リスクとは
「基準」2120ではリスク・マネジメント・プロセスに係る内部監査部門の役割として、有効性の評価と改善への貢献を規定し、解釈指針において「有効性」の判断基準を示している。一般的にリスクという言葉は、企業にとって損失を与える要因として捉えられることが多い。しかし、リスクは事後発展の機会にもなりえるビジネスの本質にかかわるものである。したがって、リスクが企業に与える良い影響が、悪い影響を上回るような適切な統制が重要となる。
IIAの定義によればリスクは、以下のように定義される。
目標の達成に影響を与える事後発生の可能性。リスクは、影響の大きさと発生可能性とに基づいて測定される。
また、経営者が不利な事象の影響の大きさと発生可能性を軽減する措置(リスクに対応するコントロール活動を含む)を講じた後にさらに残るリスクを残余リスクと呼ぶ。
リスクの分類
内部監査に関わるリスクは以下の5つに分類することが出来る。
- ビジネス・リスク:事象や取引などが成功しないリスク
- ハザード・リスク:事象の発生により損失が発生するリスク
- 行動するリスク:行動結果による失敗等、行動したことによるリスク
- 行動しないリスク:機会の喪失等、行動しなかったことによるリスク
- 戦略的リスク:経営体による基本的な意思決定が抱えるリスク
- 業務的リスク:日常業務上のリスク
- 全社的リスク:全社的な信頼性に関わるリスク
- 個別的リスク:特定業務、手続き等の信頼性に関わるリスク
- 現在のリスク:現在の業務や組織が抱えているリスク
- 将来のリスク:将来の業務や組織が抱えるであろうリスク
リスク・マネジメント・プロセスに係る内部監査部門の役割
内部監査部門は、リスク・マネジメント・プロセスの有効性を評価し、リスク・マネジメント・プロセスの改善に貢献しなければならない。
内部監査部門は、以下の各事項に関わる組織体のガバナンス、業務および情報システムに関するリスク・エクスポージャー(リスクに曝されている度合い)を評価しなければならない。
- 組織体の戦略目標の達成状況
- 財務および業務に関する情報の、信頼性とインテグリティ
- 業務とプログラムの有効性と効率性
- 資産の保全
- 法令、方針、定められた手続および契約の遵守
解釈指針(2120):リスク・マネジメント
リスク・マネジメント・プロセスが有効であるか否かの判断は、内部監査人の以下の項目の評価に基づく。
- 組織体の目標が、組織体の使命を支援し、かつその使命に適合しているかどうか
- 重大なリスクが識別され評価されているかどうか
- 適切なリスク対応が選択され、諸リスクを組織体のリスク選好に沿ったものにしているかどうか
- 関連するリスクの情報が適時に組織全体として捕捉かつ伝達され、組織体の職員、経営管理者および取締役会が職責を果たすことができるようになっているかどうか
内部監査部門は、この評価の基礎となる情報を様々な内部監査の個々の業務を通じて収集する場合がある。これらの個々の業務の結果を合わせて検討することにより、組織体のリスク・マネジメント・プロセスとその有効性を理解することができる。リスク・マネジメント・プロセスは、継続的な管理活動もしくは独立的評価またはその両方を通じてモニターされる。
リスク・マネジメント・プロセスに係る役割
リスク・マネジメントは、経営幹部と取締役会の重要な責任である。
- リスク・マネジメント・プロセスに係る役割については以下の通りである。
- 経営幹部:強固なリスク・マネジメント・プロセスが整備され、かつ運用されていることを確実にする。
- 取締役会:適切なリスク・マネジメント・プロセスが整備され、それらのプロセスが妥当且つ有効であるかどうかを判断する監督者の役割を負う。この役割の中で、内部監査部門の監督を行う。
- 内部監査部門:経営管理者のリスク・マネジメント・プロセスの妥当性と有効性に関する検証・評価・報告・改善の為の提言を行うことにより、経営幹部と取締役会を支援する。
- 経営幹部及び取締役会は、組織体のリスク・マネジメント・プロセス及びコントロールプロセスの責任を有する。他方、コンサルティングの役割を果たす内部監査人は、リスク・マネジメントの手法とそれらのリスクに対処するコントロールを識別、評価および導入することで組織体を支援できる。
- 内部監査部門長は、経営幹部及び取締役会に持つ、組織体のリスク・マネジメント・プロセスにおける内部監査部門の期待についての合意を得なければならない。この合意は、内部監査基本規程及び取締役会基本規程において明文化するべきである。組織体のリスク・マネジメント・プロセスの中のすべてのグループ及び個人との間で、内部監査の書責任は調整されるべきである。1つの組織体のリスク・マネジメント・プロセスにおける内部監査部門の役割は、時間と共に変化することがあり、以下を含むことがある。
