トップの一言が、企業全体のその後の活動を大きく左右する。こうした話は珍しくない。東京海上日動火災保険グループの生損保各社が利用する情報システムを預かる東京海上日動システムズ(以下、システムズ)が「内部統制」の活動を大きく見直すきっかけとなったのは、トップのこんな一言だった。

「リスク管理ばかりを重視し、チャレンジを忘れると会社がつぶれてしまう」

 発言の主は、2012年当時社長だった横塚裕志氏(現在は同社顧問)。内部統制方針の見直し案に関する役員レビュー会議での言葉だ。

 内部統制方針は、コンプライアンス(法令順守)を軸にITガバナンスやリスク管理、情報開示、経理・人事といった管理業務に関する基本的な方針・ルールや担当部署を規定したもの。それまで使ってきた方針を、現状に合わせて整理・統合した。基本的に現状に合わない部分を直すというスタンスで、「不正行為や法令違反を防ぐ」といった守りの色合いが濃かった。

 不正や法令違反、情報漏洩を防ぐのが大切なのは言うまでもない。しかし、それだけで本当にいいのだろうか。全社を挙げて取り組むのであれば、もっと前向きに、大切な目的のために動くべきではないか。横塚氏の発言の裏には、こうした問題意識があった。

 この一言で、システムズにおける内部統制の方向は大きく変化した。単に「守り」を目的とするのでなく、「顧客や自社にとっての価値を生み出す」ための活動、いわば「守りながら攻める」ための活動へと変わっていったのだ。それが2013年から展開している「GRC態勢」である。

「守りのため」だけではわくわくしない

 内部統制とは、企業が適正に業務を進めるために組織全体で進める一連の取り組みを指す。不正や不備が生じたり、法規制違反が生じたりしないよう、リスクを認識して必要な手段を講じ、その手段を継続して改善しつつ運用する、というのが基本的な形だ。財務報告に関わる内部統制の整備・運用を上場企業に義務付けたJ-SOX(日本版SOX法、内部統制報告制度)を、ご存じの方も多いだろう。