リスクアセスメントの実施

リスクアセスメントは、内部監査のおおよそ3つの場面にて、実施します。

1.内部監査の全体計画策定時のリスク・アセスメント

このリスク・アセスメントの目的は、被監査部門等の順序付けであり、リスク・アセスメント・シート等を利用して実施します。
リスク・アセスメントの結果を元に、内部監査部門の資源(人員、時間)をおおよそのレベルで適切に各被監査部門に配分することに活用されます。
内部監査資源を分配する際、リスクがより高い被監査部門については、より経験がある要因をチームに組み込むなど重点的に資源を割り当て、実施頻度を上げることになります。

2.個別監査の実施計画時のリスク・アセスメント

このリスク・アセスメントの目的は、内部監査の作業の中で検証すべき対象の絞り込みと時間、担当者の配分を決定することです。
内部監査の全体計画策定時に実施したリスク・アセスメントの結果を掘り下げ、アップデートする形で行われます。
各被監査部門等にかける人員と時間が決定したら、次に被監査部門等の業務の中でリスクの大きさに応じて内部監査の重点項目を決定し、メリハリをつけた内部監査を進めていきます。

3.個別監査の作業をとおしてのリスク・アセスメント

このリスク・アセスメントの目的は、内部監査の全体計画策定時のリスク・アセスメントや個別監査の実施計画策定時のリスク・アセスメントが妥当であったかを確認します。
また、将来の内部監査の全体計画及び個別監査の実施計画の際に必要な情報を蓄積するためのものです。
リスク・アセスメントの結果は、内部監査計画・手続書への反映、残余リスクが許容できる水準か否かの判断材料、残余リスクを許容範囲に収めるための対応策・措置を講ずるための情報を経営陣に提供するために用いられます。

 

内部監査の全体計画策定時のリスク・アセスメントの例

内部監査の全体計画策定時のリスク・アセスメントを実施するに当たっては、被監査部門等のグループ化によって作業を容易にする方法があります。
例えば、本部組織であれば、法人取引関連、個人取引関連、管理部門の3つに分けます。
そして、各グループに共通する属性をリストアップし、各グループに属する被監査部門等に点数をつけていきます。

1.本部営業部署に対するリスク・アセスメントの例

業務リスク(R)関連項目 (R小計) 内部統制リスク(C)関連項目 (C小計) 総合アセスメント
分野 配賦資本 業務純益 市場
感応度
レピュテーション
リスク
マニュアルの
重要度
部門管理の
難易度
ITシステム
依存度
判定基準 ・億円 ・億円 ・業務特性
市場から
の影響度
・業務特性
対外
影響度
・企画面
難易度
・技術面
難易度
・変更面
難易度
評点 ××億円超
大:5
××億円超
大:5
大:5 大:5 15超 高い 高い 高い 11超 合計26超
:高 :5 :5 :5 :高 :高
××億円-××億円
中:3
××億円-××億円
中:3
中:3 中:3 10-15 中程度 中程度 中程度 8-11 合計18-26
:中 :3 :3 :3 :中 :中
××億円未満
小:1
××億円未満
小:1
小:1 小:1 10未満 低い 低い 低い 8未満 合計8未満
:低 :1 :1 :1 :低 :低
個人
ビジネス
 3  3  3 5 14 5 3 5 13 27:高
中小企業
ビジネス
5 5  3 5 18 5 3 3 11 29:高
大手企業
ビジネス
3 3 3 5 14 3 3 3 9 23:中
市場業務 1 3 5 3 12 3 5 5 13 25:中
国際業務 1 1 3 3 8 3 3 3 9 17:低

 

ステップ1

個人ビジネス、中小企業ビジネス、大手企業ビジネス、市場業務、国際業務という分野に分けます。
各分野に共通する属性である業務リスクの要因として、配賦資本(部署毎で所管する資産や予算の規模)、業務純益、市場感応度、レピュテーション・リスクが挙げられます。
また、内部統制リスクとして、マニュアルの重要度、部門管理の難易度、ITシステムの依存度をリストアップしたとしてます。

ステップ2

業務リスクに点数をつけていきます。
例えば、市場業務は、金利の変化、株価の推移等、市場の影響を受けるため、「市場感応度」は、5点、、個人ビジネスや中小企業ビジネスについては、顧客の反応が重要になるため、「レピュテーション」が5点となります。
また、業務リスクと同様に内部統制リスクについても点数をつけていきます。
個人ビジネス、中小企業ビジネスは、本部と営業店の双方でマニュアルを管理しており、「マニュアルの重要度」は5点、システム公開に伴う不具合の出やすい分野には、「ITシステムの依存度」に5点をつけます。
そして、、総合アセスメントとして、各項目の点数を集計し、18点未満であれば、リスクは「低」、18点~26点であれば「中」、26点超ならば「高」としています。

