上場審査において中心的な部分は、財務体制、財務に係る内部統制に関わる部分です。しかし、近年では、財務面以外のリスクに対するガバナンスが注目されています。
そして、非財務リスクには多岐に渡る項目があり、業界・業種、事業規模などによって、対応すべき内容や範囲は異なります。
この記事では、非財務リスクとは何か、企業が対応すべき事項の内容などのポイントを解説します。
上場企業等での社外役員経験や非常勤監査役経験を持つ専門家をご紹介。社外役員兼務社数4社以下、経験年数10年以上、女性社外役員など、700名以上のプロフェッショナルとマッチングが可能です。
非財務リスクへの対応が重要とされる背景と重要なトピックsection
非財務リスクが重要視される背景は、どのような点にあるのでしょうか。また、重要とされるトピックはどのようなものでしょうか。
バーゼル規制と直近の改定
非財務リスクは、典型的には金融機関におけるリスク管理の文脈で出てくる概念です。融資の判断に際しての材料となる情報の中で、クリティカルな情報としては企業の決算報告、計算書類など表れる財務面の情報が主となります。
それに加えて、近年では、多様化・複雑化する社会において、そうした財務書類に表れない情報に含まれるリスク、すなわち非財務リスクの分析が必要とされるようになりました。
より具体的には、バーゼル規制(いわゆるBIS規制)というものがあります。
これは、銀行の自己資本比率等に関する国際的な統一基準です。1988年に制定されたバーゼルⅠから、2004年にバーゼルⅡ、そして2010年にバーゼルⅢが制定され、アップデートされています。
ここではバーゼル規制の内容は割愛しますが、一連のアップデートの流れの中で、財務面に関わる定量的なリスクと定性的なリスクを一体的に管理していたところ、定性的なリスクについては、別個に捉えた上でより分析的かつ統一的に整理する方向にシフトしています。
社会の急速な発展、気候変動を中心とした自然環境の変化が著しい時代になったことから、定量化しがたい要因に含まれるリスクに目を向ける必要性が高まってきました。
上記のような流れから、銀行による融資の場面、そして投資判断における情報開示において、財務面以外のリスク要因が重要視されるようになりました。
非財務情報開示の義務化
2021年6月頃から、実際に企業における非財務情報の開示について、政策的な議論が活発化しました。経済産業省における「非財務情報の開示指針研究会」が2021年6月10日に発足し、2022年10月頃まで様々な議論が取り交わされました。
その中で、企業価値の評価において非財務情報・サステナビリティに関する取り組みなどに関わる情報が重要視される動きがあること、国際的な基準作りの動向が活発化している背景が指摘されました。
また、リスク情報に関して、外部環境の変化や個別のステークホルダーとの関係、社会的な影響を明確にしていないなど、投資判断におけるリスクの読み取りにくさが指摘されました。
このような経緯などから、2023年1月31日に「企業内容等の開示に関する内閣府令」が公布され、同年4月1日に施行されるに至りました。
※参考:非財務情報の開示指針研究会|経済産業省
※参考:企業内容等の開示に関する内閣府令|e-Gov法令検索
気候変動リスクの評価項目としても着目
特に、大規模な社会的・環境的な要因として、気候変動リスクが挙げられます。
これまでの有価証券報告書の記載などの中では、投資家に開示される情報の中に、気候変動リスクに対する事項は明確になっていませんでした。
事業の内容と性質によっては直接的に気候変動リスクにさらされるとも言い難い側面はあるものの、気候変動が及ぼす社会経済に対する影響は、どのような業種の事業においても大小様々な影響があることが想定されます。
そして、気候変動リスクという項目は、あくまで非財務情報の1つにすぎません。ほかにも、サプライチェーン、人的資本、コーポレートガバナンス、コンプライアンス、サイバーリスクなど、様々な項目が挙げられます。
こうした非財務情報が今後開示対象となっていくことにより、企業は、可視化されなかった情報について内部的にリスク要因として抽出して整理し、見直していく必要があるといえるでしょう。
非財務リスク(非財務情報)の種類section
非財務リスクには、どのような種類があるでしょうか。
気候変動リスク
まず、先ほど述べた気候変動リスクです。気候変動リスクは、地球温暖化を主な要因として様々な自然災害に関わる原因となる環境リスクを意味します。
排出量取引や炭素税の導入など、新しい構造の取引モデルや税務リスクが生まれたほか、再生可能エネルギーへの移行などエネルギー関連の事業においてはダイレクトな形で市場変化を生じています。
また、突発的な大規模自然災害によって、商品のサプライチェーンに影響するリスクも挙げられるといえるでしょう。
オペレーショナルリスク
オペレーショナルリスクは、金融機関や事業会社等が業務を行う際に発生するリスクのことをいいます。
業務フローにおけるヒューマンエラーはもちろん、ITシステム面での不備によるシステムリスク、社内の人的なリソース面での流出リスクもこれに含まれます。
