内部統制のためのリスク管理

内部統制のためのリスク管理

古 賀 健 太 郎

Ⅰ はじめに

Ⅱ リスクの概念

Ⅲ リスク管理の枠組

Ⅳ リスク管理の実践上の課題

Ⅴ むすび

Ⅰ は じ め に

米国のエンロン（Enron Corp.）やワールドコム（Worldcom）の不正会計事件を契機 として，2002年に米国で制定されたサーベンス・オクスリー（Sarbanes-Oxley, SOX）

法は，会計監査人が監査した内部統制報告書を企業が開示することを求めている。日本 でも2008年から内部統制報告制度（J-SOX）が適用された。内部統制の中核をなすの がリスク管理である。しかしながら，リスク管理が正確に理解され，内部統制で有効に 活用されて，財務報告や企業経営の質が向上しているとは言い難い。リスク管理が内部 統制に十分に貢献していないことは，最近の日本の製造業における品質データの改竄の 背景となったと推測できる。

Kaplan（2011）は，リーマン・ブラザーズ（Lehman Brothers Holdings Inc.）が2008 年に第二四半期の財務諸表10-Kでリスクについて記述している次の箇所を引用してい る。

In the event of changes in market conditions, such as interest or foreign exchange rates, equity, fixed income, commodity orreal estate valuations, liquidity, availability of credit or volatility, our business could be adversely affected in many ways . . . Further declines in real estate values in the U.S. and continuing credit and liquidity concerns could further reduce our level of mortgage loan organizations and increase our mortgage inventory while adversely affecting its value.（emphasis added）

この記述は他の金融機関，他の時期にも十分当てはまるほど，余りにも一般的であ る。サブプライム住宅ローン危機が起こり，リーマン・ブラザーズが二ヶ月後に崩壊す る可能性を全く読み取れない。この記述がリスク管理に基づいているならば，同社は崩

（1059）５７

壊の危機を一切想定していなかったことになり，ゆゆしき事態である。こうした不幸を 繰り返さないように，リスク管理を根本から構築し直すことが求められる。

本稿は，まず，リスクを定義し，リスクを評価する方法を提起する。さらに，リスク 管理が内部統制に果たす役割を考察する。次に，その役割を果たすためのリスク管理の 枠組を構築する。最後に，その枠組を実践に移す上での課題を抽出する。

Ⅱ リスクの概念

1．リスクの定義

リスクは多くの意味をもつ概念である。但し，どの意味にも，リスクは好ましくない という含意が込められている。経済学はリスクを不確実性と捉えている。結果の良否に 関わらず，不確実な事象にはリスクがあると考えて，確率分布で表わす。一般の人間は 危険回避的で，他の条件が同じであれば確実な将来を好むから，不確実性そのものが良 くないという前提である。経済学におけるリスクの捉え方を反映して，資本市場は企業 の財務的な業績が不確実なほど，高い収益率を求める。

実務家の間では漠然と，リスクを悪い結果という意味で使うことが多い。一例とし て，企業の業績が悪いことをリスクとして挙げる実務家は珍しくない。また，政情不安 等の地政学リスクという言葉も政治の場では良く使う。

広い意味での経営学においては，リスク管理自体が内部統制を改善しなければ，リス クの概念やリスク管理の枠組の意味はない。リスク管理があってもなくても，内部統制 の実態が変わらなければ，リスク管理に費やされる人員やその他の資源は無駄である。

しかしながら，企業の実務では，リスク管理を実践しているという名目のもと，立派な 資料は作られるが，内部統制に具体的にどう貢献しているかを明らかにしないことが多 い。皮肉な観方をすれば，リスク管理のための人員はこの枠組を実践しているのではな く，資料を作っているのである。

企業の目的の一つが，良い財務的な業績を上げることであれば，業績が悪いことを特 段リスクに挙げても，今までにない内部統制，さらに企業の戦略が導かれるとは考えら れない。リスクの概念がなくても，業績を良くするために日々，企業活動に従事するこ とに変わりないからである。しかしながら，会計監査人となる監査法人でさえも，実務 家一般と同じ過ちを犯していることが珍しくない。こうした事実は，リスクの概念やリ スク管理の枠組が正しく理解されず，したがってそれらがどう内部統制に貢献するかが 曖昧なまま実践されていることを示唆する。こうした実践は，多くの資源を費やしてい る割には具体的な成果を上げられず，いずれリスクの概念やリスク管理の枠組に懐疑的 な観方が広まることが懸念される。したがって，リスクの概念を整理し直し，それに基

