リスクアペタイトを決める — どこまで取るかは取締役会が承認する

リスクを取らない経営は存在しない。問題は、どこまで取るかを誰が決め、誰が運用するかだ。本稿は、取締役会が承認する「リスクアペタイト」という枠組みを、資材審査の「許容できる表現の幅」に重ねて読む。攻めと守りの境界線を、どこに、誰が引くのか。

01どこまで取るか ── 枠を引くのは監督側

事業はリスクの上に成り立っています。新薬の開発も、新しい訴求も、不確実性を引き受けなければ前に進まない。だから問いは「リスクを取るか取らないか」ではなく、どの種類のリスクを、どこまで取るかになります。この取るリスクの種類と量を、リスクアペタイトと呼びます。これを承認するのは取締役会です。執行は、承認された枠の内側で動く。

承認と運用を分けるのには理由があります。境界線を引く側と、その内側で攻める側を同じ手に委ねれば、現場の都合で枠そのものが動いてしまう。取締役会が枠を決め、代表取締役・業務執行取締役がその枠内で執行する。監督と執行の分離が、ここでも効いています。資材審査も同じ構図で読めます。「どの表現までを許容するか」という審査基準は、現場に下ろされたアペタイトの具体化にあたる。基準を誰が定め、誰が運用するかが曖昧なら、審査の線は現場の数字に押されて動きます。

02ゼロリスクではない ── COSO ERM と ISO31000 の発想

アペタイトの発想は、リスクをゼロにすることではありません。COSO ERM（2017）と ISO31000 は、リスクを統治と戦略に統合する枠組みを示し、アペタイトの設定を監督機能の一部に位置づけます。狙いは、目的に照らしてリスクテイクを最適化すること。リスクを避けすぎれば成長機会を逃し、無秩序に取れば破綻を招く。承認された枠が、その両極の間に引かれる線になります。

コーポレートガバナンス・コードも同じ方向を向いています。原則4-2は、経営陣幹部の適切なリスクテイクを支える環境整備を取締役会の役割とし、同時に健全な企業家精神に基づく提案を独立・客観の立場から十分に検討するよう求める。過度な萎縮を戒め、同時に歯止めを求める。下の三つが、アペタイトを「決めて終わり」にしないための要素です。

03枠を超えたら上げる ── エスカレーションと資材審査

枠を決めることと、枠が守られているかを知ることは別の問題です。アペタイトを超える兆候を執行から取締役会へ上げるエスカレーションの経路がなければ、承認した枠は紙の上の線で終わる。運用で逸脱が起きても、監督側には見えない。資材審査でも同じで、許容範囲を超える資材や繰り返される逸脱を上層へ上げる経路の有無が、審査が機能しているかどうかを分けます。基準を持っているだけでは足りない。基準を破る動きが上に届く設計が要る。

この経路は、内部統制の運用そのものと地続きです。内部統制システム構築義務が「体制を作る」段階だとすれば、アペタイトとエスカレーションは「作った枠を運用で守る」段階にあたる。逸脱を現場・管理部門・内部監査のどこで止めるかは 三線ディフェンス の役割分担に重なり、これらが現に動いている証拠が 取締役会から見た資材審査 で扱う審査記録になります。承認された枠、枠内の運用、逸脱を上げる経路。この三つがそろって初めて、リスクアペタイトは統治の道具になります。