レピュテーションリスク
レピュテーションリスクは、商品やプロダクトなどの事業活動その他会社組織に関するネガティブな情報が社会に広まることで、商品等の信用やブランドが損なわれるリスクのことをいいます。
例えば、サービスのユーザーが、サービスの不備や顧客対応についてSNSで書き込むことにより炎上したりネガティブなニュースとしてクローズアップされてユーザーが離れてしまうようなケースが1つの典型例です。
コンダクトリスク
コンダクトリスクは、共通理解に基づく概念として理解されてはいませんが、次の3つの内容のリスクであるとされています。
- 社会規範に悖る行為
- 商慣習や市場慣行に反する行為
- 利用者の視点が欠如した行為
現代は、ルールや制度を前提とする価値観が、テクノロジーや社会構造の転換により常に変化の中にあります。そのため、ルール以上に、現在から未来に向かう中で社会がどのような方向性に向かっているのか、ルールの背景にある人々の価値観の変化を前提にリスクを判断していくことが必要です。
※参考:コンプライアンス・リスク管理に関する検査・監督の考え方と進め方(コンプライアンス・リスク管理基本方針)|金融庁
サンクションリスク
サンクションリスクは、ルールに違反した場合の反作用たる制裁にかかるリスクです。
ビジネスモデルリスク
ビジネスモデルリスクは、事業における商品・サービスの上流から下流、製造から販売に至るまでの仕組み、収益構造におけるリスクです。
主に競争優位性の1つの要素にもなるところではありますが、ビジネスは、いかに全体最適かつ経済合理性のある、収益性の高い仕組みを作り、そしてそれを拡大させてマーケットを掌握していくかという点に集約されます。
ビジネスモデルリスクは、そのプロセスを阻害する要因になるものということになります。1つの基本的な点として、PMF(プロダクト・マーケット・フィット)があります。市場ないし顧客ニーズに対し、提供するプロダクトによるソリューションがかみ合うかどうかという点です。
コンプライアンス・リーガルリスク
コンプライアンスリスク・リーガルリスクは、端的には法令に違反する行動によりもたらされる損害のリスクなどが挙げられます。このリスクは、違反による効果として先ほど述べたサンクションリスクの顕在化につながることから、サンクションリスクとの連関性があります。
また、事業が1つのゲーム構造的に成り立っているものと理解した時に、そのゲームの前提となるルールの中でイレギュラー・エラーが発生することにより想定される損害発生のリスクともいいうるでしょう。
労務リスク
労務リスクは、大きな枠組みとしては、コンプライアンス・リスクに含まれるものではあります。
もっとも、事業そのものに係る法務・リーガルリスクは、どの程度リターンが生まれるかという点にむすびつきやすいものですが、労務リスクは会社の組織面でのリスクと関わるものである点で、少し異なる性質のものと考えられます。
サイバーリスク
サイバーリスクは、ITシステムに対する事業内外からの攻撃による損失のリスクです。
IT化により、何らか事業における情報システムを抜きにして運営することは困難な社会になっています。それに伴い、社内に存在する情報、特に経営資源になるような機密情報が外部に流出することは事業活動に関わる損失になるおそれがあります。
サードパーティーリスク
サードパーティーは、「商品やサービスを提供するために業務上の契約関係を有する組織、また、当該商品・サービスの提供に必要な事業者」をいいます。
基本的には、プロダクトのサプライ・バリューチェーンの中で、事業者にとって直接の取引先にあたるようなポジションにいるステークホルダー(サプライヤー、製造委託先、運送業者)がこれにあたります。顧問先となる弁護士などの専門士業も含まれます。
サードパーティーリスクは、このようなサードパーティーによって引き起こされるコンプライアンス違反などのリスクのことをいいます。
訴訟リスク
訴訟リスクは、事業またはその周辺にあるステークホルダーとの間でのトラブルが紛争に発展する結果損失が生じるリスクです。
法的な側面のものですが、リーガルリスクなどの規制リスクと異なるのは、必ずしもコンプライアンス違反によって引き起こされるものではないことが理由として挙げられます。
非財務リスクによる影響3つsection
非財務リスクの顕在化による影響として重要なものを、3つピックアップして解説していきます。
サービス内外のステークホルダーへの波及
財務リスクと共通するポイントでもありますが、サービス内外のステークホルダーに対する影響が考えられます。
例えば、オペレーショナルリスクであれば、メーカーが製造した商品を発送する際に、発送時の検品項目ないしダブルチェックの工程を整備していないことで、不良品・欠陥品がはじかれないままになることで、購入者に不利益が生じることが考えられます。
サードパーティーリスクであれば、業務委託先のフリーランスの人が情報セキュリティ管理を怠ることで、社内の機密情報が外部への流出が生じうるほか、顧客の個人情報が漏れることも考えられます。
