「受容できないリスク」の判断基準｜リスク選好とのギャップ分析【CIAパート3】

Contents

テーマ：ブレーキを踏まない運転手～「受容できないリスク」の境界線～
【練習問題】パート3 セクションD-6-a

テーマ：ブレーキを踏まない運転手～「受容できないリスク」の境界線～

セクションD-6-aは、内部監査における最も高度な判断力が求められる領域の一つです。

通常、リスクへの対応（回避、低減、共有、受容）を決めるのは経営管理者（マネジメント）の権利です。しかし、もし経営管理者が「このリスクは放置する（受容する）」と決めた結果、組織が破滅的な損害を被る可能性があったらどうでしょうか？

GIAS（グローバル内部監査基準）では、経営管理者が受け入れた「残余リスク」が、組織全体にとって「受容できないレベル（Unacceptable）」であると判断した場合、内部監査部門長（CAE）には行動を起こす義務があると定めています。では、その「受容できない」というラインはどこにあるのでしょうか？

1. 導入：誰が「限界」を決めるのか？

まず、大前提を理解しましょう。

リスク許容度（Risk Appetite）を決める人：取締役会。
- 「ここまでは攻めていいが、これ以上は危険だからダメ」という組織全体のガイドラインを設定します。
個々のリスクを管理する人：経営管理者。
- 現場で日々、リスクとコストを天秤にかけます。

★問題の核心： 経営管理者が決めた「リスク受容」が、取締役会の決めた「リスク許容度」を逸脱している場合。これが「受容できないリスク」となります。監査人は、この乖離（ギャップ）を見つけ出すセンサーの役割を果たします。

2. 「受容できない」と判断する3つの基準

CAEが「これは危険すぎる」と判断するための具体的な物差しは以下の通りです。

① リスク許容度（Risk Appetite）との比較

これが最も明確な基準です。

基準： 取締役会が承認したポリシーや数値基準。
判断： 残余リスクが、明確に定められた許容度を超えているか？
- 例：「システム停止は年間24時間まで」という許容度に対し、対策不足で「年間100時間の停止リスク」が残っている場合。

② 組織の目標・戦略への影響

数値化できない場合でも、組織の存続や目的達成を脅かすかどうかを見ます。

判断： そのリスクが顕在化した場合、組織の戦略的目標の達成が不可能になるか？
- 例：新規事業の成功が社運を賭けたものであるのに、その根幹となる技術の特許侵害リスクを放置している場合。

③ 外部要因（法令・規制・評判）

コスト対効果だけでは測れない領域です。

判断： 法令違反、規制当局からの制裁、または回復不可能な評判の失墜（レピュテーションリスク）を招くか？
- 例：排水処理設備のコストを惜しんで、環境規制値を超える汚染水を流すリスクを受容している場合（これは通常、企業のポリシーとしても「許容度外」です）。

3. CAEの思考プロセス（判断のステップ）

CAEは、自分の「感覚」ではなく、客観的なプロセスで判断しなければなりません。

事実確認： 経営管理者は本当にそのリスクを理解した上で受容しているのか？（単なる認識不足ではないか？）
測定： そのリスクの影響度（Impact）と発生可能性（Likelihood）はどれくらいか？
比較： それは組織のリスク許容度の中に収まっているか？
結論： 収まっていないなら、それは「受容できないリスク」である。

4. 経営管理者の言い分 vs 監査人の視点

よくある対立構造を理解しておきましょう。

経営管理者（現場）の論理：
- 「コストがかかりすぎる」
- 「現場のスピード感が落ちる」
- 「今まで事故は起きていない（楽観バイアス）」
監査人（全体）の論理：
- 「コストを惜しんで会社が潰れたら元も子もない」
- 「取締役会が定めたルール（許容度）を超えている」