５８（1060） 同志社商学 第６９巻 第６号（２０１８年３月）

づいてリスク管理の枠組を構築し直さなければならない。

本稿では，リスクの概念の前に内部統制（Internal control）を定義する。このために は，企業の目的が明らかでなければならない。Simons（1995）は内部統制を，企業（組 織）の活動が企業の目的を達成することに貢献することを保証するために情報が用いら れる過程と定義する。Criteria of Control Board（1995）によれば，企業（組織）の目的 を実現する構成員の活動を支援す る 要 素 が 内 部 統 制 で あ る。要 素 は，「目 的（Pur- pose）」，「目的の共有（Commitment）」，「能力（Capability）」，「監視と学習（Monitoring and Learning）」の四つに類別できる。「目的」は企業が目指すものであり，その存在意 義を規定する。「目的の共有」とは，企業の構成員がその目的を共有することにより，

企業と各構成員とが同じ方向を向いていることである。構成員が企業の目的を共有して いても，必要な能力を持っていなければ，目的を達成できない。「能力」には，構成員 の知識，技能，道具だけでなく，情報伝達や意思決定の仕組も含まれる。企業は「監視 と学習」とを通じて，目的が達成されている度合いを測り，それに影響する外部や内部 の環境の変化や，足りない施策について学習もする。

内部統制と同じ文脈で，リスクも定義できる。企業の目的が明らかであることを前提 に，Bell, Marrs, Solomon, and Thomas（1997）は，この目的を阻害する企業の外部と内 部との原因をリスクと定義している。分かり易い例として，「欠陥がない商品を販売し て競合する他企業と差別化を図る」ことを目的とする企業を考える。リスクの候補とし て以下の三つを挙げることができる。いずれも実務家がリスクと考えそうな候補であ る。

欠陥がある商品の販売 不満を持つ顧客 製造器具の老朽化

最初の「欠陥がある商品の販売」は，欠陥がない商品を販売するという目的を達成し ないことを意味するものの，目的を阻害する原因でない。「不満を持つ顧客」は，欠陥 がない商品を販売することを阻害する原因でなく，結果である。「製造器具の老朽化」

こそが，欠陥がない商品を販売する目的を阻害する原因となり得る。ただし，これのみ が原因でなく，リスクの一つに過ぎない。

Bell et al.（1997）は，企業の典型的な目的として，収益性の最大化と持続可能性の維

持とを挙げている。したがって，良い財務的な業績を上げることを目的にしている企業 にとって，悪い業績はリスクではない。悪い業績は，企業の目的を逆の表現に置き換え ただけである。こうした誤ったリスクの概念に基づいたリスク管理が内部統制を向上さ

内部統制のためのリスク管理（古賀） （1061）５９

せないことは当然である。

2．リスクの評価

Bell et al.（1997）の定義では，リスクは漠然と悪い結果ではなく，企業が目的を達成

することを阻害する原因なので，目的を阻害する原因を特定しなければならない。企業 が目的を達成できない筋書きを想定して，その原因を割り出すことに，リスク管理の役 割を見出すことができる。しかし，目的を達成できないような筋書きは複数あり，その 中の原因は無数にある。こうしたリスクを網羅的に挙げることは現実的でない。

リスクを総て網羅することが難しいことを受けて，Yates and Stone（1992）は，リス クの三つの要素を整理している。「リスクがもたらし得る損失（potential losses）」，「損 失の重大性（significance of those losses）」，「損失の不確実性（uncertainty of losses）」で ある。

「リスクがもたらし得る損失」は多岐に渡り，例えば，消費者が商品を購買する行動 においては，財務的な損失（購買のために金銭を払う），機能的な損失（商品に欠陥が ある），物理的な損失（商品が消費者に危害を加える），心理的な損失（消費者が満足し ない），社会的な損失（商品の購買を通じて，社会が消費者を良く思わない），時間的な 損失（商品が消費者の時間を奪う）が挙げられる。さらに，損失を測るための比較の対 象には，消費者自身が過去に購買した商品，競合する商品，社会の一般的な期待が考え られる。こうした損失の種類が多いほど，一般には，組織が目的を達成することは難し くなる。

