(日本内部統制研究学会2014年8月ERM研究部会 論文 第2章)
Ⅱ.リスク評価指標の意義と役割
1.リスク評価指標と業績評価指標
COSO ERMにおける全社的リスクマネジメント(ERM)の定義は次のとおりである。「ERMは、事業体の取締役会、経営者、その他の組織内のすべての者によって遂行され、事業体の戦略策定に適用され、事業体全体にわたって適用され、事業目的の達成に関する合理的な保証を与えるために事業体に影響を及ぼす発生可能な事象を識別し、事業体のリスク選好に応じてリスクの管理が実施できるように設計された、一つのプロセスである。」[i]
この定義にあるように、全社的リスクマネジメントは、組織のリーダーに対して組織の目標達成に影響を与える潜在的な事象を企業全域にわたって可視化する。組織がその目標を達成する過程において、リスクは絶え間なく発生していることから、タイムリーなリスク情報が強く求められるのである。
当研究書では、取締役会だけでなく経営者が最重要のリスク(top risk)を監視するに当たり、リスク評価指標と業績評価指標を対比してリスク評価指標の有用性を指摘している。すなわち、業績評価指標を監視する企業は多いが、それはリスクが既に組織に影響を与えた結果を示している。一方、リスク評価指標は、将来におけるリスクの推移や新たなリスクを監視するための「判断基準」(metrics)となる。リスク評価指標を利用することにより、早い段階での「前向きな」(proactive)リスクマネジメントができるようになる、としているのである。
業績評価指標は、企業や組織の戦略目標達成状況を把握するための定量的な指標である。業績評価指標は、後述するバランス・スコアカードにおいては、その重要な構成要素となる。
業績評価指標には財務的業績評価指標と非財務的業績評価指標がある。財務的業績評価指標には、売上高、原価、経費、資産・負債残高などの財務諸表項目が使われる。投資利益率(ROI)は、企業の投資効率を示す指標であり、EVA(Economic Value
Added)[ii]は企業価値創造のための業績評価指標として多くの企業が利用している。非財務的指標には,例えば顧客の視点では、市場占有率、新規顧客獲得率、顧客定着率、顧客満足度などがある。[iii]
業績評価指標は客観的指標と主観的指標にも分類できる。業績評価指標を報酬制度に取り込むためには、客観的な成果に基づいたものでなければならないとする考え方がある。新規契約件数、新製品販売数量、新製品売上高などが客観的な指標となる。主観的な指標としては、顧客満足度が挙げられる。[iv]
一方、リスク評価指標は、新たに起こるリスクについての先行指標(leading indicator)である。リスク評価指標は、高まりつつあるリスクについての早期警告指標(early warning indicator)となる。リスク評価指標は、リスクの兆候ないし前兆となる(early signals)となる判断基準(metrics)である。これを適切に利用することにより、リスクや機会の発生を察知し、適切な対策をとるために役立つ。
業績評価指標のうち、例えば財務的業績評価指標である売上高や利益率などは、達成した結果としての成果指標であり、将来を予測する先行指標とはなりえない。この点でリスク評価指標は業績評価指標とは異なる。
リスク評価指標には内部指標と外部指標がある。内部指標は、企業運営における出来事やきっかけ(trigger points)である。例えば、製造工程における製品不良数、顧客からのクレーム数、従業員の退職率などがそれに該当する。
一方、外部指標としては、マクロ経済動向、業界の倒産件数、顧客の財政状態がその例として挙げられる。後述の例ではガソリン価格の動向、不動産価格の動向、同業他社の店舗出店数の動向などが外部指標に該当する。
リスク評価指標は、財務数値や外部統計情報などの客観的な指標であることが望ましいが、場合によってはそれらが利用できないこともある。その場合には、主観的なスコアリングによる評価結果が利用される場面もありうると考えられる。複数の客観的な数値を基にして、それをスコアリングするという手法もある。
