最終回となる本稿では、内部統制監査における「トップダウン・リスク・アプローチ」を取り上げる。リスクへの対応策の類型を説明してから、コントロール(統制手続き)の配置によるリスク制御の基本的な考え方を、事例を交えて紹介する。

 一般に、経営管理には「リスク・マネジメント」という領域があります。内部統制監査における「トップダウン・リスク・アプローチ」も、手法としては同じ考え方に則ったものです。


図1 リスクに対する典型的な対処方法の事例
[画像のクリックで拡大表示]

 リスクへの戦略的な対応には、次の4つの類型があります。ここで“戦略的”といったのは、事業の進出や撤退までをも視野に入れたうえで実施するリスク対応策の類型だからです(図1)。

 1.リスク回避(risk avoidance)
 2.リスク移転(risk transfer)
 3.リスク受容(risk acceptance)
 4.リスク制御(risk control)

 「リスク回避」は、リスクの発生そのものを排除する対応です。例えば、海外との外貨建取引で生じる為替変動のリスクを排除したい場合に、その取引を円建て取引に契約変更できれば、為替リスクを回避できます。要は、リスクを伴う外貨建取引を廃止することでリスクを回避するという、極めて明快な対応策です。

 為替リスクへの別の対応策としては、銀行と「為替予約」を締結する、という方法があります。為替予約は、リスキーな外貨建取引を変更できない状況で、予約手数料の対価として、為替リスクを銀行に肩代わりしてもらう行為です。これが「リスク移転」です。保険などの金融商品、あるいはデリバティブなどの金融派生商品は、リスク移転を目的として利用されます。

 3つめの「リスク受容」は、リスクの発生に伴う損害が小さく、事業遂行上も問題にならない場合、リスクをそのまま放置することを指します。

 そして最後の「リスク制御」は、コントロール(統制手続き)の導入によってリスクを軽減させ、リスクを許容範囲内に収めようとするリスク対応方法です。リスク制御は、回避や移転のようにリスクへの直接的対策を講じようとするのではなく、導入するコントロールによってリスクを“間接的”に管理・制御しようとするものです。これが、内部統制監査における「トップダウン・リスク・アプローチ」が前提とするリスク対応策です。

 リスク制御はもともと、“リスク・コントロール”という英語を訳したものです。コントロールを「管理」と訳してしまうと「リスク管理」となり、先のリスク・マネジメントと混同しやすくなりますし、統制活動として使う時のコントロールとの関係も分かりにくくなります。そこで「リスク制御」という言葉を使うことにします。

 戦略レベルで捉えると、リスク制御による対応を試みても、それだけでは対応が不十分と考えられる場合もあります。このようなケースでは、リスク制御に加えて、保険加入などのリスク移転を組み合わせて、リスク対応を検討していくことになります。

コントロールによってリスクを許容範囲内に


図2 固有リスクに対してコントロールを配置することで、残存リスクを許容リスクの範囲内に収める
[画像のクリックで拡大表示]

 以上のようなリスク対応の基本は、次のような式で表現できます。これを、以前お話したリスク・マップを使って表すと、図2のようになります。

固有リスク-コントロール=残余リスク<許容リスク

 「固有リスク」とは、コントロールが何も働いておらず、リスクが完全にむき出しの状態を指します。「残余リスク」とは、固有リスクの状態に一定のコントロールを配置し、リスクの大きさを軽減した後でも、リスクが完全になくならず、残留してしまったリスクを指します。

 「許容リスク」とは、企業が事業遂行上やむを得ず甘受することを決めた範囲内のリスクのことです。通常、リスクのないところにビジネスは成立しません。したがって、許容リスクは通常、プラスの値となります。これは、企業トップが決定したリスク管理方針ということになります。

 ここでは、ネガティブなリスクしか想定していませんが、一般的なリスク・マネジメントの議論では、ポジティブなリスク、すなわちチャンス(収益機会)を考慮することがあります。その場合、残余リスクはマイナスということになります。

 さて、本論のリスク制御に話を戻します。固有リスクは、ビジネスを行う場合に、自然発生的に生じるものです。リスク回避は「固有リスクの発生原因そのものを事業から取り除くこと」、リスク移転は「リスクの発生原因は残して、固有リスクの事業からの外部化を選択すること」を意味します。これに対しリスク制御は、固有リスクの発生原因をそのまま温存し、常にリスク発生の危険性を孕んだ状態でのリスク対応―リスク・マネジメント―を試みます。許容リスクは、トップが決定するリスク管理方針です。

 通常、管理方針である許容リスクは、戦略変更の意思決定が行われたり、予想しない経営環境の変化が生じたり、といった見直しを必要とする状況が発生しない限り、一定の水準にとどまります。このことからリスク制御では、コントロールの選択と配置を唯一操作可能な手段として、リスクへの対応―リスク・マネジメント―を実施するということになります。

 リスク・マネジメントを最も積極的に経営管理に適用している業種は金融です。多くの金融機関では、リスクを統計学的なアプローチを用いて定量化して取り扱っています。定量化された管理モデルを利用する場合には、先に紹介したリスク対応に関する式に、実際の数値を用いて、リスク管理上の判断を行います。

 金融商品自体が統計的なアプローチになじみやすいことや、BIS規制(国際業務を行う金融機関に対する自己資本規制)によりリスクの定量化が求められることから、大手金融機関におけるリスク・マネジメントは、定性的なアプローチと併せて定量的なアプローチを用いることが主流になっています。

 日本版SOX法の規制においてトップダウン・リスク・アプローチが採用されることは、昨年末に公表された基準案において明確化されました。実施基準は現時点で未公表なので、リスク・アプローチの詳細は明らかではありませんが、統計的なアプローチまで求めることはないものと考えられます。

 したがって、ここでのリスク・マネジメントは「定性的で主観的な判断に基づくアプローチである」という前提に立ち、リスク制御におけるコントロールの配置という観点で話を進めていきます。