海外拠点におけるリスク管理の実践 ブックマークが追加されました
ナレッジ
海外拠点におけるリスク管理の実践
「地政学リスクを踏まえた、日本企業のあるべきリスク管理」Vol.4(『企業リスク』2016年7月号掲載記事)
自然災害、感染症、テロの脅威を背景とし、人命に影響を与え、また、サプライチェーンの寸断の可能性のあるリスクが急激に拡大しており、デモ・労働争議の拡大、政府による為替・貿易政策の急激な変更等、海外事業の拡大に応じ、日系グローバル企業はこれまで以上に様々なリスクを抱えることになった。これらのリスクについて、まずどこから検討を始めればよいのか、いくつかの日系グローバル企業での先進事例を紐解き説明したい。
1.海外拠点におけるリスク管理の実践
※図表および詳細記事はPDFをご確認ください
1-1.日系グローバル企業におけるこれまでの課題
日系グローバル企業が海外拠点におけるリスクを検討する際、陥りやすい点(課題)が二つある。一つ目は、リスク管理規程、安全管理規程、事業継続計画(BCP)、セキュリティポリシー等の規程の整備を終え満足してしまうこと、二つ目が、子会社の自主性に任せ、リスク管理に関して本社から特段のサポートを行わないことである。
一つ目は多くの日系企業にあてはまるケースでもあるが、グループ本社が苦心して策定した規程類が海外拠点で活用されているケースは少なく、海外拠点の日本人駐在員、ローカルスタッフにヒアリングしても、それら規程類の存在すら知らないことも多い。また、海外拠点では、重厚かつ膨大な種類の規程類を読み解き、かつ、対応できるようなリソースを備えているケースは少ない。
このような状況を回避するため、グループ本社としては、規程類を策定することと同じ程度の労力を費やし、それらをどのように浸透させるかを考え、浸透状況を定期的に確認することが必要となる。
次にリスク管理に関して本社から特段の管理やサポートは行っていないケースであるが、こちらも海外拠点にヒアリングしてみると、「自分たち(海外拠点)はリスク管理の専門家ではないため、何をどうすればよいのかわからない」「リスクへの対策をせよ、とグループ本社から指示を受けても、自分たちで執行できる予算は少なく対策ができない」という不満も聞かれる。後述するとおり、この点も本社として一定のサポートが必要となる。
1-2.どこから始めればよいのか
リスク管理がうまくいっている企業に共通する点として、「網羅的ではなく、重点を置いて評価・対応するリスクを特定している」「リスク管理に関するノウハウが子会社にはないことを前提に、本社からのサポートを可能な限り行っている」という点が挙げられる。これらの企業で実際に採用している手順をふまえ、進め方を解説する。
(1)リスクの評価
グローバル企業では、大小さまざまなリスクを抱えているが、不正リスク、贈収賄リスク、自然災害のリスク等の個別のリスクにピンポイントで焦点を当て検討をはじめた場合、進め方やリスク評価結果を経営陣や社内各所へ報告した際に、「本当にそのリスクだけでよいのか」「その他のリスクのほうが重要ではないのか」という問いが数多く寄せられることとなる。そのような状況を防ぐために、冒頭に挙げたような、自然災害、感染症、テロの脅威、デモ・労働争議の拡大、政府による為替・貿易政策の急激な変更のリスク等、グループ全体として抱えるリスクを俯瞰し、その中から、経営陣や各部門へのヒアリングや、グループ内の過去のリスク顕在化事例を考慮のうえ、焦点を当てるリスクを特定することが必要となる。
このプロセスにおいて俯瞰するリスクの範囲を図表1で例示する。
(2)重要リスクの特定
次に、(1)でヒアリング等を元に焦点を当てることを決めたリスクのうち、さらに詳細な評価を行い、具体的に対応を講じることとする重要リスクを特定する。重要リスクの考え方は諸々あるが、日系グローバル企業では、以下の軸から検討することが多い。
●従業員の安全を脅かすリスク(テロ・暴動、自然災害、工場の火災・爆発)
