グループ会社のガバナンス体制整備のためのリーガルリスク・プロファイリングについて
SHARE
1.はじめに-リーガルリスク・プロファイリングの意義
Moltonでは、グループ会社のガバナンス体制整備のためのサービスの一つとして、リーガルリスク・プロファイリングを提供しています。このサービスは、リーガルリスクを、法規制リスク、契約リスク、紛争リスクといった実質的なリスクの影響の程度(Impact, 深刻度)と、対象企業におけるリスク対応体制上の不備の程度(Risk Readiness, 対応準備度)をそれぞれ評価、点数化し、両者をマトリクスさせたマッピングによって、対象企業のリーガルリスク・マネジメント体制の現状を可視化することを目的としています。
このマッピングによって、対象企業(群)におけるリーガルリスクの中でも深刻度がより高く、かつ対応準備度がより低いものが明らかとなり、優先順位をつけたリスクマネジメントを推進しやすくなるだけでなく、対外的にも自社のリーガルリスク・マネジメント体制を客観的、合理的に説明することが可能になります。今回は、このリーガルリスク・プロファイリングの概要についてご説明します。
2.背景-グループガバナンスにおける法務機能軸の重要性
グループガバナンスとは、親会社と子会社等(以下「グループ会社」といいます。)から成る企業集団(以下「グループ」といいます。)における業務の適正を確保することを目的としたグループベースのガバナンスのことですが、近時における法的リスクやコンプライアンスリスクの顕在化事例(以下「不祥事」と総称します。)は、企業を取り巻く事業環境の激変や事業戦略の多様化などに伴い、親会社よりもむしろグループ会社で発生しており、グループガバナンスに依然として多くの課題があることを示唆しています。しかも、グループ会社の不祥事がグループとしてのレピュテーションの低下を招来し、グループ全体の企業価値を毀損させることもあり、グループガバナンスにおける適切な体制の構築、維持がますます求められています。
グループにおける親会社(会社法上の大会社等)は、内部統制システムと呼ばれる5つの体制の整備について取締役(会)で決定することを義務付けられていますが、そのうちの1つがグループとしての内部統制システムです。内部統制システムとはリスク管理ないしマネジメントと言い換えることもできますので、会社法は、グループ会社全体として適切なリスクマネジメントを行うことを要請しているといえるでしょう。上述のような不祥事の発生の大きな原因の一つに、このグループとしての内部統制体制の不全があることは、これまでの関連裁判例が示すところであり、第三者報告書においてもたびたび指摘されています。
リスクマネジメントの国際規格であるISO31000:2018では、リスクマネジメントを「リスクについて組織を指揮統制するための調整された行動」と定義しており(3.2)、これはリスクを効果的に管理するための体制(原則・枠組み・プロセスなど)を組織内に構築し、運用することを意味しています。もっとも、具体的にどのような体制を構築、維持するかについては、基本的には取締役の幅広い裁量に委ねられていることもあり、結果として、新たな不祥事が発生するたびにグループ内部統制体制の不備がさまざまな表現・内容で、繰り返し指摘されているのが実情です。これは、内部統制体制の一環であるリスクマネジメント体制について、体系的な指針はあっても具体的な体制設計や運用方法を定めた公的なガイドラインが策定・公表されていないことに加えて、企業グループにおけるコーポレートの機能軸のチェック機能が弱いことも大きな要因の一つであると考えられます。経済産業省の「グループ・ガバナンス・システムに関する実務指針」では、第2線(管理部門)や第3線(内部監査部門)によるチェック機能の不全が課題として言及されているほか、ある研究では、グループガバナンスの進展度が高い企業群では、コーポレート機能軸の中で法務機能については従来の契約法務を超えた活躍が求められているのではないかという指摘もなされていることからも(*1)、不祥事抑止のためには、第3線だけでなく、第2線、とりわけグループとしての適切な法務機能軸の確立が鍵を握ると考えられます。このことは、グループ内部統制の設計における監視・監督型(グループ会社ごとの体制整備・運用を基本としつつ、各グループ会社における対応が適切に行われているかを親会社が監視・監督する形態)、一体運用型(グループ会社も親会社の社内部門と同様に扱い、親会社が中心となって一体的に整備・運用)のいずれにおいても、方法論はさておき、求められる方向性としては同様です。