主要な業績評価指標は、経営者や取締役会に定期的に報告される。これらは組織全体や主要部門の業績が一覧できるように設計されている。この報告は過去の業績に焦点を当てている。一方、主要なリスク評価指標を経営者や取締役会に定期的に報告することにより、組織全体又は各部門におけるリスクの状況が一覧できるのである。業績については、目標との乖離があれば、その対応策も同時に報告される。これと同様に、リスクに関しても予め設定した限界値を超えているリスクに関しては、それに対する対応策を報告することとなる。
なお、当研究書においては、業績評価指標は過去の実績であり先行指標とはならないとしているが、業績評価指標には、遅行指標と先行指標がある。例えば、経常利益は結果として得られる典型的な成果であり遅行指標であるのに対して、製造スキルの向上は先行指標である。[v]
このように業績評価指標には先行指標が含まれるが、業績評価指標は、将来起こりうるリスクの先行指標となることを本来の目的とした指標ではない。業績評価指標は、戦略目標の達成状況の指標である。先行指標としての業績評価指標はアクションプラン実行の状況を早期に把握するための指標である。従って、場合によっては業績評価指標としての先行指標が、リスク評価指標となりうるものがあるとしても、両者の目的が異なることは明らかである。
2.リスク評価指標の識別と戦略目標
リスク評価指標は、迫り来るリスクについての有益な情報を提供するような判断基準(metrics)でなければならない。また、ビジネスの観点からは、戦略目標達成に影響を与える可能性があるかどうかが、リスク評価指標の設定に当たって重要な要点となる。組織においてリスクの検討を始めると多種多様のリスクが識別できる。しかし、戦略目標の達成への影響が小さいリスクを管理の対象とするのは、リスクへの過剰対応となり、その対策への投資は効果的とは言えない。
このため、リスク評価指標の選定と設計は、組織の戦略目標とその達成に影響を与えるリスクをしっかり把握することから始める。最重要リスク(top risk)とコア戦略を関連づけることが、将来高まるリスクの効果的な先行指標を識別するために必要となる。
当研究書では、リスク評価指標と戦略目標(収益を増加させコストを減少させる)との関係が下図のように例示されている。
利益を増大させるためには、売上を増やすかコストを削減するという2つの戦略が考えられる。下図では売上拡大にはアクションプラン[vi]1と2、コスト削減についてはアクションプラン3と4が実行される。これらのアクションプランの実行に当たって、その実行を潜在的に阻む可能性のあるリスクが5つ識別されている。アクションプランとリスクは一対一で対応しないことが多いため、図のようにアクションプランとリスクが一対n又はn対nの関係になっていることが図示されている。
アクションプランとリスクの関係は複雑であるが、ここではリスクとリスク評価指標は一対一で対応していることがポイントとなる。リスクが識別できればリスク評価指標が識別できるという関係になっている。重要な点は、リスクの識別に当たって、戦略目標(売上拡大、コスト削減)又はアクションプランとの関係を十分検討、分析することである。
図表3:目標、戦略、リスク、リスク評価指標を関連付ける
当研究書では、上述のとおり例えば目標に対するアクションプランの実行を阻むリスクを識別するとしている。リスクとは「目的の達成に不利な影響を及ぼす可能性」[vii]又は「目的達成を阻害する影響を及ぼす事象が生じる可能性」[viii]である。従って、アクションプランの実行を阻害するリスクではなく、目標ないし目的の達成を阻害するリスクを本来識別すべきであると考えられる。
しかし、リスクの発現によりアクションプランの実行ができなければ、目標を達成できないというのも事実である。さらに、企業としては数あるプランの中からこれを実施すれば目標が達成できると考えて定めたアクションプランであれば、その実行を阻害するリスクは重要なリスクであるに違いない。この点については、本稿の後半においてさらに検討することとする。