●事業停止に係るリスク(自然災害等のほか、法令違反やソフトウェアのライセンス違反)
●レピュテーションに係るリスク(ストライキや労務管理の不備に起因するリスク)
このうち、事業停止に係るリスクついては、数時間から数日程度の事業停止まで完全に回避するとなると対策が膨大で現実性がないものとなるため、「1ヶ月以上事業が停止してしまうこととなるリスク」「当局から事業停止命令が出される可能性があるリスク」等、“取り返しがつかないもの”に着目するとよい。
なお、重要リスクの範囲をあまりに多くした場合、リスク対応へ割くリソースが確保できない可能性があるため、この段階ではスモールスタートを意識するとよい。
そのほか、先に述べた軸に該当するリスクのほか、ここ1、2年の傾向として、リスク管理の巧拙が財務インパクトへ直接影響を与える「経営リスク」(為替リスク、原材料価格の変動リスク、M&A後の事業運営のリスク、従業員の高齢化リスク等)に着目する企業も増加している。
(3)重要リスクへの対応
リスクへの対応策は幅広く、規程類の整備(リスク管理規程、事業継続計画等の策定)、インフラ面での対応(地震や水害に係る工場の強靭化対策等)、組織内への教育や浸透(遵守すべき法令の周知、セキュリティポリシーの説明等)等が挙げられる。上記(2)で特定した重要リスクについては、これら対応策から一つ、あるいは、複数を組みあわせて実行し、リスクを軽減することとなる。この段階で重要なことは、各対応策について、誰がオーナー(責任者)となり、いつまでに対策を進めるか、また、内部・外部コストを含め必要なリソースはどの程度か、という点を検討し具体化することである。例えば、物品やデータの盗難リスクが高い拠点については拠点の入退館のプロセスを見直したり、水害リスクが高い拠点について土嚢を積み上げた簡易な堤防を構築したりと、具体的な対策が検討されることとなるが、期限や必要なリソースを踏まえ、リスク管理委員会あるいは経営陣が会する会議にて、優先的に対応するリスク、対応しないリスク(グループとして許容するリスク)を決定することが必要である。
なお、海外拠点においては、リスクへの対応のみならず対応策検討のためのスキルやリソースが十分でないケースも多く、グループ本社のサポートが不可欠となる。ある製造業では、各種のリスクについて同業他社がどこまでやっているかを確認し、それを海外拠点に展開しており、また、別の企業では、同じグループ内の他企業や他拠点がどのようにリスク対応を行っているか、という事例をとりまとめ、グループ内の拠点に展開し、海外拠点はそれを参考に対応を検討している。
(4)Readiness、Response、Recoveryの3本柱での対応
前節(3)で述べた重要リスクへの対応について、「大規模なインフラや仕組み・システムの構築が対応として必要であるが、リソースの制限によりできない」「不正や機密漏えいリスクのように、事前に十分に備えをしていても発生件数をゼロとすることが難しいものがある」というケースが存在することにも留意しなければならない。
それらについては、Readiness(リスク評価やリスク顕在化を防ぐ事前の対応)だけでなく、Response(リスク顕在化時の対応)やRecovery(リスク顕在化で受けたダメージからの復旧)もあわせて検討することが考えられる。この2つの考え方について、代表的な対応を次にあげる。
海外事業を展開、拡大する限り、リスクをゼロとすることは難しいが、リスクが顕在化した際の対応をできるだけ具体的に考えておくことで、広報対応の失敗によりさらに世間の批判にさらされる等の二次被害を防ぎ、事業への影響を最小限にとどめることが出来る可能性が高まる。重要リスクについては、Response、Recoveryについても是非、検討いただければと思う。
2.海外拠点のリスク管理の先進事例