(*1)松田千恵子「グループガバナンスにおける現状と今後に向けた取組み(3)」商事法務2362号(2024年6月25日)33頁
3.何から始めるべきか―詳細な実態把握からスタートすることの重要性
では、親会社法務部門として、グループ法務機能の強化のために何から手を付けるべきでしょうか。まず、第2線(管理部門)として、第1線である事業部門がその管理下にあるグループ会社の法務・コンプライアンス体制をどのように構築、維持・アップデート、運用しているかを把握することが必要です。この点、Moltonが提供するリーガルリスク・プロファイリングは、グループ会社において法務・コンプライアンス業務に職制上の責任を負っている部署ないし役職員を特定することからスタートします。そのうえで、法務・コンプライアンス体制をどのように構築、維持・アップデート、運用しているかについて、以下で説明する「対応準備度」(Risk Readiness)という考え方により策定したさまざまな質問に回答してもらうことにより明らかにしていきます。この回答群を、Moltonが把握している日本企業のベストプラクティスの観点から高、中、低といった段階毎に設定した評価基準に基づいて評価することにより、その実態や課題が浮き彫りとなっていきます。
4.新たなリスク評価のためのマトリクス-「深刻度」×「対応準備度」
従来のリーガルリスク・マネジメントの考え方では、全ての法的リスクを完全に除去したり、その顕在化を完全に予防したりすることが目的ではないという前提に立ち、対応すべき法的リスクの重要度をその大きさ(影響結果:Impactの大きさと、発生し易さ:Probabilityのマトリクスによる)の順で決め、適切な対策を講じれば取れるリスクと、そもそも取れないリスクとを峻別したうえで優先順位を付けて処理するというものでした。
リスクマッピングではこのImpact×Probabilityのマトリクスがよく使われますが、例えば法規制リスクとして競争法、贈収賄禁止法、環境法などの違反のImpactは大きいわけですが、一般的にProbability(発生確率ないし頻度)は低いとも考えられます。同様に、契約リスクについても、一般的に重要、長期ないし高額な契約における相手方の契約違反や当社側の重大な損害賠償責任発生のImpactは大きいわけですが、やはり通常はそのProbabilityは低いと考えられる場合が多いでしょう。しかし、このマトリクスについては、本当にこれらが発生しないかどうかの判断のための明確な客観的基準が十分にあるとは限らないことや、評価する者の(たとえ無意識であっても)主観的なバイアスが影響することなどの問題点が指摘されています。加えて、上記のような法令違反の場合は、その影響の大きさゆえに、いかに発生確率が低くても対応の優先度を下げることは正当化しづらいという意味で、リスクマッピングが本来の目的どおりには機能しない場合があることも課題でした。さらに、不祥事やレピュテーションリスク、過去のデータが十分にない新たなリスク(例えば地政学リスク、サプライチェーンESGリスクなど)では発生確率の客観性を保つことはさらに難しく、経済合理性に基づく最適配分モデルを前提とした確率論的リスク評価が難しいことから、取引コストよりも説明責任を重視し、確率よりも備えということが実務上の関心になっているものと思われます。
そこで、Moltonが提供するリーガルリスク・プロファイリングでは、予防法務の観点を重視し、ISO31000:2018がリスク分析(6.4.3)で検討すべき要素の一つとして挙げている「既存の管理策の有効性」(the effectiveness of existing controls)にも着目して、ProbabilityをRisk Readinessに置き換え、実態把握に軸足を置いた調査を行うこととしました。これにより、実質的なリスクの影響の程度に対する評価に止まらず、一歩進んで、リスクへの対応=リスクマネジメント体制の評価を可能とし、さらに、両者を組み合わせることで、グループ会社に足りないものを明らかにし、グループの法務機能軸として何をすべきかが一目瞭然となるように設計しています。
