けている。

そのうえで独立社外取締役は、「3線」の内部監査部門に対し、「1線」、「2線」の内部統制が有効に機能しているかを独立した立場で客観的に評価するように求める。問題があれば、その点を指摘し、改善策を提言するように指示する。

国際社会では、内部監査とは、独立社外取締役が行う「経営の最終チェック」であり、「経営監査」と呼ぶのがふさわしい。

一方、日本企業・金融機関の内部監査は、内部統制の有効性を評価するとは言っても、結局、定められたルールが守られているかを検証することに主眼が置かれている。

独立社外取締役は、内部監査部門に対して、経営者を監督する取締役会と同じ視点に立つことを求めなければならない。

たとえば、独立社外取締役は、変化の時代にあって、ビジネスモデル・戦略の前提を根本から問い直す問題提起をすることがあってもよい。難しい問いかけではあっても、内部監査部門は客観的な評価を下さなければならない。

  • 今のビジネスモデル・戦略を続けて、経営理念は実現できるのか
  • 顧客・社会に対する価値提供は十分にできているか
  • 株主に約束した目標・業績の達成はできるのか
  • 上記ができない場合、それはなぜか
  • 環境変化に合わせたビジネスモデル・戦略の見直しは必要ないか

組織運営面でも、見落としがちな懸念を率直に表明し、内部監査部門に実態の把握を求めるべきである。

  • 従業員は適切な動機付けの下で働いているか
  • 重大な影響を及ぼすミスコンダクトはみられないか
  • リスクカルチャーは健全に保たれているか
  • エマージング・リスクへの対応はできているか

なお、不祥事が多発している現状を踏まえると、独立社外取締役は、内部監査の結果を受けて、場合によっては人事処分を厳しく求める必要もある。海外の有力企業・金融機関では、内部監査の指摘を受けて、取締役会がリスクオーナーシップの希薄な部門長を更迭する例はよくみられる。

  • 部門長はRCSAでは問題なしと自己評価していたが、内部監査で問題が発覚したため、リスクオーナーシップの希薄な部門長を更迭

最後に

日本では、独立社外取締役、社外監査役が不正会計や不祥事に関連して、法的責任を問われたケースは、これまでみられなかった。取締役会、監査役会への情報の選別・遮断があったことが理由だ。スルガ銀行の第三者委員会報告書も、過去の判例にしたがい、独立社外取締役、社外監査役には法的責任はないと判断している。

しかし、会社法では、内部統制システムを構築する法的な責任を有するのは、経営者ではなく、取締役会である。

リスク情報や重大な懸念が「2線」、「3線」を通じて独立社外取締役に伝わらない。独立社外取締役は「2線」「3線」に対して調査を指示する権限もない。このように不完全な内部統制システムの構築を容認した法的責任は、独立社外取締役にはないと言えるのだろうか。

有識者の中には、「今後、裁判所の判断は変わるだろう。道義的にも法的にも、知らなかったではすまされない時代になる」との意見も聞かれるようになった。

独立社外取締役は、内部統制システムの再構築を経営者任せにしてはならない。「3線」防御の態勢のなかで、独立社外取締役が主体的な役割を果たすことができなければ、ガバナンスが確立することはない。

本稿に記載された意見はすべて筆者の個人的な見解にもとづくもので、筆者が所属する組織・団体の代表的な見解を示すものではない。

リスクマネジメントカテゴリのオススメの記事
【連載】不祥事とガバナンスの再構築~ビジネスモデルの行き詰まりがミスコンダクトを誘発する

最近の不祥事の多発は、経営環境の変化に伴うビジネスモデルの行き詰まりと決して無関係ではない。ガバナンス改革は着実に進展しているが、日本独自のガバナンス慣行が有する弱点、限界を理解しないまま、ガバナンス改革を中途半端に終わらせることは危険であることを知る必要がある。とくにスルガ銀行の失敗は多くの金融機関にとって教訓とすべき点が多い。
本連載(全2回)では、近時の不祥事を例にあげ、日本独自のガバナンス態勢の問題点、正しく「3線」防御の態勢を構築する必要性について解説していく。

基礎から学ぶ信用リスク管理 ~10分でわかる基本と各種計算式

金融機関において避けては通れないテーマの一つである「信用リスク管理」。これから信用リスク管理について学ぶ方のために、長年「信用リスク管理」に携わってきた筆者が、言葉の定義から各種計算の基礎、債務者格付制度、スコアリングモデルまで、初心者にも理解しやすいよう丁寧に解説する。

【 寄稿 】
日本金融監査協会
リスクガバナンス研究会

碓井 茂樹 氏

The Finance をフォローする