「損失の重大性」とは，起き得る損失の程度である。「損失の不確実性」とは，損失が 起きる可能性であり，確率で表される。損失の重大性と不確実性とを組み合わせると，

確率分布を描くことができる。そして，リスクがもたらし得る損失が複数ある場合に は，それぞれで重大性と不確実性とを測るべきである。企業が目的を達成することを阻 害する原因がリスクなので，損失の重大性と不確実性とは目的が達成されない程度とそ の可能性とに読み替えることができる。さらに，企業の目的が収益性なら，重大性と不 確実性とは収益の期待値（重大性と不確実性との乗算）と期待の標準偏差という統計値 に集約できる。たとえ，実際には重大性と不確実性とを乗じることができなくても，心 理的な乗算により損失を定性的に評価することが求められる。

前に用いた，「欠陥がない商品を販売して競合する他企業と差別化を図る」ことを目 的とする企業における，極端な二例を用いて，リスクの定性的な評価を例示してみる。

宇宙の異星人が地球を攻撃して製造設備を破壊することは，この企業の目的を阻害する リスクである。しかし，このリスクを真剣に取り上げることはないであろう。もし異星 人が地球を攻撃して製造設備を破壊したら，損失の重大性は莫大である。しかし，こう

６０（1062） 同志社商学 第６９巻 第６号（２０１８年３月）

したことが実際に起こる可能性は皆無に近く，莫大な損失が実現することはまずない。

したがって，このリスクが総合的に企業の目的を阻害する影響は小さく，リスク管理で 取り上げるには値しないと評価することができる。

もう一つのリスクは，未熟な製造作業者のために商品が設計よりも1ミクロン小さく なったことを考える。この商品には精密な仕様が求められないので，機能には一切支障 はないと想定する。厳密には欠陥品なので，この例では，未熟な製造作業者はリスクで ある。そして，実際には起こってしまったので，可能性が高いと言うよりも既に事実で ある。この場合，欠陥の度合いが軽微で，損失の重大性は小さいと推定できる。したが って，このリスクを重大性と不確実性とで評価すると，総合的に企業の目的を阻害する 影響は小さくて，リスク管理で取り上げることは必要ないと結論付ける。

3．リスク管理の役割

こうしたリスクの定義や評価を通じて，リスクが内部統制に果たす役割が浮き彫りに なる。リスクは企業が目的を達成することを阻害する原因であり，目的を阻害する原因 を特定しなければならない。つまり，企業が目的を達成できない筋書きを想定して，そ の原因を割り出すことに，リスク管理の役割を見出すことができる。しかし，目的を達 成できないような筋書きは複数あり，その中の原因は無数にある。こうしたリスクを網 羅的に挙げることは現実的でない。そこでリスクがもたらし得る損失を想定し，損失の 重大性と不確実性とから，取り扱うべきリスクを抽出する。つまり，取り扱うべきリス クに優先順位を付けて，企業の目的を阻害する影響が大きいものを集中的に管理し，備 えることが役割の一つとなる。ここでは，リスクを網羅的に挙げることは役割ではな い。

リスク管理が果たす役割は，事前に企業が目的を達成できない原因を割り出し，その リスクの影響を小さくする統制の施策を準備することに限らない。事後にも重要な役割 がある。リスク管理を通じて，統制システムの弱みが明らかになる。統制システムを実 践する過程で，この弱みに注視すると，事前に想定しなかった問題を早く察知できて，

迅速に軌道修正できる。つまり，統制システムを実践する過程でリスクについての情報 を集め，早く軌道修正して企業の目的を達成し易くするという役割も，リスク管理は果 たす。

Ⅲ リスク管理の枠組

ここでは，リスクの定義と評価とに基づいて，内部統制での役割を果たすための，リ スク管理の枠組を構築する。Bell et al.（1997）は，会計監査の枠組として戦略的体系の

