第2回 リスクアセスメント(1)

第2回から3回にかけては、リスクアセスメントについてご説明します。リスクの動きが速い業界ということもあり、リスクに対して反応しやすいプロセスを志向しています。

情報の棚卸

私は、リスクアセスメントを行う前に、自社の置かれた環境についての情報を四半期毎に棚卸しています。

内部監査活動のPDCAサイクルは「リスクアセスメント」を「P」としているものがほとんどでしたが、10数年前から「P」の中に情報整理の位置づけとして「コンティニュアスモニタリング[1]」「オフサイトモニタリング」等の名で情報整理のプロセスを設計する会社が増えてきました。定義も名称も確定していないと思いますので、一旦「環境モニタリング」とします。


[1] 通常「継続的(コンティニュアス)モニタリング」は内部評価に定めがある品質評価活動を指します。

「環境モニタリング」の目的は、事業環境、ステークホルダーの期待水準、組織体の業務やリスクの所管等に変更がないかを整理することで、内部監査対象領域(オーディットユニバース)を識別し、リスクアセスメントの対象となる「リスクの一覧」や内部監査でリスクを評価する際に必要な「評価軸」の更新を行うことにあると考えています。

リスクアセスメントでは、組織体の業務から対応するリスクを洗い出すことが一般的だと考えますが、まず最初に業務をしっかり洗い出しておくことで、最終的に漏れのないリスクの識別(網羅的な一覧化)を行うことが可能となります。

私は、まず「業務分掌」を基に業務を想定のうえで、各部門責任者へのインタビューを実施し、そこで新たな業務や施策、組織変更に伴うリスク所管の変更等についての情報を収集し、「業務分掌」の情報を更新しています。なお、所管が不明なリスクや重複するようなリスクがあれば、経営陣に報告の上、業務分掌を所管する部署に連携し、整理を求めています。

特に新しい環境の変化は「新たなリスク」を識別する機会ともなります。今まで識別されていなかった新しいリスクには、責任者が割り当てられず、統制が整備されていない場合もあり、固有リスクがそのまま顕在化するおそれがあるため、私はこのようなリスクを「新興リスク」と考え、特に注意しています。

「環境モニタリング」では、外部環境、内部環境、規制環境の3つに整理することが有効であると考えています。

・外部環境

新規参入等含め同業他社の動向、テクノロジーの変化、暗号資産の仕様変更(ハードフォーク等)等を対象とします。広く地政学リスクに区分されるものや、ここ最近では新型コロナウィルスに係るリスク・労働環境の変化等も含みます。

テクノロジーの観点では、例えば、昨年「米グーグルは、量子コンピューターで「量子超越性」の実証に初めて成功した」と報道されました[2]。量子コンピューターが実用化されることで、「公開鍵暗号方式」を前提とするブロックチェーンのセキュリティに大きな影響を与え得るといわれています。今回は直ちに対応が必要ということはなかったのですが、内部監査としては、基盤となる技術に対する脅威についての情報は早めに収集し、時機を見て社内の対応状況の検証に繋げていく必要があると考えます。


[2] 出典:2019年10月24日 BBC Japan「米グーグル、「量子超越性」を実証か ライバルは懐疑的(https://www.bbc.com/japanese/50162705)」

・内部環境

組織変更、新規サービス・商品開発、システム開発等プロジェクト、外部委託先の新規・変更等を対象としています。特にリスクの所管が変更となる場合には、狭間に落ちてしまうリスクがないか、統制の所管が一致しているか等の情報を整理します。

・規制環境

法・規制、各種ガイドライン(基本方針、監督指針等)の改訂等を対象としています。個人情報保護やマネー・ローンダリング等は社会的な関心が高まるとともにその管理に対する期待水準が高まってきています。これは内部監査の評価基準自体の引き上げにつながるため、捉え忘れると本来ギャップとして課題を認識すべきものを漏らしてしまう恐れがあります。

リスクアセスメント

用語や概念の整理は「内部監査のリスクアセスメント(リスク評価)」を確認いただければと思います。

上記コラムで「リスクアセスメントに決められた方法はありません。」とある通り、組織体の保有するリスクの特性、内部監査のリソース等により手法や更新の頻度等をそれぞれ決めていくことが重要であると考えています。。

