著者：FFR＋ 代表　碓井 茂樹 氏

リスクアペタイトの源流

まず、リスクアペタイトの「源流」ともいえるJNJ の「我が信条」（クレド）について、詳しく見てみましょう。日本企業では、経営者の経営理念やビジョンを四字熟語や短い文章であらわすことがあります。経営者の語録をまとめて従業員に配布することもあります。これらは経営者がイニシアティブをとって、組織内の役職員に企業文化やリスクカルチャーを浸透させるために行うものです。

これに対して、JNJ の「我が信条」は、「顧客」「社員」「地域社会」「株主」というステークホルダーに対して、それぞれどのような責任を果たすのかを説明し、約束するものです。しかも、その文章を読むと、70年以上も前に書か れたものとは思えないほど、現代企業にも当てはまる普遍的な内容となっていることに驚きます（※図1 参照）。

1番初めに「顧客第一主義」を掲げ、顧客に対して満足のいく商品・サービスを提供することを約束しています。2番目に、従業員の公正な処遇のほか、能力開発の機会を与えること、個人の尊厳、ワークライフ・バランスなどを守ることを約束しています。3番目に、社会に対して有益なCSR活動を行って貢献することを約束しています。そして最後に、株主に対する利益還元のほか、内部留保の蓄積、企業価値の向上のための研究開発投資などを約束しています。

当時、株主から「自分たちの利益こそ最も優先されるべきではないか」と不満が出たと言います。それに対して、3代目社長ロバート・ウッド・ジョンソンJr. は、「顧客、社員、地域社会、株主という、この順番が大事なのだ。この順番に責任を果たすことによってはじめて、株主の皆さんへの責任を果たすことができるのだ」と明言したといわれています。

リスクアペタイト実践の広がり

1980～90年代、先進的な金融機関で「リスクアペタイト」を文書化する慣行が始まりました。こうした実践を受け、海外の金融当局も金融機関に対して「リスクアペタイト」に基づくリスクマネジメントの態勢整備を促し始めました。

国際社会では、30年近く前から「リスクアペタイト・ステートメント」を通じて、金融機関と金融当局がコミュニケーションをとるという慣行が始まっていたのです。

当時、海外に勤務していた邦銀の国際業務部門の担当者が、現地の金融当局に挨拶に行くと、いきなり「リスクアペタイト」を説明せよ、と言われました。「リスクアペタイト」が何を意味するのかがさっぱり分からず、その場をごまかして帰って「リスクの食欲って何のことだ？」とみんなで首をひねったという笑い話があります。

その後、「リスクアペタイト」は2004 年にCOSO が公表した「ERM：全社的リスクマネジメント」のなかで正式に定義されました（※図2参照）。

COSO-ERM によって理論的な裏付けを得たことから、国際社会では、金融機関だけでなく、広く一般企業においても「リスクアペタイト・ステートメント」を作成する動きが広がりました。

また、2013 年に改訂された国際的な内部監査基準（IIA 基準）をみると、「リスクアペタイト」に基づくリスクマネジメントのフレームワーク（ERM「全社的リスクマネジメント」）を導入している組織では、それらを活用してリスク・ベース監査を行うことと記載されています（※図3参照）。

日本企業では、「リスクアペタイト」という用語は、まだ馴染みがありませんが、国際社会では、今やガバナンス、リスクマネジメント、内部監査の実務で、ごく一般的に使われる用語として浸透し、定着しています。

原点回帰：説明責任を果たすためのリスクアペタイト

国際社会は、「エンロン」「ワールドコム事件」「リーマンショック」などの大きな失敗を経験しました。その都度、「ステークホルダーへの説明責任は果たされていたのか」という問いかけや批判が寄せられました。

その結果、「エンロン」「ワールドコム事件」の後には、企業改革法（SOX 法）が制定されました。経営者は、財務報告にかかる内部統制システムを構築し、その有効性を評価した報告書と、年次報告書による開示が適正である旨の宣誓書を提出することが義務付けられました。

金融危機の後、金融安定理事会（FSB）、バーゼル銀行監督委員会（BCBS）から、金融機関のガバナンス、リスクマネジメント、内部監査に関する多数のぺーパーが公表され、その議論の中で、「リスクアペタイト・フレームワーク」( 以下RAF) を導入することの重要性が指摘されました。

経営者は、経営理念・目標を明確にして「リスクアぺタイト・ステートメント」を策定するとともに、経営理念・目標の達成に向けて、組織や役職員を動かすためのRAFを導入し、取締役会の承認を受けることとされました。経営者の説明責任、取締役会の監督責任を求めたと言えます。

今や、金融安定理事会（FSB）、バーゼル銀行監督委員会（BCBS）が公表するガバナンス、リスクマネジメント、監査に関するペーパーをみると、金融機関にはRAF が導入されていることが当然の前提となっています（※図4,5 参照）。