ステップ3

リスクの度合(高、中、低)を受けて、各分野別に内部監査の予定時期、アプローチ、予定時間を決定します。

分野 リスクアセスメント結果 前回監査 今回監査
実施時期 アプローチ 結果 予定時期 アプローチ 予定日数
個人
ビジネス
27:高 2016.05 C 2017.05 20日間
中小企業
ビジネス
29:高 2016.11 B 2017.07 20日間
大企業
ビジネス
23:中 2016.07 C 2017.11 10日間
市場業務 25:中 2017.11 B 2017.10 10日間
国際業務 17:低 2016.10 A 2018.10 5日間
備考 合計26超 :高
合計18-26 :中
合計18未満:低
監査アプローチ:①フルスコープ立ち入り検査、②普通監査、③レビュー検査(ヒアリング中心)
結果:A(有料)、B(良好)、C(不振)、D(不可)

 

 

このリスクアセスメント結果から、個人ビジネスを例にとって解説します。

個人ビジネス分野のリスク・アセスメントあ、「高」と判定された。
前回の監査結果は、「C」であったこともあり、監査予定時期は、今年度の早い時期に実施する。
個人ビジネス分野は、当社の主力であることから、フルスコープ「①」の内部監査を20日間かけて行う。
となります。

2.本部管理部署に対するリスク・アセスメントの例

次の図表は、業務リスクと内部統制リスクを分けない形でリスク・アセスメントを行う例を示しています。
この図表における5つの評価項目を併せて解説します。

評価項目 総合アセスメント
1 2 3 4 5
分野 事業戦略上の
位置づけ
外部要因からの
感応度
レピュテーション
リスク
マニュアルの
重要度
ITシステム
依存度
評点 高:5
中:3
小:1
高:5
中:3
小:1
高:5
中:3
小:1
高:5
中:3
小:1
高:5
中:3
小:1
合計20超 :高
合計14-20 :中
合計14未満:低
企画部 5 5 5 3 5 23:高
経理部 3 3 5 3 3 17:中
人事部 3 1 5 3 1 13:低
リスク管理部 5 5 3 3 5 21:高
資産監査部 3 1 3 3 3 13:低
法務・コンプライアンス部 3 5 5 5 1 19:中
事務部 3 3 3 5 3 17:中
システム部 3 5 5 5 5 23:高

 

事業戦略上の位置づけ

各部署が事業戦略上どの程度重要かという尺度

外部要因からの感応度

世の中で特定のイベントが発生した際に業務繁忙になるかどうかという尺度
例では、以下の理由から各部を「高」と判定しています。

  • 法務・コンプライアンス部:関係する法令等の急激な変化
  • システム部:情報セキュリティや個人情報保護への関心の高さを反映

レピュテーション・リスク

何かトラブルがあったときに非常に大きく取り上げられるかどうかの尺度
例えば、企画部において機密漏えいが発生し、マスコミ等で大きく取り上げられるようなことがあれば、「レピュテーション・リスク」は、「高」となります。
また、人事部において、社員のモラルが下がって不祥事件が起こるということであれば、「高」になります。

マニュアルの重要度

ユーザが使用するマニュアル整備を怠った場合の影響度合の尺度
法務・コンプライアンス部、事務部、システム部は、業務でユーザマニュアルの活用機会が多いため、重要性を「高」としています。

ITシステム依存度

業務がITシステムに依存している度合の尺度
システムに依存度が高い部署は、「高」としています。

 

以上のようなアプローチで採点したものを合計してスコアを算出し、そのスコアの合計スコアによって優先度を決定します。
優先度の判定基準として用いられる係数の妥当性については、十分な検討と見直しを行うことが極めて重要です。

各企業での固有のリスク・アセスメント・シートの形式は、試行錯誤、見直しを繰り返すフィードバック・プロセスを通じて徐々に定めていくことになります。
そのため、現在利用しているリスク・アセスメント・シート、リスク・アセスメントの手法のメリット、デメリット(課題)について、理解を深めておく必要があります。

先ほどのアプローチを各部署に焦点を当てる場合、次の図表のように縦に部署の名前、横に指標となる属性を用いて、各部署のアセスメントを行うことになります。

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す