- 役割を持たない
- 内部監査の計画の一部として、リスク・マネジメント・プロセスを監査する。
- リスク・マネジメント・プロセスへの積極的かつ継続的な支援と参加。例えば、監督を実施する委員会、モニタリングの活動、状況報告への参加など。
- リスク・マネジメント・プロセスを管理し調整する。
最終的に、リスク・マネジメント・プロセスにおける内部監査の役割を決定するのは、経営幹部及び取締役会である。内部監査の役割に対する経営幹部及び取締役会の考え方は、たとえば、組織の文化、内部監査の要因の能力、当該国の状況や習慣といった要素により決定される可能性が高い。しかしながら、リスク・マネジメント・プロセスに関する計管理者の責任を引き受けること、及び内部監査の独立性への潜在的な脅威については、十分な話し合いと取締役会の承認が必要になる。
リスク・マネジメントの手法
内部監査人はリスク・マネジメントプロセスの有効性を評価する為、リスク・マネジメントの手法っを理解する必要がある。リスクマネジメントの為の代表的な手法は以下の通りである。
内部統制質問書(ICQ)
内部統制質問書は、活動やプロセスが分析され、適切な統制が存在することが確認された後に作成される。Yes/Noの直接的な回答を求めることによって、期待される手続きが順守されているかを確認する。統制が継続して存在することを確認し、リスクの評価を可能にすることを意図している。
内部統制質問書は、最初のリスク評価が実施された後、さらなる評価を実施する際のチェックリストとして使われる。したがって、内部統制質問書の内容は、その時々の企業の目的に合致していなければならず、業務上の変更が生じた場合は内容も更新していかなければならない。
業務記述書
業務記述書では個々の業務における作業内容や手順を記載する。作業の概要、管理方針や職務分掌等を含む。
フローチャート
フローチャートは、業務の有効性と統制について分析する手法である。視覚的でわかりやすく、通常内部統制の重要な部分を見落としにくい。一度作成すれば。レビューの上更新を重ねることによって、複数のフローチャートを比較し分析することが可能になる。
各コントロール・ポイントには、リスク及び対応するコントロールを記載していき、視覚的にリスクとリスクに対応したコントロールがわかるようにする。
リスク・コントロール・マトリックス(RCM)
リスク・コントロール・マトリックスでは、各プロセスをリスクベースに分類し、リスクの内容、対応する統制、及び該当するアサーション等を記述する。RCMはフローチャートで記載されたリスクに対するコントロールの詳細を表形式で列記したものである。
マトリックス分析
マトリックス分析では、各リスクはそれぞれ適切な統制で補填されているということを確かめる為に、統制とリスクを一致させる。統制マトリックスによって、統制が1つ以上のリスクを補填していることを認識することも可能である。
事業継続リスクのマネジメント
事業の継続性を計画することは、組織体のリスク・マネジメントに不可欠である。内部監査人は組織体のビジネスへの中断への備えを評価すべきである。
事業復旧において重要な要素は、包括的でいつでも通様子災害復旧計画である。内部監査人は、災害復旧計画を策定する際に一定の役割を担うとともに、事業継続及び復旧計画を監査すべきである。
事業継続および復旧計画を監視する目的は以下の通りである。
- 万が一の際に、適時に業務及びプロセスを再開できることを確保する為、計画が適切であることを確認すること
- 復旧計画が現在の業務の運営環境を反映していることを確認すること
- 監査期間中、内部監査人は以下の事項を考慮すべきである。
- すべての計画は最新か。計画を更新する手続きが存在するか。
- すべての重要な業務機能及び、システムは計画に含まれているか。もし含まれていない場合、省略された理由が文書化されているか。
- 計画は業務の中断をもたらしうるリスクに基づいているか。
- 計画はすべて文書化され、組織体の方針及び手続きに従っているか。職能上の責任は割り当てられているか。
- 組織体は計画を実施できるか。また準備をしているか。
- 計画はテストされ、その結果に基づいて修正されたか。
- 計画は適切かつ安全に保管されているか。計画の保管場所及び入手方法は経営者に知らされているか。
- 代替施設(バックアップ・サイト)の場所は従業員に知らされているか。
- 計画は地域の緊急サービスとの連携を要請しているか。
コメント