内部統制のためのリスク管理（古賀） （1063）６１

視点（Strategic-systems lens）に立脚したKPMG 事業評価過程（Business Measurement

Process）を提案する。KPMG事業評価過程は，戦略分析（Strategic analysis），主要な事

業過程の分析（Core business process analysis），資源管理過程の分析（Resource manage- ment process analysis），事業の評価（Business measurement）の四つからなる（第1図）。

複雑なKPMG事業評価過程は，本来，会計監査のための枠組であり，内部統制にその まま適用する必要はない。内部統制にはより簡略な枠組で十分である。

より簡略な内部統制の枠組には四つの構成要素が考えられる。事業戦略，統制上の目 的，リスク，統制の施策である（第2図）。

事業戦略が備える要件をPorter（1996）が特定している。市場全体のどの顧客セグメ ントをどういう価値で惹き付けるかが明確になっていなければならない。競合する他企 業にも当てはまる事業戦略は，真の事業戦略とは言い難い。分かり易いように映画劇場 で例示すれば，「劇場内の良いサービス で利益を上げる」ことが良い事業戦略の一例で ある（第2図）。競合する他の映画劇場は，上映する映画で顧客を惹き付けたり，安い 入場料で惹き付けたりすることができるので，「劇場内の良いサービス で利益を上げ る」は競合する他の映画劇場と差別化する独自の事業戦略である。

顧客を惹き付けるための価値を取捨選択することで，競合する他企業と違う事業戦略

第1図 KPMG事業評価過程

第2図 リスク管理の枠組 ６２（1064） 同志社商学 第６９巻 第６号（２０１８年３月）

を策定できる。価値を取捨選択するとは，文字通り，特定の価値を選ぶだけでなく，そ の他の価値を捨てることも意味する。Porter（1996）によれば，価値間のトレードオフ を意識した上で，取捨選択することが大切である。したがって，「顧客の視点を持つ」

といった競合する他企業にも当てはまる事業戦略は，真の事業戦略とは言い難い。真の 事業戦略では形容詞や副詞を用いた表現で，競合する他企業に対して何をどう差を付け るのかが具体的になっていなければならない。

事業戦略では顧客を惹き付ける価値に加えて，その価値を供給するのに動員する統制 システム，その他の企業活動，資源を特定する。ここでも総花的に統制システム，その 他の企業活動，資源を整えるのではなく，トレードオフから取捨選択することが求めら れる。

統制上の目的は，事業戦略を実現する上で，対象となる統制システムにおいて，企業 が取り組まなければならない具体的な課題である。事業戦略は，役割が異なる複数の統 制システムが支えている。それぞれの統制システムは，違う目的を持っている。統制シ ステムは相互に役割が異なるので，目的も違わなければならない。

内部統制報告では，統制上の目的は大きく企業経営に関わるものと，財務報告に関わ るものとに類別できる。両者は似て非なるので，場合によっては全く逆の目的を立てる ことも考えられる。例えば，企業経営では，良い財務的な業績を上げることが究極の目 的である。しかし，財務報告では悪い財務的な業績を早く企業外部の利害関係者に報告 することが目的となる。このように，悪い財務的な業績を報告することは，企業経営上 は好ましくないけれども，財務報告上は好ましいのである。この対照は，統制上の目的 の違いに由来する。統制システムに即した目的を明確に立てないと，両者の間で混乱す ることもあり得る。

さらに，一つの統制システムの目的は複数あることが考えられる。先程の映画劇場の 例で，入場券発券システムに当てはめると，「劇場内の良いサービス で利益を上げる」

という事業戦略を実践するために，「顧客満足を向上させる」や「入場料を正確に徴収 する」といった統制上の目的が考えられる（第2図）。

リスクは，統制上の目的を実現することを阻害する原因である。映画劇場の例では

「顧客満足を向上させる」では，例えば，「入場券窓口で待つ長い行列」，「入場料を正確 に徴収する」では「入場券窓口の従業員の不注意」が考えられる（第2図）。それぞれ の統制上の目的には，複数のリスクがあるが，損失の重大性と不確実性とに基づいて，

統制上の目的を阻害する影響が大きいリスクに絞って管理すべきである。

統制の施策は，それぞれのリスクが統制上の目的を阻害する影響を小さくするため に，実施するものである。映画劇場の「入場券窓口で待つ長い行列」については「入場 券窓口を柔軟に増減させる」，「入場券窓口の従業員の不注意」では「正しく徴収した場

