日本企業とCSR経営のゆくえ
長期のリスクマネジメントとしてのCSR
本業に潜むリスクをコントロールする
岸 本
日本企業はコンプライアンスが大切だというと、熱心に法令遵守の仕組みをつくります。でも、仕組みができても末端の従業員のレベルにまではなかなか届きません。CSRに熱心な企業でもいくつか不祥事が起きています。「仏つくって魂入らず」という状況をどうしたら克服できるでしょうか。
大久保
これまでは、コンプライアンスを「法令遵守」として限定的に解釈することが一般的とされてきました。桐蔭横浜大学の郷原信郎教授は、complianceの動詞であるcomplyがもつ、「充足」「調和」という語源に立ち返り、コンプライアンスの意味を「社会的要請へ適応していくこと」といっています。法令や規則は、社会的要請が文書化・規範化されたものですが、昨今の企業不祥事からも明らかなように、企業を取り巻く法的基盤の硬直的かつ脆弱性ゆえに、社会的要請が法令化するまでに相当の時間がかかっています。社会的要請の変化にもかかわらず、限定的に解釈された既存の法令等の遵守に縛られると、ときにはその行為が、古い社会的要請への対応となり、社会の非常識として批判されかねません。コンプライアンスを「社会的要請への適応」として捉えると、コンプライアンス活動は、単に法令等の遵守だけでなく、法令等の背後にある立法趣旨への理解、あるいは社会的要請への対応でなければならないことがわかります。
岸 本
コンプライアンス活動とCSR活動は重なり合うわけですね。
大久保
日本の伝統的な統治システムはボトムアップ的意思決定を前提としますから、社会のニーズをもっとも敏感に感じているのは現場の人たちです。実態を無視して一方的に上からルールを強制しても現場には浸透しません。むしろ、現場がつかんでいる社会的な要請を踏まえつつ体系化(ルール化)するのです。そのためには、現場の従業員を、限定的に解釈された法令等の遵守に終始させるのではなく、法令等の趣旨に立ち返り、さらには潜在的な要請を含めた、社会的要請そのものを捉えられるような組織風土を醸成し、それらをいかに迅速かつ機敏に経営トップに伝達できる仕組みを構築できるかが重要です。一部の組織だけで規範やマニュアルをつくって一方的に伝達するような「作りっぱなし、言いっぱなし」ではなく、日常的に生じているものを組織の中に蓄積させて体系化したものを、マニュアル化することが必要です。
岸 本
法令や規則は、社会的な要請を文書化・規範化したものに過ぎません。最近は、法令すれすれの脱法が流行っていますが、法令ができた本来の趣旨を理解していれば、脱法などという精神は生まれないはずです。ところで、CSRは企業のブランディング力を高めるものという見方がある一方で、リスクマネジメントなのだという見方も強まっていますね。
大久保
ブランディング力が高まるかどうかは結果に過ぎません。企業をCSRの主体として捉える観点からは、CSR活動を長期的な視点に立ったリスクマネジメントとして位置づけ、経営戦略に取り込んだ活動とすべきではないでしょうか。その際、社会構造の変化に合わせたステークホルダーの動向や考え方を捉えて、経営に反映させることです。少子高齢化という社会構造の変化に合わせた雇用体系を構築するために、ダイバーシティの推進を行うこととなり、「女性の管理職比率の向上」などの個別課題への対応に終始するのではなく、多様な雇用体系を実現すべく、中長期的な経営戦略として人事制度を根幹から見直すのです。すなわち、ステークホルダーの要請(社会的要請)を中長期のリスク要因とし経営戦略に取り込むのです。それが結果として本業を通じた活動に展開されていきます。
岸 本
企業で行われてきたリスクマネジメントは、生産部署の品質管理、営業部署の債権管理、システム部署の情報とシステムの保全のように各部署が縦割りで管理し、業務推進に支障を及ぼしかねないリスクを想定して、回避したり、軽減したりしてきました。
大久保
最近は、コンプライアンス、情報セキュリティ、危機管理なども個別の課題として導入する企業が増えています。
岸 本
それらが本当にリスクを軽減するシステムとして確立されているかどうかですね。
大久保
本来のリスクマネジメントは、企業の経営に重大な影響を及ぼすリスクを明らかにし、統一された管理水準に基づいて継続的に進捗管理するシステムでなければなりません。いわゆるリスクマネジメントのPDCAがどこまで有効に機能しているかが重要なのです。その際、ステークホルダーの視点で考えることです。ステークホルダーからの要請(社会の要請)をリスク要因として、PDCAに具体的に取り込んでいくことが必要です。