実際、海外の金融機関では、「リスクアペタイト」を起点にして、業務計画や内部統制システム、コンプライアンス方針、リスク管理方針、役職員の研修プログラムなど、組織、役職員を動かすための枠組みを見直しました。国際的に活動する金融機関（G-sifis）だけでなく、地域銀行などにもRAF は導入され、すっかり定着した感があります。国際社会では、金融危機後も、やはり「ステークホルダーへの説明責任を果たすためには何をすべきか」という原点に立ち返り、RAFを導入することによって、経営の自己規律を取り戻したのです。

モニタリングモデルを実践するためのリスクアペタイト

日本でも、会社法改正、コーポレートガバナンス・コードの策定と、ガバナンス改革が急ピッチで進み始めました。指名委員会等設置会社、監査等委員会設置へと移行する動きや、取締役会のうち社外取締役の人数を増やす動きが広がっています。

日本企業はこれまで、監督と執行が分離していない独自のガバナンス態勢を続けてきました。今、日本企業に求められているのは、法・制度への形式的な対応ではありません。ガバナンス改革を契機に、さまざまなステークホルダーを意識して「モニタリングモデル」の実践に取り組まなければ意味がありません。

東証のある関係者に伺った話です。株式の公開手続きが完了したとき、社長に向かって、意図的に「はい、これで会社はあなたのものではなくなりました」と言うようにしているが、何のことか意味が分からず、憮然とする経営者が少なくないそうです。果たして、株式公開の意味を理解していない経営者が、ステークホルダーに対して説明責任を果たすことができるのか、疑問と言わざるを得ません。

また、日本では「なぜ、リスクアペタイトを文書化するのか」、「なぜ、RAF を導入する必要があるのか」、「なぜ、今のままではいけないのか」という質問がよく出ます。これまで、日本には社外取締役がほとんどおらず、ガバナンス態勢が「モニタリングモデル」となっていなかったために、経営者が取締役会に対して説明責任を果たすという慣行がないため、実感をもって、その必要性を受け止められないのです。

「モニタリングモデル」が前提の国際社会では、RAFは経営そのものです。「なぜ、リスクアペタイトを文書化するのか」などと日本人が質問をすれば、「では、日本ではどうやって経営をしているのか」と反対に理解できないと言われてしまいます。日本の経営者が未だ「リスクアペタイト」の必要性を感じないというのは、30 年前とは違い、もはや笑い話にもなりません。

日本の金融機関には、今後、多様で十分な数の社外取締役を選任し、法定・任意を問わず、社外取締役を委員長とする「リスク委員会」と「監査委員会」の設置に向けた態勢整備を進めることを期待したいと思います。

リスク委員長と監査委員長を独立社外取締役にすれば、経営理念・目標は何なのか、その実現のために組織・役職員をどのように動かすのか、必然的に説明をせざるを得なくなります。独立社外取締役に一から説明するというのは大変なことですので、当初は大きな負担を感じると思います。しかし、RAF が定着し始めると、今まで曖昧だったものが可視化され、新たな「気付き」となったり、役職員の行動原理として徹底されるなど、メリットも感じられるようになるはずです。

内部監査も大きく変わります。経営にとって重要なリスクが不明確なままでは、いくらリスクベース監査を実施すると掛け声をかけても、結局、規程・マニュアル違反の指摘から脱却できません。しかし、RAF が導入されれば、経営にとって重要なリスクは何か、RAF を有効に機能させるキー・コントロールは何かが可視化されます。リスクベース監査に取り組みやすくなり、内部監査の視点も「経営目線」に切りあがって付加価値の高い指摘を行うようになります。

取締役会の議論も、多様な社外取締役が入って意見を言い始めると、価値観が交錯して論点が絞り切れず、非効率になったり、場合によっては、収拾がつかなくなる可能性もあります。「リスクアペタイト」があれば、取締役会における集団の価値観を共有することができるため、判断が迅速かつ合理的なものになります。融資、投資、M&A などの個別事案に関しても、自分たちの「リスクアペタイト」に適合しているかどうか、現行のRAF によって有効に管理できるかどうか、が議論の中心になります。

もちろん、経営戦略を変えて、新しい種類のリスクテイクに挑戦したり、従来のリスクであっても思い切ってエクスポージャーを増加させるなど、今まで以上のリスクテイクを行うこともあるでしょう。その場合には、取締役会で「リスクアペタイト」の変更に関して、十分な議論を行うことになります。ステートメントを見直すだけでなく、それを管理する「フレームワーク」に不備はないか、慎重に点検することが重要です。

※本稿に記載された意見・コメントはすべて個人的な見解に基づくもので、筆者が所属する組織・団体の代表的な見解を示すものではありません。また、筆者が所属する組織・団体がこれを保証・賛成・推奨するものではありません。