監査人の役割は、経営管理者を論破することではなく、「このリスク受容は、取締役会の期待と矛盾していますよ」と指摘することです。

5. 試験で狙われる「ひっかけ」ポイント

×「CAEが個人的に危険だと感じたリスクは、すべて『受容できないリスク』として報告すべきである」
- 解説： CAEの個人的な感覚ではなく、「組織のリスク許容度」や「戦略目標」という客観的な基準に照らして判断します。
×「受容できないリスクが見つかった場合、CAEは直ちに是正措置を実行しなければならない」
- 解説： 何度も出てきますが、是正措置を実行するのは経営陣です。CAEの仕事は「報告（エスカレーション）」です。
×「法令違反のリスクであっても、罰金が対策コストより安ければ、経営判断として受容可能である」
- 解説： 倫理的・法的に問題があります。コンプライアンス違反は通常、組織のリスク許容度の範囲外（受容不可）とみなされます。

まとめ

セクションD-6-aのポイントは、「定規（許容度）を当てる」ことです。

If 残余リスク＞組織のリスク許容度
Then それは「受容できないリスク」である。

監査人は、現場の暴走（過度なリスクテイク）を止めるための「安全装置のスイッチ」を入れる権限を持っています。

【練習問題】パート3 セクションD-6-a

Q1. 内部監査人は、営業部門が短期的な売上目標を達成するために、信用調査を省略して新規顧客と取引を開始していることを発見した。これにより、貸倒れリスクが増大している。営業部長は「リスクは承知しているが、成長のためには必要なリスクテイクだ（受容する）」と主張している。このリスクが「組織にとって受容できない」ものかどうかを判断するために、内部監査人が参照すべき最も適切な基準はどれか。

A. 営業部長の過去の業績と経験則。

B. 同業他社における平均的な貸倒れ率。

C. 取締役会が承認した与信管理ポリシーおよび組織のリスク許容度（Risk Appetite）。

D. 内部監査人が個人的に考える「健全な取引」の定義。

【解答・解説】

正解と解説を表示

正解（C）： リスクが受容可能かどうかを決める究極の基準は、ガバナンス機関（取締役会）が設定した「リスク許容度」です。営業部長の判断が、組織全体の方針（ポリシー）や許容度を逸脱している場合、それは「受容できないリスク」と判断されます。

不正解（A）： 個人の経験則は組織全体の基準にはなり得ません。

不正解（B）： 他社の情報は参考になりますが、自社の許容度とイコールではありません。

不正解（D）： 監査人の個人的な主観ではなく、組織の基準に基づく必要があります。

Q2. ある化学工場において、排水処理設備の老朽化により、法規制をわずかに超える有害物質が排出されるリスクが確認された。工場長は「設備更新には莫大な費用がかかるため、罰金を払う方が安上がりだ」として、このリスクを受容する決定を下した。GIASおよび職業倫理の観点から、この状況に対する内部監査部門長の判断として最も適切なものはどれか。

A. 経済合理性（コスト対効果）の観点から、工場長の判断は正当であり、受容可能なリスクである。

B. 法令遵守（コンプライアンス）は組織の存続と評判に関わる重大な要素であり、通常、法令違反リスクの受容は組織のリスク許容度を超える「受容できないリスク」であると判断する。

C. 罰金の金額が工場の利益の範囲内であれば、財務的な影響は軽微であるため、監査報告書には記載しない。

D. 工場長がリスクを受容した以上、内部監査部門長にはそれ以上介入する権限はない。

【解答・解説】

正解と解説を表示

正解（B）： 財務的なコスト比較（罰金 vs 設備費）だけで判断してはいけません。法令違反は、業務停止命令や社会的信用の失墜（レピュテーションリスク）を招くため、多くの組織において「受容不可」と定義されます。CAEはこの判断を問題視し、上級経営陣や取締役会へ報告すべきです。

不正解（A）： 倫理的・法的なリスクを無視した経済合理性は認められません。

不正解（C）： 財務的影響だけでなく、非財務的影響（評判など）も考慮する必要があります。

不正解（D）： 経営管理者が受容しても、それが組織全体にとって危険であれば、CAEには報告する義務があります。

Q3. 個々の監査業務において、経営管理者が受容した残余リスクが「組織にとって受容できないレベル」であると判断される場合、内部監査部門長（CAE）が最初にとるべき行動はどれか。

A. 直ちに取締役会に報告し、経営管理者の解任を提案する。