岸 本
社会的な影響力の大きな企業であれば、社会の期待度も大きく、さまざまなステークホルダーからのプレッシャーも強いはずです。株主、お客様、従業員、地域住民などの幅広いステークホルダーにきちんと対応できるかどうかで、リスクの軽減も決まるはずです。他社との横並び意識で付け焼刃的な対応に終始していると自社が抱えるリスクにも気づかず、結果としてなんらかの不祥事が起きて致命傷になりかねません。
内部統制構築に向けた最近の動きから
リスクマネジメントと内部統制の関係
岸 本
最近はリスクマネジメントと並んで内部統制という言葉をひんぱんに耳にします。リスクマネジメントと内部統制の関係をいかに整理したらよいでしょうか。
大久保
内部統制そのものは、企業価値増大のために企業活動に携わる企業内で働くすべての人々の行動を方向づけ、目標に向けて誘導するものとされています。重要な点は、目標達成が実現すれば良いというのではなく、目標に対するプロセスの説明責任を負わされる点です。組織を構築することとシステムを運用することは異なっている点にも留意が必要です。わが国の各法規制は、米国で確立されたCOSOフレームワークに基づく概念で運用しようとしています。COSOのフレームワークは、不正な財務報告から投資家を保護することを目的に議論がスタートしました。その後、エンロンやワールドコム事件が発生し、「経営者による適正記載宣誓書の添付」「財務報告に係る内部統制の評価報告義務」「財務報告に係る内部統制の監査」「虚偽記載の罰則強化」へと動きました。わが国でも、旧大和銀行ニューヨーク支店で発生した巨額損失事件の判決で取締役の内部統制の構築責任が明確化されました。また、最近では西武・コクド事件における虚偽記載、カネボウなどの粉飾決算が明らかになり、対応が急がれていました。
岸 本
経済産業省が出した日本版COSOレポートによれば、リスクマネジメントに対応するリスクのうち、「事業活動の遂行に関連するリスク」への対応については内部統制のプロセスの中で実施されるとありますね。
大久保
内部統制を構築するということは、統合的なリスクマネジメントのPDCAを構築することに他ならないわけです。大切なことは、すべてのリスクを統合的に考えているのか、という点と、それらリスクに基づく具体的な改善策が、一覧性をもった改善計画として具体化しているのかという点にあります。「作りっぱなし、やりっぱなし、言いっぱなし」ではなく、適切に自己評価がなされ、それが次の改善につながっているかが大切です。現状では、リスクマネジメントと内部統制を一体的に機能する仕組みとしてPDCAを構築できている企業は少ないと思いますが、2006年5月の会社法の施行によって内部統制の仕組みづくりが求められ、また同じく証券取引法の改正によって財務報告に関しては外部への開示が求められるようになります。
岸 本
内部統制のポイントは「コンプライアンス体制の構築」と「情報開示」にあると見てよろしいでしょうか。
大久保
内部統制構築のポイントは、リスクマネジメントのPDCAを現場レベルから積み上げることです。そして、社会的要請としてのステークホルダーの動向を経営のリスク要因の1つと位置づけ、現場で把握した社会的要請(社会的リスク)を、このPDCAサイクルにより、経営意思決定に流していくことが必要です。たとえば、個人情報保護については、法制化されたためにコンプライアンス上の問題となっていますが、数年前まではリスクマネジメントの一課題でした。当時から問題の基本認識は同じはずです。さらに、アスベスト問題では、ILO(国際労働機関)が1980年には発ガン性を断定しているにもかかわらず、わが国の法規制が立ち遅れたために被害を広げてしまいました。この種の問題は、法規制のルールを守るだけでは不十分であり、働いていた作業員が発症するなど、何かおかしいという指摘は早くからありました。現場の動きに鋭敏な経営者なら、なんらかの対応ができたかもしれません。こういった日常的な問題意識を集積させ、組織内の意思決定のプロセスに乗せる仕組みをつくり、それをマニュアル化させることが重要だと思います。
岸 本
コンプライアンスは、単なる法令遵守ではなく、社会的な要請を具体化する「行動規範」そのものです。コンプライアンスをリスクマネジメントと一体のものとして捉えれば、内部統制は形式的なもの、法令違反さえなければ何をやってもよいということではないということがわかります。
大久保