内部統制のためのリスク管理（古賀） （1065）６３

合の報酬」が考えられる（第2図）。

ただし，総てのリスクに備えた統制の施策があるわけではない。統制の施策がないリ スクは，統制上の目的を阻害する影響が大きいので，こうしたリスクに備えた統制の施 策が求められる。つまり，リスク管理の枠組が統制されていないリスクを明らかにする のである。

このリスク管理の枠組を用いると，企業の事業戦略と整合するリスクが導出され，そ れに対応する統制の施策を考案することができる。この枠組は事業戦略と統制上の目的 と，統制上の目的とリスクと，リスクと統制の施策と，というそれぞれの組み合わせで 整合性が保たれて，事業戦略から統制の施策までが首尾一貫した大局的な管理が可能に なる。

Ⅳ リスク管理の実践上の課題

1．因果連鎖

前章で提起したリスク管理の枠組を実践する上での課題を抽出する。リスク管理の枠 組は，事業戦略，統制上の目的，リスク，統制の施策の四つからなる。この枠組を実践 する上では，それぞれで具体性を保つこと，さらに四つの間の整合性を維持することが 求められる。

具体性と整合性とを担保するには，因果連鎖を明確に確立することが求められる。

「風が吹けば桶屋が儲かる。」の例えの通り，それぞれの事象が具体的にどう連携してい るかを予測する能力が求められる。

因果連鎖を明確に確立するためには，Kaplan and Norton（1996）のバランスト・スコ アカードが参考になる。バランスト・スコアカードでは，財務の視点，顧客の視点，社 内ビジネス・プロセスの視点，学習と成長の視点のそれぞれで業績指標を選ぶが，相互 の業績指標の間に因果連鎖が確立していなければならない。

新しいファースフード・チェーンが，「迅速なサービスで成長する」という事業戦略 を考える（第3図）。財務の視点では，事業戦略の「成長する」という目的を捉えて，

「売上高の伸び」を指標に選ぶことが考えられる。顧客の視点では，事業戦略の「迅速 なサービス」という側面を取り入れて，「待ち時間についての顧客の苦情の数」を指標 に選べられる。「待ち時間についての顧客の苦情の数」が減れば，「売上高の伸び」は高 くなるという因果連鎖がある。社内ビジネス・プロセスの視点では，「調理時間」の指 標が考えられる。「調理時間」が短くなることによって「待ち時間についての顧客の苦 情の数」が減るという因果連鎖である。最後に，人や情報システムへの投資を扱う学習 と成長の視点では「調理の研修を受けた従業員の数」が考えられる。「調理の研修を受

６４（1066） 同志社商学 第６９巻 第６号（２０１８年３月）

けた従業員の数」が増えれば「調理時間」は短くなるはずだからである。

新しいファースフード・チェーンは「迅速なサービスで成長する」という事業戦略を 持っている。これまで考察した三つの因果連鎖を総合すると，「調理の研修を受けた従 業員の数」が増えて「調理時間」は短くなり，「待ち時間についての顧客の苦情の数」

が減って，「売上高の伸び」に繋がることになる。こうした具体的な因果連鎖を，リス ク管理の枠組の事業戦略，統制上の目的，リスク，統制の施策の四つの間でも明確に確 立することが，実践する上での課題である。

2．リスクの割り出し

リスクは，統制上の目的を達成することを阻害する原因である。既に述べた通り，目 的を逆にした表現や，目的を阻害した結果は，例え好ましくない状態を表わしていて も，リスクではない。実務家が犯した過ちとして，以下のような実例がある。

情報セキュリティ 業務上の危機管理 外部環境の変化 過去の成功体験 競争力の弱体化 計画の不備

「情報セキュリティ」や「業務上の危機管理」はリスクではなく，統制上の目的に該 当する。「外部環境の変化」や「過去の成功体験」は，企業が統制上の目的を達成する ことを阻害することもあるが，助けることもある。したがって，リスクとは言えない。

さらに，どのような環境のどのような変化か，どのような成功体験かが具体的でなけれ ば，どのようなリスク管理の枠組でも内部統制や企業経営が向上することに貢献するこ とはない。「競争力の弱体化」や「計画の不備」は，統制上の目的を逆に表現するだけ