特筆されることは、当研究書においては、目標ないしアクションプランとの関係において、リスク評価指標の識別するとしている点である。すなわち、戦略目標を管理するマネジメントシステムとの関連においてリスク評価指標を見出すとしているのである。
3.リスク評価指標の識別手順
識別されたリスクに対応するリスク評価指標を効果的に識別する手順は次のとおりである。過去又は現在において組織に影響を与えた(又は与えている)リスク事象を識別し、そこから遡って、仲立ちする事象(intermediate event)と最終的な損失や機会損失につながる根本原因事象(root
case event)を特定する。
リスク評価指標がリスク事象の根本原因事象に近ければ近いほど、経営者はリスク事象に対応するための時間的余裕を持つことができる。当研究書では下図が示されている。
図表4:リスク事象の先行指標
この図は根本原因事象から仲立ちする事象、さらにリスク事象の発生という時間的経過を示している。このように損失に至るまでの事象の連鎖を検討することにより、リスク事象のドライバーすなわち仲立ちする事象又は根本原因事象を見い出すことができる。リスク評価指標は、仲立ちする事象又は根本原因事象に関連する情報の中から識別することができる。
仲立ちする事象又は根本原因事象に関わるリスク評価指標を監視することにより、リスク事象の発現を予防し、また発現するリスク事象による影響(impact)を抑制するための戦略を見出すことができる。
当研究書においては、リスク評価指標の識別について「債務に関わる契約条項への違反」というリスク事象を例に挙げて次のように説明している。
「支払不能」という契約条項違反のリスク事象を監視するためのリスク評価指標を識別するに当たり、それを潜在的に仲立ちする事象を遡って識別する。最近数か月の売上の減少、キャッシュ不足、借入枠内での短期借入又は当座貸し越しの必要性は、近いうちに返済不能が起こる早期警告信号になる。このため、これらは返済不能という契約条項違反を仲立ちする事象と考えられる。
これらの仲立ちする事象をリスク評価指標として監視することにより、経営者は、返済不能になる前に借入先の金融機関と協議するといったリスク軽減策を実施することができる。
もし仲立ちする事象より先に発生する根本原因事象を監視することができたとしたら、仲立ちする事象に係るリスク評価指標を監視するよりも、より時間的余裕をもってリスク事象に対応することができる。
例えば、顧客が属する業界に関する情報、経済指標、購買品の価格動向、労務問題、工場の生産能力、主要な人材の退職率などの指標は、将来の売上の減少、現金不足などの仲立ちする事象を起こす。最終的には返済不能というリスク事象の発現を予測する先行指標となる。さらに、このようなリスク評価指標を監視することにより、売上の減少や業務上の問題が将来発生する前に、経営者が早めに対策を実施することができる。その結果、売上の拡大や業務の改善が実施できるというメリットもある。
図表5:借入契約条項違反を示唆するリスク評価指標(例示)
リスク評価指標の識別プロセスを要約すると次のようになる。
l 過去又は現在において組織に影響を与えたリスク事象を分析する。
l そこから遡って、損失や機会損失を引き起こす仲立ちする事象と根本原因事象を検討する。
l 仲立ちする事象又は根本原因事象を示唆するリスク評価指標を決める。
ここで筆者が検討した事例として、通信事業会社における「大規模な通信障害の発生」というリスクに対するリスク評価指標を紹介したい。大規模な通信障害が起きると、直接通信障害の被害を受けた利用者に影響を与えるだけでなく、マスコミの報道により、通信障害の被害を受けなかった利用者にも悪い印象を与える。このため通信障害は顧客離れの原因となる。
通信事業会社の場合、新規顧客獲得だでなく、自社の携帯電話から自社のスマートフォンへの乗り換えが増えると売上が拡大する。これはスマートフォンは携帯電話に比較すると格段に通信量が増えるためである。