本章では、海外拠点のリスク管理が十分出来ていると見られる日系グローバル企業の事例を紐解き、これからリスク管理を検討する企業が参考にできる要素を抽出する。
2-1.既存の内部統制制度を有効活用した事例
世界各国で100拠点近くの製造拠点、生産拠点を持つA社では、内部統制制度を従来より構築していたが、財務諸表の正確性の担保を目的としたその制度が、「就業規則の内容の確認」「情報システムの可用性(事業継続性)の確保」「機密情報の漏洩の防止」等に至るまで幅広くカバーしていることに着目し、その制度を海外拠点のリスク管理に広く準用することとした。
具体的には、近年、他の日系企業で顕在化している諸リスクについて、グループ内の海外拠点にてどのような対策を実施しているか、内部統制制度の枠組み、雛型等を活用しながらアンケートと現地でのヒアリングにて特定し、その結果リスクが高いと想定される拠点については、現地に訪問しての実地調査や、現地ならではの悩み・課題のヒアリングを実施した。対策の検討、実行についてもグループ本社がサポートし、対策状況の進捗についても、内部統制制度における統制の整備状況や運用状況の評価の枠組みの中で確認することした。
これらの仕組みにより、新たなリスク管理制度を導入することなく、また、海外拠点の負担も最小限としつつ、海外拠点のリスク管理が可能となった。
2-2.海外事業のあらゆる分野のリスクを洗い出した事例
連結における海外売上が5割を越えたB社では、これまで海外事業や海外拠点に関するリスク管理を実施しておらず、経営陣はもちろん、社内の各部門において、「いつか大きなリスクが顕在化するのでは」という漠然とした不安を抱えていた。一方、大小様々なリスク全てを評価したり、対応することは、少ない社内リソースの面からは現実的では無い。
解決策として、自然災害、感染症、テロの脅威、デモ・労働争議の拡大、政府による為替・貿易政策の急激な変更等、グループとして抱えるリスクを全て俯瞰しながらも、事業の停止やレピュテーションリスクの毀損に係る重要なリスクについてのみ、詳細な評価や具体的な対応を講じることとした。
リスク評価の過程では、グループ本社の経営陣、部門長全員から、自身が考えるリスクをあげてもらうことで、社内にどのようなリスクが存在するかが明確になるとともに社内にリスク管理の重要性が浸透し、全社一体となって重要なリスクに対応する、という体制が組まれることとなった。
2-3.海外拠点の事業停止をきっかけとしグローバルBCPを策定した事例
中国、マレーシア、フィリピン等の数十の拠点で部品・製品を製造しているC社では、2011年のタイでの水害、2013年でのフィリピンの台風等において製造拠点や拠点間をつなぐ物流が断絶した経験を踏まえ、サプライチェーンの強靭化を目標に掲げた。
それまでも一部の海外拠点においては、事業継続計画(BCP)という名称の文書が存在したが、内容は拠点によりばらばらであったたため、数十の拠点を対象とし、あらためてグループ全体の事業継続計画(BCP)を策定することとした。
BCPは、主に「事業停止リスクの有無、程度の評価」「事業停止リスクへの対応」で構成されることとなるが、各拠点にはBCPを策定するノウハウ、リソースは乏しいことを考慮し、本社が素案を作成することとした。一方、実際にBCPの担い手は各拠点となることから、本社、各拠点間の協議を重ね、拠点側が納得し拠点長がオーナーシップを持った上で、各海外拠点のBCPを完成させた。
以上、2.1から2.3まで日系グローバル企業における事例を3点挙げた。これらの事例では、グループ本社が海外拠点のリスク評価やリスクへの対応をサポートしたこと、事業停止リスク等の特定の種類のリスクに着目して対応を行ったこと、規程類の整備とともに各拠点への浸透に着目したこと等、いくつかの共通点がある。
これらの共通点は多くの業態、企業において適用しうると考えられるため、読者の皆様が海外拠点のリスク管理に取り組む際、参考にしていただければ幸甚である。