リスク・アセスメントのプロセス

リスク・アセスメントの基本と手順

リスク・アセスメントを実施する際の基本は、次の3つの手順になります。

  1. 自社の抱える主要なリスクを網羅的に洗い出しを行う
  2. それぞれのリスクに対応する内部統制(コントロール、統制手続、管理プロセス)を確認する
  3. 固有リスクの大きさ、リスクに対応した内部統制の有効性の度合、両者の結果である残余リスクの大きさを分析・評価する

1.リスクの洗い出し

全社規模で、どの部署の、どの業務に、どのようなリスクがあるかを確認し、自社の主要なリスクを洗い出すことがリスク・アセスメントの出発点となります。
本部各部でそれぞれの所管業務に伴う重要なリスクをリストアップし、集約、体系化することによって、網羅性を確保しつつ実態を反映した一覧表(リスク・マトリックス)として取りまとめます。
とりまとめ作業では、リスク管理部門等、被監査部門の協力を得ることによって、より精度の高いものにすることが期待されます。

2.固有リスクの評価

洗い出した個々のリスクについて、固有リスクの大きさ(影響度と発生可能性)の評価を行います。
固有リスクの評価は、「もし、既存の管理プロセスがなかったらどうなるか」を想定した評価ですので、次の内部統制の洗い出し及び有効性の評価とも密接に関係しており、これらとともに一連の作業として実施されます。

3.内部統制の洗い出しと有効性の評価

各固有リスクに対しては、それぞれの管理プロセスが整備されていることと思います。
例えば、職責分離、相互牽制を図る組織の整備、各種規程の整備、業務プロセスにおける事前・事後の確認などです。
各種既定や業務マニュアル等を手掛かりとして、現実に実施されている内部統制(管理プロセス、コントロール)を洗い出し、どこまで有効なのか評価を行います。

4.残余リスクの評価

内部統制の評価を踏まえて、固有リスクの影響度及び発生可能性がどこまで低減したのか確認し、残余リスクの影響度及び発生可能性を評価します。

 

リスク・アセスメントの取りまとめ方法

リスク・アセスメントの作業プロセスでは、リスク・マトリックス(リスク評価一覧表)、ワークシート(個別リスク要因別の作業表)などを用いて取りまとめていくことが一般的です。

【リスク・マトリックスの例】

区分
部署・業務
リスクプロセス目的を
阻害する事象
(結果事象)
リスクを起こす原因
(原因事象)
固有リスク 原因に対する統制手続 残存リスク 内部監査優先度
発生頻度 影響度 評価 発生頻度 影響度 評価

 

【リスク評価・コントロール ワークシート】

リスク・アセスメント手法のヒント

リスク・アセスメントの手法には、唯一の正解や統一フォーマットは存在しません。
各企業の状況に合わせて構築する必要があります。
しかし、一から構築するのは、非効率であるため、他の手法をヒントに構築することが効率的ですので手法に関する事項をご紹介します。

1.リスク要因(リスク評価の要素)の考え方

組織別・業務別の単位でリスク・アセスメントを行う場合、

  • 固有リスクの大きさをどのような基準で判定するか
  • どのようなリスク要因があるか

を分析する必要があります。
例えば、「商品Aに関する業務のリスクは低い」といった場合、その理由(取引は複雑であるが取引額が少額であるため、経営に大きな影響を与えない、担当者が少人数で影響が少ない、など)に当たるところです。
リスク・アセスメントにおいて、内部監査人が検討すべき要因について、IIA(内部監査人協会)の「実施要綱」で以下の事項を列挙しています。

  • 影響
  • 発生可能性
  • 重要性
  • 資産の流動性
  • 経営管理者の能力
  • 内部統制の質及び遵守状況、変化又は安定の度合
  • 前回監査の実施時期と結果
  • 複雑性
  • 従業員及び行政との関係

他には、次のような項目も挙げられます。

  • 前回監査で重要な指摘事項があったか
  • 前回監査の範囲
  • システム変更の内容
  • 人事上の変更の有無
  • 製品やサービス変更の有無
  • コントロールされている資産の金額
  • 組織体が扱う総取引額
  • 職務の分離の状況
  • ゴール又はその他のビジネスの数値目標を達成するためのプレッシャーの有無
  • 法令等の影響度合い
  • 従業員が顧客と接触する頻度

 

2.MECEな思考

リスクの洗い出しなど、網羅性が要求される場面では、MECE(Mutually Exclusive Collectively Exhaustive:ミッシー)と呼ばれる思考法を利用することが有効です。
MICEは、漏れなく重複することなくすべての項目を対象としたことを確保する論理的思考法です。
MICEによる論理ツリーでは、以下の特長があります。

  • 上位のトピックは、下位のトピックを要約している
  • 同じ階層のトピックは、常に同じ種類のものである
  • 同じ階層のトピックは、論理的に順序づけられている

3.内部統制の評価における「成熟度(マチュリティ)モデル)

「成熟度(マチュリティ)モデルは、内部統制、コントロールのレベル又は導入状況にいくつかの段階を設けて、現在のコントロールレベルを知り、次のステップとして目標とすべき段階(レベル)とのかい離を知るために有効です。
例えば、次のようにレベルを分けます。

 

4.リスク・マップ(ヒート・マップ)

リスク・アセスメントの作業結果は、リスクのカテゴリー毎に「リスクが発生した場合の影響度合い」と「リスク発生の可能性」を縦横の軸に取ったリスク・マップ(ヒート・マップ)に表示することで分析が可能です。

リスク・マップ上では、内部統制が

  • リスクの盈虚度合いを提言させるものか
    (下へシフト:IR→RR1)
  • 発生の可能性をさげるものか
    (左へシフト:IR→RR2)
  • 発生可能性、盈虚度合いともに提言されるのか
    (左下へシフト:IR→RR3)

に応じて、固有リスクから残余リスクへシフトします。

リスク・アセスメントの高度化

リスク・アセスメントを行い、リスクが許容水準よりも高い領域について優先して内部監査を実施することになります。
内部監査を実施した結果、監査対象の業務や取引リスクが許容水準を超えていることが判明した場合は、内部監査の所見として、当該業務や取引からの撤退を検討することを求めたり、リスクが顕在化した場合の金銭的ダメージを抑制するために損害保険をかけたり、何らかのヘッジを検討することを求めることになるでしょう。
リスク・マトリックスやリスク・アセスメントは、手元の情報と内部監査部門や被監査部門等の担当者や責任者の主観に基づくものであり、環境の変化等の要因によって、アップデートするものです。新たな事象の発生が判明した場合は、適時、修正する必要があります。

以上のリスク・アセスメントの手法はあくまで一部のリスクアプローチです。
どのような手法を適用する場合でも最初のうちは、試行錯誤の繰り返しになるでしょう。
導入方法と例として、ある部署や営業店での試行実施を経て、的確なリスク・アセスメントが実施できた結果を踏まえて、実施要領等に反映させていくことが現実的なやり方です。
さらに、監査結果を踏まえて、再度リスク・アセスメントを繰り返していくことで高度化を目指すことになります。

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す