一方、通信事業会社が通信設備の増強や保守に対する投資を怠ると通信障害が起こる可能性が高まる。販売促進策によって一時的に売上拡大したとしても、通信障害が発生すれば顧客離れにより、売上拡大が長続きしない。
通信障害というリスク事象を仲立ちする事象としては、通信回線の容量不足、通信機器の故障、システム設定・変更ミスなどが考えられる。そのそれぞれについての根本原因事象は、通信設備増強投資の不足、予防的保守[ix]の不足、システム設定・変更に関する内部統制の不備などが考えられる。
図表6:仲立ちする事象と根本原因事象の例示(大規模な通信障害の場合)
これらの根本原因事象に関するリスク評価指標を検討すると、例えば次のようなリスク評価指標が考えられる。
図表7:根本原因事象とリスク評価指標の例示(大規模な通信障害の場合)
4.リスク評価指標の限界値の設定
経営者は、ある時点で戦略目標を決定し、それに対するさまざまなアクションプランを実施する。しかし、時間が経過すると予測不能なリスク事象が発現することから、それらの戦略の実現が危ぶまれることになる。リスク評価指標を利用すれば、高まるリスクを監視することができる。
リスク評価指標によって高まるリスクを早期に把握するためには、その指標について一定レベルの限界値を事前に定めておくことが必要となる。この限界値を超えた場合に、戦略の変更を決断したり、新たな対応策の実施を決定したりするのである。リスク評価指標の限界値は、そのような対応策実施のきっかけ(trigger points)となる。
このようにリスク評価指標を利用することにより、リスクとそれに関連する戦略がより早い段階で管理されることから、経営者が定めたゴールや目標を達成する可能性を高めるという利点がある。
経営者が一定時点で最初の戦略を採択し、時の経過とともにリスク評価指標が限界値を超える状況となった時に戦略の変更を行う。この時点でリスク評価指標の限界値も見直す。さらに時間が立つと見直し後の限界値を超える事態を迎えることから、戦略の見直しを再度行うことになる。下図はこのプロセスを図示したものである。
図表8:リスク評価指標は高まるリスクに対して早い段階での管理を促す
5.リスク評価指標を識別する際の情報源とその品質
多くの組織は、長年に渡って培われてきた何等かのリスクの判断基準(risk metrics)を持っている。経営環境が急速に変化する昨今、このような判断基準がそのまま使えるとは限らない。企業に対する社会の目が変わり、企業を評価する軸が変化する。企業は利益を上げていればそれでよいという時代は過ぎ去り、株主だけではなく、消費者、地域住民、政府など多くのステークホルダーとの利害の調整が求められる時代となった。マスコミへの対応を誤ると社会からの信頼回復のために、多くの労力と長い期間がかかることも周知の事実である。
このため、既存のリスク判断基準を新しい判断基準に変えていくことが必要になることになる。ただし、過去からの判断基準の有効性を注意深く評価し、潜在的に高まるリスクを見出すために役立つのであれば、そのまま利用を続けてよい。
リスク評価指標の識別においては、組織内における各対象分野の経験者の手を借りることにより、良い結果が生まれることがある。これはこのような経験者は自らが業務を実施し、又は管理する部門において、ストレスポイント(根本原因事象や仲立ちする事象)がどこにあるかを知りうる最良の立場にいるからである。
ただし、これらの人たちは既存の判断基準に固執する点に注意する必要がある。彼らは、これまで使ってきて判断基準を使いやすいと感じることは容易に想像できる。この点に注意して、このような組織内の経験者からヒヤリングを行うことが必要となる。
効果的なリスク評価指標を設計する上で、もう一つの重要な点は、リスク評価指標となるデータの定義を明確にし、そのデータの把握・収集方法を決定するという点である。
例えば、顧客の財務情報を事業部横断的に収集する場合に決定すべき点は、例えば、すべての顧客が同じように重要か、顧客の規模・取引量が決め手になるか、顧客の財務状況が悪くなるというのはどれぐらいの期間が経ってから判断するのか、一つの顧客が複数の事業部の顧客となっている場合には、どちらの事業部が決定権を持つのか、などである。
