Contents
  1. テーマ:「どのくらいスピードを出していいか?」 ~アクセルの踏み込み具合~
  2. 【練習問題】パート1 セクションC-5-b

テーマ:「どのくらいスピードを出していいか?」 ~アクセルの踏み込み具合~

セクションC-5-bは、組織がリスクに対してどのような姿勢を取るかを示す2つの重要概念、「リスク選好(Risk Appetite)」と「リスク許容度(Risk Tolerance)」を理解し、区別するパートです。

内部監査人は、経営陣が暴走していないか、あるいは慎重すぎてチャンスを逃していないかを評価しますが、その判断基準となるのがこの2つです。

1. 導入:なぜ「基準」が必要なのか?

リスク・マネジメントは「リスクをゼロにすること」ではありません。リターンを得るために、あえてリスクを取る必要があります。

しかし、どこまでリスクを取っていいのかという「境界線」がなければ、組織は危険な賭けに出るか、逆に何も行動できなくなってしまいます。

2. リスク選好(Risk Appetite):組織の「性格」と「方向性」

リスク選好とは、組織が価値を創造するために、広義において、どのような種類のリスクをどの程度受け入れる(追求する)意思があるかという「全体的な姿勢」です。

  • イメージ: 「うちはベンチャーだから、失敗を恐れずガンガン攻めよう!」または「老舗銀行として、信用第一で石橋を叩いて渡ろう」。
  • 特徴: 戦略レベルで設定されます。定性的(言葉)で表現されることが多いですが、定量的であることもあります。
  • 決定者: 最終的には取締役会が承認し、経営陣が設定します。

3. リスク許容度(Risk Tolerance):具体的な「限界値」

リスク許容度とは、リスク選好に基づき、特定の目標に関連して受け入れ可能なリスクの具体的な変動幅(ばらつき)です。

  • イメージ: 「ガンガン攻める(選好)が、単年度の赤字は5億円まで(許容度)」、「石橋を叩く(選好)ため、システムダウンは年間1時間未満とする(許容度)」。
  • 特徴: 業務レベル・戦術レベルで設定されます。測定可能(定量的)な数値で示されることが一般的です。
  • 関係性: リスク選好という「大枠」の中に、個別のリスク許容度という「具体的制限」が存在します。

4. 両者の比較(試験で問われる対比)

試験では、この2つを混同させる問題が出ます。以下の表で整理しましょう。

項目リスク選好 (Risk Appetite)リスク許容度 (Risk Tolerance)
視座戦略的・広範
(Strategic / Broad)		戦術的・具体的
(Tactical / Specific)
表現傾向、哲学、方向性
(定性的・定量的)		範囲、限度額、差異
(主に定量的)
対象組織全体、事業単位個別の目標、カテゴリー、プロジェクト
「当社は、革新的な技術開発のために高いリスクを受け入れる」「プロジェクトの予算超過は予算の+10%までとする」

「ダイエット」で例えると:

リスク選好: 「健康的に痩せるために、多少の空腹(リスク)は我慢して、食事制限を頑張るぞ」という全体的な方針。

リスク許容度: 「1日の摂取カロリーは1800kcalまで、プラスマイナス100kcalの誤差ならOK」という具体的な数値目標。

5. 内部監査人の役割

ここが重要です。内部監査人はリスク選好や許容度を決定(Set)しません。それは経営陣の責任です。

内部監査人の役割は以下の通りです:

  1. 評価する: リスク選好が明確に定義され、組織全体に伝達されているか?
  2. 確認する: 実際のリスク(残余リスク)が、設定されたリスク選好・許容度の範囲内に収まっているか?
  3. 報告する: もしリスクが許容度を超えている場合、経営陣や取締役会に警告する。