内部統制の基本的フレームワークを、形式的なものとしないためにはわが国における経済法を取り巻く法的基盤の脆弱性を正面から見つめ、法令等の要請を越えて、その組織が社会からどのような要請を受けているのかを具体的かつ明確にしなければなりません。そのうえで、行動規範等を通じて社内外に情報開示し、行動規範をいかに遵守できる体制が構築できるのかという視点で取り組んでいくことが重要です。
CSR経営とCSRレポートに求められているもの
岸 本
CSRレポートでも、内部統制の表現が重要なポイントになりそうですね。特にこれからの情報開示では、財務情報のみならず非財務情報の重要性がクローズアップされています。
大久保
続発する企業不祥事、不正経理事件により、会計ルールだけを厳格化しても、企業の実態を評価するには不十分だとする意見が出てきました。情報開示の流れも、財務情報のみならず、それらを補完するという視点から非財務情報のあり方が議論されるようになりました。実際、環境報告書、CSR報告書、情報セキュリティ報告書、知的財産報告書、アニュアルレポートにおける非財務内容の開示の充実などさまざまな開示書類が作成され始めています。そこで求められているのは、結果(パフォーマンス)の開示ではなく、結果を導くためのプロセスをどのように構築しているかという点が重視されてきているという事実です。
岸 本
ガバナンス体制やコンプライアンス体制などを含む内部体制をいかに伝えるかが重要なことはわかります。ただ、この種のレポートは仕組みだけでは味気ないものとなり、なかなか読み手の興味をそそりません。
大久保
わが国の企業風土を前提にすると、いかに現場の従業員を巻き込んだ取り組みができるかがポイントとなります。お客様に自社のCSR活動を理解させたいというのであれば、従業員を通じた波及効果に期待することが最も効果的です。そのためには、自社の取り組み方針、CSR活動内容を、まず従業員に理解してもらえる仕組みの構築が不可欠です。たとえば、CSR報告書の第一の作成ターゲットを従業員に置き、従業員を巻き込んだ作成プロセスと、現場の意見を社内がどのように受け止めているのかという意思決定プロセスについてできるだけ透明性を高めるなどの諸施策を行うことです。そうすることでCSR活動は、CSR関連の専門部署のみならず、自ずと営業関係部署が率先して取り組むこととなり、周辺のステークホルダーへ直接的な影響を及ぼすことで、結果として企業価値を向上させます。このような仕組みが構築できれば、社内での体験が共有でき、内部統制の構築ももっといきいきとしたものになるでしょう。わが国のCSRは、数年前に発生したいくつかの企業不祥事が踏み台になりました。そうした企業の中には、その後素晴らしいCSRの取り組みを実現している企業が見受けられます。
岸 本
欧米の企業の中にはCSRレポートではなく、CRレポートと名乗るものも散見されます。この背景には、CSRとコーポレートガバナンスの2つの領域を企業経営に取り込む必要性が認識され始めているという事情がありそうです。CRはそのまま訳されると「企業責任」ですが、さらに広い概念である「責任ある企業経営」と訳してもよいでしょう。ステークホルダーの要請に応えるというだけでなく、経営の質をいかに創造的に高めていくかが問われています。
大久保
わが国では、NGOやNPOの役割に対する理解もまだまだ不十分な面があります。企業の活動をよい意味で監視する、あるいはNGOやNPOの立場から客観的に評価する、アドバイスする、という役割は今後一層重要になると思います。
プロフィール
岸本 幸子(きしもと さちこ)氏(写真左)
特定非営利活動法人 パブリックソースセンター 事務局長
民間企業、研究所勤務を経て、米国ニュースクール・フォー・ソーシャル・リサーチで非営利マネジメント修士課程終了。市民による非営利の実践型シンクタンク&コンサルティングファーム「パブリックリソースセンター」の創設に参画。NPOのマネジメント支援やオンライン寄付サイトGambaNPO.netの運営、SRI(社会的責任投資)のための企業の社会的責任評価などに取り組んでいる。同センターの企業評価は、国内唯一のSRI株価指数の組成に採用されている。
大久保 和孝(おおくぼ かずたか)(写真右)
新日本インテグリティアシュアランス常務取締役、新日本監査法人CSR推進本部 公認会計士として民間企業や独立行政法人などの会計監査や内部統制構築のアドバイザリー業務に従事。
経済同友会「社会的経営責任委員会」(委員)、環境省社会的責任研究会委員、経済産業省情報セキュリティガバナンスWG、企業社会責任フォーラム評議委員、コンプライアンス規格「ECS2000」策定メンバー。著書には、『倫理法令遵守マネジメントシステム』ほか。