過去に発現したリスク事象に関する内部情報が入手可能であれば、将来の潜在的なリスク事象に関する情報となる。しかし、多くのリスク事象に関して、内部情報が得られないことが多い。特に、過去に発現したことがないリスク事象に関する情報は組織内部からは得られない。
大きな影響を与えるリスク事象は、外部の源泉からもたらされることが多い。例えば、
経済状況の変化、利率の動向、新たな法律や規制などがこれに当たる。また戦略に影響を与えるような仲立ちする事象や根本原因事象は、組織の外部からもたらされることが多い。従って、リスク評価指標も外部指標であることが多い。
組織にとってこれまで経験したことのない潜在的なリスク事象を知るためには、外部団体が編集した業界誌やリスクのデータベース[x]のような外部情報が役に立つ。また、主要なステークホルダーである顧客、従業員、サプライヤーなどとのディスカッションからも重要な示唆を得ることができる。法律や規制を綿密に検討すれば、潜在的なリスクやその予兆となる事態を想定するのに役立つ。
リスク評価指標の識別に当たり、次に大事なことはリスクに関するデータの品質である。データの品質を見極めるためには、内部情報、外部情報に関わらず、それらの情報の源泉に注目することが必要になる。リスク評価指標データが、外部又は独立した団体からの情報であれば客観性が高まる。ただし、外部データであるから信頼できるということではないため、入手したデータをしっかり精査すべきである。
組織から独立している外部団体でなくても、対象となるビジネス部門から独立していれば、客観性が保たれる。特定のリスクに継続して関与している者は、最も客観的でないデータの源泉である。しかし、残念なことにリスク評価指標を識別する際に、それが唯一のデータの源泉であることもある。
一つのリスク評価指標がすべてのリスクやリスク傾向の局面を捉えるということは考えにくい。よって、複数のリスク評価指標を同時に分析することが必要となる。といっても、あるリスク評価指標の有効性が高いために、他のリスク評価指標に優先することがある。
いわば一つひとつの情報を「ジグソーバズルのピース」[xi]のように組み合わせて、早期警告を行うようなものとも表現できる。意味のある推理をするためには、過去の経験と判断が要求される。このような経験を重ねるうち、リスク評価指標によるリスク管理が改善されていくのである。
リスク評価指標の主要な要素は、次のとおりである。
l 一般に定着している業務慣行(practices)や評価基準(benchmarks)をベースにする
l 組織全体にバランスよく展開する
l 対象とするリスクに関して、曖昧でなくかつ直観的に理解できる
l 時系列的な比較とビジネス部門間の比較ができる
l リスクオーナーに対してタイムリーにパフォーマンスの評価を促す
l 効率的に利用できる
リスク評価指標の識別を行う際、まず手始めに組織内の5から10の最重要リスクを対象とし、リスクオーナー(リスクの一義的な責任者)に1つか2つのリスク評価指標を識別してもらうことから始めるのがよい。この際、現状使用している業績評価指標と混同するということが予想される。この場合には、1~2の具体例を挙げて業績評価指標との違いについて説明をすることも必要となろう。
6.生鮮食料品店チェーンのリスク評価指標の例示
次に、リスク評価指標の識別をどのように行うかの理解を助けるために、生鮮食料品店チェーンの例を示す。この会社は、利益の拡大を図るため、北バージニアとワシントンDC地域において新規店舗の開店を計画している。この会社のビジネスモデルは、土地を購入して店舗を建設し、自らがキーテナントとして入居するとともに、他の小規模な小売店をテナントとして入居させるというものである。土地取得と店舗開発ができるかどうかは、その時点での資金調達条件にも依存する。
この生鮮食料品店チェーンにおけるリスク事象とリスク評価指標は次のとおりである。
図表9:生鮮食料品チェーンのリスク評価指標(例示)
リスク事象
|
リスクを早い段階で監視するためのリスク評価指標の例示
|