注1:右側グラフ「リスク対応準備度(小分類)」の①~㉒は、左側グラフ同(中分類)のリスクをさらに細分類した項目。具体的には、例えば、法令遵守関連リスクについては、競争法対応リスクや通商法対応リスクなどの9項目に分類。小分類については、クライアント企業の特性や要望に応じて、分類内容や分類項目数を調整している。
注2:レーダーチャートの数値は仮想企業・仮想拠点の事例
5.経営面における効用-法的責任の充足を示す重要な根拠として
そもそも経営層やIR部門におけるグループガバナンスへの関心は、主観的で外部要因にも左右される不確実な「発生確率」というよりも、グループ会社が「リスクに対してどれだけ備えられているか」の説明責任を果たせるかどうかにあります。この点、対応準備度を用いたリスクマップは、内部統制体制の整備と運用状況を示す役割を果たし、リスクに対する備えの程度、すなわち統制有効性の評価そのものとも一致するものです。さらに、取締役による善管注意義務違反が問われるか否かの観点から、裁判において「当該リスクを予見しうる立場にありながら、対応策の整備を怠った(あるいは不十分であった)」、すなわち、対応策を適切に整備していれば当該リスクの顕在化は抑止できたはずであったことを理由に義務違反を認定されないためにも、対応準備度を用いたリスクマップに基づき合理的な対応策を予防的に実施することが重要です。
例えば、以前、競争法違反により会社に損害が生じたある株主代表訴訟事件(*2)で、取締役の法令遵守体制の構築義務違反が問題となりましたが、裁判所は、同社における明確なコンプライアンス方針、各種業務マニュアルの制定、法務部門の充実、従業員に対する継続的な法令遵守教育の実施などを評価し、義務違反はなかったものと判示しています。この裁判例は親会社についてのものですが、グループ会社の対応策の準備においても参考になります。
もっとも、内部統制やガバナンスは時代に応じて進化すべきものであることから、事業環境や法制動向(関連する裁判の動向や当局の動向も含む)の変化に応じて対応準備度の基準を見直すことが必要です。この点、対応準備度は自社の努力で向上させることが可能であり、見直しのためのPDCAサイクルも回しやすいと考えられます。さらに、対応準備度を引き上げる投資を、リスク回避コストや訴訟・不祥事損失を減らす「資本効率改善施策」として可視化することも可能です(この点については、法務ROICとの連携が関わってきますので、記事「法務ROIC」も併せてご覧ください)。
(*2)三菱商事黒鉛電極カルテル株主代表訴訟事件(東京地判平成16年5月20日1871号125頁)
6.おわりに-次のステップ
いかに優れたマトリクスができたとしても、現場のグループ会社が、親会社のグループガバナンスの基本方針を踏まえてその意義を正しく理解し、適切に利用されることにならなければ、絵に描いた餅に帰することになります。上記3で、グループ会社において法務・コンプライアンス業務に職制上の責任を負っている部署ないし役職員を特定することが第一歩であると申し上げましたが、これはグループ会社との間で法務機能軸のドットラインを引き、日常的なコミュニケーションを通じて、グループ会社におけるリスクマネジメント体制がマトリクスに従って適切に整備、運用されているかを持続的に確認するためのルートを保持することが目的です。会社法が求める子会社取締役・使用人から親会社(事業部門等)に対する報告体制によって重要な情報が制度的に上がってくるべきことは当然ですが、リスクマネジメントの観点からは、より早期の段階で、必要十分な情報が正しく整理されて親会社法務部門にもたらされることが有効です。事業部門等のルートとは別に、法務機能軸での情報共有ラインを適切に整備し、報告基準・報告事項を具体的にガイドライン化しておくことが、マトリクスを活かしてグループ全体のリーガルリスク・マネジメントを達成するにあたって何よりも重要であることを指摘しておきたいと思います。