暗号資産交換業は、他の業界との比較においても環境の変化が大きく、また速い業界といわれています。私は、リスクの変化に対応するため、定期的に見直す頻度は四半期ごととしつつ、日々情報を収集し、リスクの評価を見直すようなリスク事象や新たなリスクを識別した場合には、直ちにリスクアセスメントに反映し、結果に応じて年間内部監査計画を即座に社長承認で修正可能とするプロセスを整備しました。

また、比較的歴史の浅い業界ということに加え、私の所属する組織体は開業から間もないということもあり、通常は「残存リスク」の評価に重きを置くリスクアセスメントにおいて、「固有リスク」も重視しています。良い意味でも悪い意味でもテクノロジーの進化は凄まじく、昨日まで機能していた統制(リスクを低減する取り組み)が、新しいテクノロジーにより容易に破られてしまうおそれがあるため、統制の評価に依拠しすぎないようするためです。

第3回ではリスクアセスメントや年間内部監査計画の具体的な策定手法について触れていきます。

Syuta Takeuchi

竹内 秀太

株式会社ディーカレット 内部監査グループ ヘッド
公認内部監査人(CIA)、公認情報システム監査人(CISA)

戦略系コンサルティング会社、Big4、金融庁(監督局)・証券取引等監視委員会(検査)、外資・日系保険会社、等を経て現職。
コンサルタントとして態勢構築を支援する側、規制当局として検査・監督する側、内部監査する側/される側、品質評価する側/される側、そして現在は態勢構築中と様々な立場で内部監査に従事。

内部監査の高度化の端緒は「外部からの刺激」であると思っています。ご意見もいただけると嬉しいですし、可能であれば意見交換もさせていただければと考えています。

________________________________________

株式会社ディーカレット DeCurret Inc.
「デジタル通貨による価値交換プラットフォーム」の提供を目指し、価値が転々流通するデジタル通貨や、将来的に広がりが期待されるデジタルアセットの交換をシンプルにする仕組みを実現することを目的に2018年1月に設立され、デジタル通貨の取引・決済を担う金融サービス事業を営む。
https://www.decurret.com/
暗号資産交換業者 関東財務局長 第00016号

「日本におけるデジタル通貨の決済インフラを検討する勉強会」を開催し事務局も務めている
https://www.decurret.com/company/studygroup-2020/

(ディスクレーマー)
本コラムの意見に関する部分は、筆者の私見です。筆者の所属する組織等の意見を代表するものではありません。
本コラムは、筆者が信頼できると判断した資料・データ等により作成いたしましたが、その正確性および完全性について保証するものではありません。
参考にさせていただいた資料やそこに記載されていた数値等は、その合理性や妥当性についてのレビューは行っておりません。
本コラム中に記載された意見や予測は、作成時点のものであり、今後新たな情報等が得られた場合には予告なく変更される可能性があります。
以上の点ご理解いただき、一つの意見として本コラムをご覧いただけると幸いです。

関連記事

記事を読む

おすすめ記事 最近の記事
  1. 内部監査における情報への無制限のアクセス

  2. マッキンゼー「COVID-19: ビジネスへの意味合い」

  3. 経済産業省「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案」

  4. 第3回 リスクアセスメント(2)

  5. JICPA 仮想通貨交換業者 分別管理 合意された手続(AUP)の実務指針

  6. 日本内部監査協会「IIA倫理綱要に対応した実施ガイドの日本語訳」

  7. 金融庁「疑わしい取引の参考事例(英語版)」

  8. ブロックチェーンガバナンスのカンファレンス

  9. かんぽ生命等への行政処分について

  10. IIA国際基準の考察(1230 ─ 継続的な専門的能力の開発)

  1. 第7回 品質評価

  2. 第6回 個別の内部監査(2)

  3. 株式会社ディーカレット:企業インタビュー

  4. 第5回 個別の内部監査(1)

  5. 第4回 年間内部監査計画

  6. 第3回 リスクアセスメント(2)

  7. 第2回 リスクアセスメント(1)

  8. 第1回 内部監査とステークホルダーの期待の整理

  9. 最終講(全6講)企業風土監査の薦め ~企業価値の向上と毀損防止・企業変革へ向けて~

  10. 最新の3線モデル(スリーラインズ・モデル)