1.ワシントンDC地域での経済低迷が、店舗の賃貸需要や不動産価格に影響を及ぼす
|
l 地域の実際又は予想の貸店舗の入居率
l 地域の店舗賃貸料と不動産買取価格の市況
|
2.ワシントンDC地域における競争の激化
|
l 生鮮食料品店の市場全体の店舗数の増減
l 大規模小売店舗やスーパーマーケットの店舗出店・拡大発表
l 地域における同業他社による大幅かつ持続的な値下げ
|
3.資金調達コストの高騰
|
l 同程度の信用状況の会社に対する借入利率
l 実際又は予想の借入金利動向
l 自社と同業他社の株価動向
|
4.店舗開発と店舗開店の遅延
|
l 実際の店舗開発・開店の進捗と当初計画との比較
l 建設関連の労働組合問題の監視及び地域における大規模建設工事などによる建設労働者の需要状況
|
5.長期の経済低迷による顧客ベースの悪化
|
l 連邦政府機関とその関連ビジネスにおける雇用状況
l 失業率の予想
l 地域における消費者による支出動向
|
7.リスク評価指標の報告と見直しの必要性
組織においてリスク評価指標を活用するためには、組織風土に適合したやり方を採用するとともに、経営者や取締役会からの強いメッセージが必要である。そして、各現場における責任者が積極的に取り組む意欲を持つことも必要となる。
第一義的にリスク評価指標の恩恵に浴にするのはリスクオーナー自身である。これは、彼らは担当ビジネスを適切に管理し、自部門のゴールや目標を達成するための予測ツールを持つことになるからである。
経営者や取締役会は、組織におけるすべてのリスク評価指標について報告を受ける必要はない。これらの者の役割は、組織の最重要リスクに関わるリスク評価指標について理解し、その最新状況を把握することである。
組織全体のリスクマネジメントの責任者は、リスクオーナーと協力して、リスク評価指標の限界値について検討し、その限界値を超えた場合にどのような対応を行うかの計画を立案する。
リスク評価指標の現状値と限界値を比較した概況レポート(dashboard report)は、取締役会や経営者に提出する資料として、ビジュアルで直感的に理解しやすいため、効果的である。このようなレポートには、赤、黄、緑などの色を使用すると一目で状態の把握をすることができる。
下図は、前述の生鮮食料品店の例示を図表化したものである。図表10は各リスク評価指標の現状とトレンドを一目で分かるように作成されている。図表11と図表12のレポートは、限界値を超えているリスク評価指標についての詳細な情報を示している。
図表10:概況レポートの例示(生鮮食料品チェーンの場合)
×:限界値を超える(赤)、△:限界値に近い(黄)、○:問題なし(緑)[xii]
図表11:貸店舗の入居率
図表12:失業率
リスク評価指標の報告頻度は、リスク評価指標の利用者によって異なる。現場運営の管理者にはリアルタイムの報告が有効であろう。経営者に対しては、全社レベルでのリスク評価指標と実績との乖離を記載したものを、例えば月次で報告すれば足りると考えられる。取締役会レベルであると、レポートをさらに集約し、より戦略的な評価に資するものにしてもよい。
大事なことは、リスク評価指標を監視していれば安心という誤った考え方に陥らないようにしなければならない点である。リスク評価指標は、それだけではリスクを管理したり、リスク対応の結果を示したりするものではないからである。
また、各リスク評価指標の予測能力を見直す活動を行うことをERMプロセスのひとつに含めることが望ましい。リスク評価指標をひととおり決定することができたら、その有効性について監視する必要がある。非常に良く出来たリスク評価指標であっても、変化を続ける経営環境に適用するためには、その価値を失う可能性がある。
リスク評価指標を各リスクオーナーに割り当てて運用を開始したとしても、リスク評価指標を利用した活動を見直し、新しい環境に適応させなければならない。このため、リスク評価指標を最初に導入した時点で、その導入後にリスク評価指標のパフォーマンスを継続的にフォローアップする体制について決めておくことが必要となる。
0 件のコメント:
コメントを投稿