リスクアペタイトフレームワークは、2008年のリーマン・ショック以後、金融機関のコーポレート・ガバナンス強化の一環として提唱されたものです。

金融機関における従来のリスクマネジメントは、既知のリスク（既にとってしまったリスク）への対応を強く求めていました。金融機関は何といっても「信用」が第一です。このことから金融機関の従来のリスクマネジメントは「今持っている資産をどう守るか」という視点に集中していました。それは決められた種類のリスクを定量的に測定し、コントロールし、モニタリングすることに重きを置いています。換言すれば、バックワードルッキング（どれくらいのリスクを保有しているのか、それを減らすためにはどうしたらいいのか）的側面を強く持つものであったといえます。

しかし、世の中の環境変化とともに、金融機関に求められるものは既知のリスクへの対応のみならず、将来のリスクへの対応に変わりつつあります。つまり、金融機関へのニーズはこれまでは「信用」が全てでしたが、これからは「伸びしろ」も期待される時代です。「今持っている資産をどう守るか」といった「守り一辺倒」のリスクマネジメントだけではステークホルダーの期待に応えられなくなってきたのです。

こうしたニーズ変化への答えの一つが、リスクアペタイトフレームワークといえるでしょう。既知のリスク（既に取ってしまったリスク）への対応に対して強さを発揮する従来のリスクマネジメントではなく、将来のリスク（これから取ろうとするリスク）へも対応できるリスクアペタイトフレームワークが台頭してきたのです。こうした背景から未来志向的側面を持つリスクアペタイトフレームワークが誕生しました。

リスクアペタイトフレームワークをリスクマネジメントの一手法と捉えると当然ながら「全社的リスクマネジメント（ERM）との違いは何か」という疑問が湧きます。結論からいうと、リスクアペタイトフレームワークは、ERMに包含されるものです。

ERMは企業価値の維持・向上を狙いとして全社一丸となってリスクマネジメントを行う活動です。全社一丸とは、経営の目的達成のために、全組織全階層のそれぞれの業務や意思決定の過程に透過的に組み込まれたリスクマネジメント活動をいいます。なお、ERMが想定するリスクには、ポジティブリスクとネガティブリスクの両方を含みます。ピンチとチャンスの両方を捉えて、コントロールすることで企業価値の維持・向上を目指すものです。

これに対し、リスクアペタイトフレームワークは、ERMがカバーするリスクの中のとりわけチャンスに重きをおいた活動であるといえます。前出のバックワードルッキングに対して、フォワードルッキング（どれくらいのリスクを取るのか）といった未来志向の側面を強く持つ活動ともいえるでしょう。とりわけ、戦略リスクなどのコントロールにおいてその効果の発揮が期待される手法です。つまり、リスクアペタイトフレームワークとは「戦略系リスクに対するリスクマネジメントを体系的な取り組みにしたもの」ともいえます。

ただ、厳密にいえば、リスクアペタイトフレームワークは金融分野において発展してきた考え方であるため、そのアプローチは定性的な視点を持ちながらも限りなく定量的なリスクコントロール手法といえます。実際、トップマネジメントの考えをリスクアペタイトに反映しつつも、最終的には定量的な指標として設定されることが少なくありません。

【リスクアペタイトフレームワーク構築の流れ】
リスクアペタイトフレームワークは、次のような流れで構築します。

1. 組織の理解（現状のリスク文化、ステークホルダーニーズなど）
2. トップインタビューを通じて
       1. リスクアペタイト方針（目的・範囲・用語の定義・指針・体制など）の策定
       2. リスクアペタイトの決定
3. リスクアペタイトの測定方法の決定
4. リスクアペタイトの組織の現場レベルへの落とし込み
5. リスクアペタイトに基づく運用
6. リスクアペタイトのモニタリング・評価方法の決定
7. モニタリング・評価・改善

それぞれのステップについて少し解説しますと次の通りになります。
「組織の理解」では、まず株主や規制当局など組織の主要なステークホルダーの組織に対するリスクマネジメント上のニーズを分析します。具体的には、ステークホルダーが組織に対して、リスクをどれだけ取って欲しいのか・欲しくないのかを見ます。また、トップマネジメントに対する「トップインタビュー」を通じて、リスクの取り方に対する経営の姿勢や考えを明かにします。そして、分析とトップインタビュー結果をインプットして、組織のリスクアペタイト（どの種類のリスクをどれだけ取るのか）を決定します。このとき、経営がリスクアペタイトを必ずしも数値で示すわけではないため、その意思に基づき適切な指標に変換します。
次に決定したリスクアペタイトを業務レベル、すなわち現場に落とし込みます。併せて、現場におけるリスクアペタイトに基づいたリスクマネジメントの実施状況のモニタリング方法を決定し、適宜、測定・評価を行います。四半期や半期または一年ごとに経営の望んでいたリスク文化が醸成できているか、リスクの取り方ができているかなどといった観点で、振り返りを行い、必要に応じて方針や体制、リスクアペタイト、プロセスの見直しを行います。

リスクアペタイトを決めるにあたっては、ステークホルダーニーズ分析やトップインタビューなどをインプットすると述べましたが、そのインプットは大抵の場合、定量的なものではなく、定性的かつ抽象的なものになります。例えば、リスクマネジメントの国際的なガイドラインの一つCOSO-ERMによれば、リスクアペタイトは次のように表現できるとありますが、これでもまだ具体的とはいえません。

「当社は、原則、当社のブランドに影響を与えることについてはリスクを極力取らない。また、当社の強みや商品品質、食材選定を犠牲にするようなリスクのとり方はしない」
「逆に、顧客志向に合った製品開発のために革新性を追求する点についてはブランドに多少影響がでるものであってもリスクを積極的にとっていく」

リスクアペタイトフレームワークではリスクアペタイトを現場に落とし込みしやすくするために、これらをインプットしてさらに分解していく必要があります。具体的には「新規事業推進上のリスクアペタイト」を例にとると、ここで言及されている「革新性の追求に必要な要素は何か」「そしてその要素を脅かすリスクは何か」という問いの答えを探していくことです。ここで「革新性の追求に必要な要素」が仮に「決裁基準の緩和」「組織横断プロジェクトの増強」「委託先との協業の強化」「最先端技術を使った企業立ち上げの成功体験を持つ幹部クラスの採用」とすれば、それを脅かすリスクは、「緩い基準を通り抜けた案件失敗による莫大な損失」「組織横断プロジェクトの適切な人事評価ができない可能性」「委託先からの機密情報漏洩」「キャリア採用増による経営理念の不十分な浸透」などを挙げられるかもしれません。

こうした分解を行った上で、これらリスクの大きさを測る適切な指標を検討していくことになります。例えば、「緩い基準を通り抜けた案件失敗による莫大な損失」であれば、「最大許容損失額」などが指標の一つとしてありうるでしょう。また、「キャリア採用増による経営理念の不十分な浸透」であれば、組織内の経営理念浸透度が指標の一つとしてありうるでしょう。こうした指標を用いて、しきい値を設定していくのです。

 

【リスクアペタイトの指標設定例】
最大許容損失額…50億円
経営理念浸透度…100pt以上

そしてこうした指標を、経営の意思を反映した形で設定し、下位レベルに落とし込み、それをモニタリングする方法を決め、モニタリングを行い改善する流れになります。この一連の活動を支える仕組みがリスクアペタイトフレームワークです。