J-SOX制度の改訂は非上場企業の内部統制にも影響を与える(イメージ:写真AC)

BCPに3線モデルをどう反映させるか

本連載第25回でも取り上げた、上場企業における財務報告の信頼性の確保を目的とした内部統制報告制度の改訂。いわゆるJ-SOX制度の改訂が2024年度から適用されるにあたり、現在、上場企業の経営陣やリスク管理部門、内部監査部門が大騒ぎになっています。

逆説的に見ると、日本では超大企業においてさえもリスクマネジメントが形骸的で、資源の投入レベルが低く、災害やサイバー攻撃の発現に対して実質的な準備ができていないことに、ステークホルダーからの批判が相次いでいる。制度改訂にあたっての騒動は、そんな状況を反映してのことでしょう。

首都直下地震や南海トラフ地震という巨大災害リスクを眼前にしている今、J-SOX制度の改訂はBCPとしても検討すべきものです。そのため、制度改訂自体は上場企業に向けたものであっても、リスクマネジメントを行っている多くの非上場企業や中堅企業、金融やインフラ系組織にも大いに影響を与えることは間違いありません。

改訂内容において注目されるのは、全組織的なリスク管理体制の例として示された「3線モデル」というキーワードです。これは1線を現業部門、2線をリスク管理部門、3線を内部監査として、3つの構成で内部統制をガバナンスする考え方です。

非上場、上場に関わらず、多くの企業・組織の重要な経営管理項目であるBCPにおいて、この3線モデルをどのように反映させるかというテーマに、特にリスク管理を統制する立場の総務部門や危機管理部門は非常に悩ましく考えていると思われます。

実際、今までの企業BCPは統制部分(2線)に力点が偏り、危機管理の事務局(多くは総務部門)は対策本部の事務局を兼務し、BCPの中核を唯一担っていました。BCPの内部監査(3線)を実施していない企業では、この3線モデルは関係ないとスルーしてしまいがちな内部統制モデルです。

現業部門のBCP力をどう鍛えるかがカギになる(イメージ:写真AC)

しかし、現在多くの企業・組織で課題としてあがっているBCPの「実効性」については、実際、1線(現業部門)のBCP力を鍛えてこなかったツケが回っているといわざるを得ません。もちろん内部監査(3線)を行っていない企業・組織では、経営陣が自社のBCPを監視してこなかったとみなされます。

本稿では、このような企業BCPを経営視点において根本から改善する3線モデルを、構築済みのBCPにどのように反映させるかについて、1線と3線それぞれへの向き合い方を解説します。