上記のような事象が発生することで、レピュテーションリスクが顕在化して、上場企業では株価の下落が起これば株式の毀損が生じて株主への不利益になるおそれもあります。
サービス外のステークホルダーへのリスクとしては、ビジネスモデルリスク(プロダクトに内在するリスク)として、例えばまさに今活況を帯びている生成AIにより、犯罪手段に関わる情報の出力に用いられることのほか、画像生成AIに関してクリエイターの著作権が侵害されることがあります。
このように、非財務リスクによって、社内だけでなく事業を取り巻く環境、様々なステークホルダーへの波及が生じる可能性があるのです。
サプライチェーンの崩れ
既存のサプライチェーンに影響が出ることも考えられます。
例えば、卸売業者の中でEC的な構造を通じてITシステムにより業務管理を行っている場合、システム障害が起こることで業務管理機能に障害が発生し、結果前後のレイヤーの事業者にも影響が出るおそれがあります。
このような事態が生じることで、サプライチェーンの歯車が狂うことにもなりかねない影響がある場合も考えられます。
市場への影響
マーケットへの影響が出る場合も考えられます。
ビジネスモデルリスクに関して考えると、CtoCプラットフォーマー事業の構造を持つ事業において、ユーザーが拡大するほどトラブルを誘発するようなリスクを持つユーザーの流入も考えられます。その中で、ユーザー間のトラブルが頻発した場合、ユーザーを管理する事業の仕組みへの信頼性が損なわれる恐れがあります。
その結果、CtoCのプラットフォーム事業全体のマーケットに対するリスクにもなりえます。
なお、マーケットの影響とはいっても、業種や規模、商品・サービスの性質によってリスクも異なると考えられます。
非財務リスクのマネジメントのフレームワークsection
非財務リスクは、どのようにマネジメントすべきでしょうか。一般的なフレームワークをご紹介していきます。
リスクの特定
まずは、事業活動においてどこにリスクがあるのかを発見し、特定することです。
リスクの所在を特定できなければ、リスクに対する解決策をとることはできません。そのため、まずはリスクの洗い出しが出発点になります。
リスクの所在は、業務フローに直接関わるものも考えられますが、J-SOXにおいて準備するいわゆる3点セットにあるような業務記述書、フローチャートによる整理が参考になるでしょう。
また、レピュテーションリスクなどは業務フロー外にあることもあります。その際には、ステークホルダーマッピングの手法で、サービス内外のユーザーの区分の整理や、影響範囲などを検討することが考えられます。
リスクの評価
次に、リスクの内容・性質などを分析し、リスク評価を行います。
リスクの内容・性質の検討としては、上記の非財務リスクの種類によって分類することが考えられます。
また、リスクが顕在化した場合に事業運営のどこにどのような影響が生じるのか、売り上げにどの程度の影響があるのかを分析していきます。
リスク影響度とリスク許容度の検討
そして、リスクの大きさと許容性を検討していきます。
リスクの影響度は、リスクが顕在化した場合の結果の大きさです。離反ユーザー・顧客の数から売上へのインパクトのほか、株価への影響といった尺度が典型的なものといえるでしょう。
リスクの許容度は、リスクの影響度とリスクの回避・低減策とのバランスによって判断されます。また、リスク回避・低減策を実施するためのコストのほか、実現可能性という観点も重要です。
リスクのつながり・関連性の検討
さらに、リスク同士のつながり、関連性の検討もポイントになります。非財務リスクとして挙げられるものの中で、リスク同士が互いに作用しあうことでより大きなリスクとなることが考えられるからです。
IPOにおける非財務リスクマネジメントのポイントsection
最後に、IPOにおける非財務リスクのマネジメントについて、簡単に指摘しておきます。
先に述べた通り、上場企業の中で非財務情報(特にサステナビリティに対する取り組み内容)の開示が義務化されたことから、有価証券報告書の作成フローの中で、非財務情報の収集と取りまとめが必要になります。
そして、リスクマネジメントにおいて、専門人材との協働が必要になってくるでしょう。
これまでは、財務リスクの面が中心であったため、財務・会計の担当者を中心に取りまとめていくことで十分だった側面がありますが、非財務リスクには、リーガルリスクのように専門性の高いものもあります。
そのため、非財務リスクに詳しい専門人材との連携がカギになってくるのです。
まとめ
最後に、この記事のポイントを3つにまとめます。
- 複雑化、多様化し様々なヒトやモノが繋がりを持つとともに、気候変動など不確実性が高まる中で、財務リスクのような定量的な情報だけでは計れない非財務リスクへの対応が注目されるようになった。
- 非財務リスクには様々な種類があり、それぞれが関連性を持つこともある。種類ごとに位置づけを整理することが重要。
- 非財務リスクは、サービス内外のステークホルダーに対して影響がある。そのマネジメントにおいては、リスクの特定→分析・評価→許容性の検討→判断というフレームワークを活用する。