6. 試験で狙われる「ひっかけ」ポイント

  1. ×「リスク許容度は、リスク選好よりも広い概念である」
    • 解説: 逆です。選好が大枠の傘であり、許容度はその下の具体的な境界線です。
  2. ×「内部監査人は、組織のリスク選好を決定しなければならない」
    • 解説: 絶対にNGです。これは経営者の固有権限(マネジメント・プルロガティブ)への侵害になります。監査人は「適切に決定されているか」をレビューするだけです。
  3. ×「リスク選好が低い場合、リスク許容度は設定されない」
    • 解説: 間違いです。リスクを嫌う(選好が低い)場合でも、「どこまでなら許せるか(許容度)」というゼロに近い基準値(例:エラー率0.01%以下)が必要です。

【練習問題】パート1 セクションC-5-b

Q1. あるテクノロジー企業は、「業界のリーダーになるために、新技術への投資には積極的にリスクを取るが、顧客データのセキュリティに関しては一切のリスクを冒さない」という方針を掲げている。この「新技術への積極性」や「セキュリティへの厳格さ」を示す全体的な姿勢は、次のうちどれに該当するか。

A. リスク許容度(Risk Tolerance)

B. リスク能力(Risk Capacity)

C. リスク選好(Risk Appetite)

D. 残余リスク(Residual Risk)

【解答・解説】

正解と解説を表示

正解(C): 設問の記述は、組織がどのような種類のリスクを追求し、あるいは回避するかという、戦略的かつ広範な姿勢を示しており、これはリスク選好(Risk Appetite)の定義です。

不正解(A): リスク許容度は、より具体的で測定可能なレベル(例:「データ漏洩は0件でなければならない」「投資損失は予算の10%まで」など)を指します。

不正解(B): リスク能力は、組織が倒産せずに負担できるリスクの客観的な最大総量(体力)を指し、経営の意思(姿勢)とは異なります。

不正解(D): 残余リスクは、コントロール後のリスクの状態であり、組織の姿勢を示す言葉ではありません。

Q2. 内部監査人は、製造部門の監査において「製品不良率は0.5%未満に抑える」という指標が設定されていることを確認した。この「0.5%未満」という数値的指標は、リスク・マネジメントの概念において何と呼ばれるか。

A. リスク選好(Risk Appetite)

B. リスク許容度(Risk Tolerance)

C. 固有リスク(Inherent Risk)

D. コントロール活動(Control Activity)

【解答・解説】

正解と解説を表示

正解(B): 目標達成に関連して受け入れ可能な具体的な変動幅や限界値(ここでは0.5%という数値)は、リスク許容度(Risk Tolerance)です。リスク選好を運用レベルに落とし込んだものです。

不正解(A): リスク選好はもっと広義の概念(例:「高品質な製品を提供する」という方針)です。

不正解(C): 固有リスクは、対策を講じる前のリスクの大きさであり、目標値ではありません。

不正解(D): コントロール活動は、この許容度を守るための具体的な作業(例:検品作業)を指します。

Q3. 組織のリスク選好(Risk Appetite)に関する内部監査人の役割として、GIASに基づき最も適切な記述はどれか。

A. 取締役会に代わって、組織の戦略目標に合致したリスク選好レベルを決定し、全部署に通達する。

B. 経営陣がリスク選好を超えるリスクを取っている場合、直ちに業務を停止させる権限を持つ。

C. 実際に取られているリスクが組織のリスク選好と整合しているか、およびリスク選好が組織内に浸透しているかを評価する。

D. リスク選好の概念は抽象的すぎるため、監査対象から除外し、定量的なリスク許容度のみを評価する。

【解答・解説】

正解と解説を表示

正解(C): 内部監査人の役割は、リスク選好の「決定」ではなく、プロセスや整合性の「評価(Assurance)」です。経営陣が設定した選好が守られているか、組織文化として定着しているかを確認します。

不正解(A): リスク選好の決定は経営陣の責任であり、承認は取締役会の役割です。内部監査人が決定すると独立性が損なわれます。

不正解(B): 内部監査人には業務停止命令権はありません。逸脱を発見した場合は、経営陣や取締役会に報告・勧告を行います。

不正解(D): リスク選好は組織のガバナンスと文化の根幹であるため、監査対象から除外すべきではありません。定性的な要素も含めて評価する必要があります。