第3図 バランスト・スコアカードの因果連鎖

内部統制のためのリスク管理（古賀） （1067）６５

であり，目的を阻害する原因ではなく，やはりリスクとは言い難い。

実務家が似た過ちを犯さないためには，統制上の目的を達成することを阻害する原因 がリスクであるという定義に立ち返り，その定義に厳密に当てはまるもののみを管理の 対象にすることが必要である。リスクを適切に選ばない限り，リスク管理の枠組，ひい ては内部統制は有効に適用できない。

3．リスクの評価

次に，実務上の課題として浮かび上がるのは，リスクを列挙するだけで，損失の重大 性や不確実性に基づいて評価しない弊害である。リスクを挙げる場合，企業が統制上の 目的を達成しない筋書きをいくつか想定して，その中からリスクを割り出す。この作業 こそが，リスク管理が内部統制で果たす役割に貢献する。つまり，統制上の目的を達成 しない具体的な原因を特定するのである。

但し，こうしたリスクは無数にあるので，目的を阻害する影響の大小により優先順位 を付けなければならない。影響が大きいリスクに分析の焦点を当てるだけでなく，リス クの影響を小さくする統制の施策も優先順位が高いものに絞るべきである。そうしなけ れば効率性が下がるだけでなく，必要なリスクに施策がまわらないという点で有効性も 損なわれる。さらに，優先順位付けしないために，企業にとって都合が良いリスクのみ に施策を設けたり，多くの資源が必要でない施策に限って実践したりすることも考えら れる。したがって，損失の重大性と不確実性とを評価した根拠を示した上で，リスクの 優先順位を付けなければならない。

しかしながら，実務家の中には，リスクの優先順位を付けないだけでなく，リスクの 損失の重大性と不確実性とを顧みない者が少なくない。また，資料ではリスクを評価し ているものの，その具体的な根拠を示さない場合も多い。

Ⅴ む す び

日本にとって企業統治（コーポレート・ガバナンス）改革元年とも呼ばれた2015年 以来，内部統制のためのリスク管理の重要性が増してきた。しかしながら，日本の製造 業の品質データの改竄，海外のリーマン・ブラザーズの崩壊は，リスク管理が正確に理 解され，内部統制で有効に活用されて，財務報告や企業経営の質が向上しているとは言 い難いことを示唆している。

本稿は，まず，リスクを定義し，リスクを評価する方法を提起した。さらに，リスク 管理が内部統制に果たす役割を考察した。次に，その役割を果たすためのリスク管理の 枠組を構築した。最後に，その枠組を実践に移す上での課題を抽出した。

６６（1068） 同志社商学 第６９巻 第６号（２０１８年３月）

本稿がリスク管理についての議論を深め，さらにその枠組が洗練されて，内部統制や 企業経営の質が向上することを目指す。そのためには，本稿の枠組を実務家が実践し て，その課題にさらに焦点が当たり，改善されることが必要である。

引用文献

Bell, T., Marrs, F., Solomon, I., & Thomas, H.（1997）.Auditing Organizations Through a Strategic-Systems Lens.US : KPMG.

Criteria-of-Control-Board.（1995）.Guidance on Control. Tronto, Ontario, Canada : Canadian Institute of Char- tered Accountants.

Kaplan, R. S.（2011）. Accounting scholarship that advances professional knowledge and practice. Accounting Review, 86（2）, 367-383.

Kaplan, R. S., & Norton, D. P.（1996）. Using the balanced scorecard as a strategic management system.Har- vard Business Review, 74（1）, 75-85.

Porter, M. E.（1996）. What is strategy?Harvard Business Review, 74（6）, 61-78.

Simons, R.（1995）.Levers of Control : How Managers Use Innovative Control Systems to Drive Strategic Re- newal.Boston, MA : Harvard Business School Press.

Yates, J. F., & Stone, E. R.（1992）. The risk construct. In J. F. Yates（Ed.）,Risk-Taking Behavior（pp.3-25）. Chichester, West Sussex, UK : John Wiley & Sons.

内部統制のためのリスク管理（古賀） （1069）６７