内部監査におけるリスクの捉え方と対応

リスクとは、会社が掲げる事業目的や事業目標の達成を脅かすあらゆる不確実性のことをいいます。
リスクは、経営陣の立場に立ってなるべく広くとらえることが重要となります。
リスクを幅広くとらえた場合、その中には、多種多様なリスク要因が含まれてきますのでリスクの性質を踏まえた上で、どの部署や業務にどのようなリスクが存在するのか、主要なリスクを洗い出して認識・把握する必要があります。

リスクの把握度合

リスクをどこまで把握するのかということに関しては、内部監査部門がリスクの認識・把握を行う目的、すなわち「どの部署のどの業務を重点的に監査する必要があるか」という内部監査の優先順位を決定するために実施するものである点を考慮する必要があります。
組織全体にとって、主要なリスクを漏れなく適切に洗い出すことが必要になります。

リスクの評価尺度

リスク・アセスメントを行うに当たっては、まず、前提となるリスクの評価尺度を定義づける必要があります。
一般に、リスクの大きさは、リスクが顕在化したときに組織に与える影響(損失)の大きさと、そのリスクの発生可能性(発生確率、頻度)を掛け合わせたもので表すことができます。

リスクの大きさ = リスクが発生した場合の影響度合い × リスクが発生する可能性の度合

実務上、これらの2つの尺度は、それほど細分化する必要は、現実的に必要ありません。
およそ、3段階(高い、中程度、低い)又は、5段階程度に分ける(スクーリング)で足りると考えられます。
尺度を細分化しすぎると、どのランクに分類するか判断が難しくなるため、注意が必要です。
この段階評価については、内部監査部門の担当者が社内外の情報を収集した上で決めていくことが基本となります。各業務部門等の認識を反映させて、経営陣の同意を得た評価であれば、リスク・アセスメントとして大きく外すことはないでしょう。
段階評価の例として、損失金額の金額、顧客からの信頼、法令等遵守の3つの観点による影響度によって、5段階で分類した場合、次のような分類となります。
この例では、リスク影響度合いについて、金額的な算定が困難なケースを保管する目的で、補助的にリスクの事象が「顧客からの信頼」いわゆる自社のレピュテーションにどの程度悪影響を及ぼす可能性があるか(風評リスク)、法令等に関わる影響等を総合的に勘案してその大きさを評価しています。このように総合的に判断しているケースでは、どのようにして「総合的に判断」しているのかということを明確に説明できるようにしておかなければなりません。

 

スケール 損失金額 顧客からの信頼 法令等遵守
1000百万円以上 著しく失墜する 重大な法令違反、犯罪
100百万円以上
1000百万円未満
失墜する 法令違反
10百万円以上
100百万円未満
悪化する 事務事故
1百万円以上
10百万円未満
影響する
1百万円未満

 

リスクの発生度合(頻度)で分類した場合の例は、次のとおりです。

スケール 損失金額
週1回以上、当該リスクが顕在化
月1回程度、当該リスクが顕在化
半年に1回程度、当該リスクが顕在化
年1回程度、当該リスクが顕在化
5年に1回程度、当該リスクが顕在化

 

リスク対応の4つの方法

ビジネスを行う上で目標の達成を阻害する要因(リスク)をすべて取り除くことはできません。
そこで、リスクに対して経営陣等がどのように対応するか決定していくことになります。
リスク対応には、次の4つの方法があります。

回避

リスクの原因となる活動を見合わせる、又は中止する。

低減

あr田奈内部統制を設けるなどの対応により、リスクの発生可能性や影響を低減させる。

移転

リスクの全部や一部を外部に転嫁することで、リスクの影響を低減させる。
例えば、保険に加入するなど

受容

リスクの発生可能性や影響に対策せずにリスクを受け入れる。
また、「リスク対応」に関して例えば、リスクの発生確率、影響度に応じた原則的な対応方針を定めておくと発生時にスムーズに対応できます。

リスク評価 リスクの認識とリスク対応
発生確率:高

影響度:高

最も注意すべき要因。リスク対応としては、可能な限り「回避」することが望まれる。どうしても回避できない場合は、影響を最小限にする対応を行う必要がある。

発生確率:高

影響度:低

可能な限り発生確率を低減させる対応を行う。低減できない場合は、リスクの影響を最小限にする対応が望まれる。

発生確率:低

影響度:高

最も注意すべき要因と同様の対応を行うことが望ましい。対応に制約がある場合は、リスクの転嫁、あるいは、低減させるようにコントロールする。

発生確率:低

影響度:低

優先順位が最も低い要因。リスク対策をとることが望ましいが費用対効果のバランスを考慮する必要があり、場合によっては、リスクを「受容」する選択も検討する。

 

 

リスクの方程式

リスクの把握には、内部統制を考慮する前のグロスのリスクと内部統制を考慮した後のネットのリスクに分解してリスクを把握することが重要になります。
グロスのリスクは、ビジネスや業務の目的(目標達成)を阻害し、一般的に固有リスク、ビジネスリスクと呼ばれる概念になります。
また、ネットのリスクは、残余リスク、残存リスクと呼ばれる概念です。
これらの概念は、次の方程式で表すことができます。

残余リスク = 固有リスク - 内部統制

固有リスク(IR:Inherent Risk)

内部監査の対象となる業務、取引又はシステム等が性質上持っている固有のリスクです。
そのため、固有リスクは、どのような企業、部署でも直面しているリスクです。

内部統制(IC:Internal Control)

業務に伴う固有リスクを制御(コントロール)する様々なプロセスのことを言います。
例えば、上位者による査閲・検印、コンピュータシステムによる入力チェック、取引限度枠の設定などが挙げられます。
また、様々な統制手続(経営陣によるレビュー、職能や活動の直接管理、情報処理、物理的統制、業務指標、職務の分離等)が含まれます。
内部統制がリスクの発現を防止する上で、どの程度効果を持っているか分析する必要があります。内部統制が有効に機能していれば、リスクが発生する可能性やリスクの影響度合いを提言させる効果が期待できます。
ただし、内部統制の実施には経営資源を投入し、管理コストが必要になることから、過剰なコントロールになっていないかという点に留意する必要があります。どれだけ内部統制を充実させたとしてもリスクをゼロにすることはできません。

内部統制が機能しないこと、適切に整備・運用されていないことから発生するリスクを内部統制リスク(CR:Control Risk)と言います。内部統制と内部統制リスクは、表裏の関係にあるのです。

残余リスク(RR:Residual Risk)

内部統制を整備・運用しても依然として残されるリスクを言います。
そのため、固有リスクが同一であったとしても内部統制の水準により残余リスクの大きさは、異なってきます。
内部監査の対象となる被監査部門の業務は、一般的に何らかのコントロールが実施されていますので、現状の業務に伴うリスクを残余リスクと見ることができます。
そのため、残余リスクを各企業で許容できる範囲内に抑えておくことが極めて重要になります。残余リスクが大きい業務や部署等に対する内部監査の優先順位が高いということになります。

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す