第3回 リスクアセスメント(2)

今回はリスクアセスメントの具体的な手法についてご説明します。

リスクアセスメントでは、「内部監査のリスクアセスメント(リスク評価)」にあるとおり、「固有リスク」「統制(コントロール)」「残存リスク」を評価しています。

特に重視しているのは、業務およびリスクの洗い出しの網羅性(漏れなく洗い出せているか)、評価結果の客観性(一定の基準を設けて評価しているか)、ステークホルダーの期待の反映(ステークホルダーの期待と評価結果を整合させているか)という点です。

リスクの一覧化と粒度の調整

リスクアセスメントの対象とするリスクは、「業務分掌」を基本として洗い出しを行っていますが、そこに「環境モニタリング」の結果を反映させて漏れを防いでいます。リスクの洗い出しの際に取り込んだのは主に以下の資料です(一例)。

なお、私がリスクアセスメントの対象としているリスクは、ビジネスリスク、風評リスク、制度変更リスクを除いた、すべてのリスクとしています。

・法(資金決済法、金融商品取引法)
・基本方針(「金融行政方針・金融レポート[1]」「コンプライアンス・リスク管理基本方針」「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」等)
・ガイドライン(「事務ガイドライン 第三分冊:金融会社関係 16.暗号資産交換業者関係」等)
・自主規制規則(日本暗号資産取引業協会の定める諸規則)
・その他業界に関する情報(「仮想通貨交換業者等の検査・モニタリング 中間とりまとめ」「業界団体との意見交換」(左記いづれも金融庁)等)
・個別テーマのガイドライン(「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」「金融分野における個人情報保護に関するガイドライン及び実務指針」等)
・その他個別テーマに関する情報(「疑わしい取引の参考事例」「IT・サイバーセキュリティの取組みに関するレポート」等)

洗い出したリスクは、粒度もばらばらでまた相互に関連するものもあり整理が必要となります。そのため、監査テーマとなりうる程度の粒度で一旦カテゴライズし、そこに関連するリスクを紐付けて整理しています。結果テーマとして60個程度のリスクを洗い出しています。


[1] 「利用者を中心とした新時代の金融サービス~金融行政のこれまでの実践と今後の方針~」(令和元年8月 金融庁)
「令和2事務年度金融行政方針~コロナと戦い、コロナ後の新しい社会を築く~」(令和2年8月 金融庁)

リスク評価のコンセプト

私は、以下の考えを基にリスクアセスメントのプロセスを設計しています。

固有リスク ÷ 統制(コントロール) = 残存リスク

固有リスクの評価

「固有リスク」は、オーソドックスに「影響度」×「発生頻度」で評価しています。

「影響度」は、「金額(損失額)」「顧客影響範囲」「行政処分」「ブランドの毀損(レビュテーション)」の観点で評価基準を定めており、基準に基づき、それぞれ4段階評価を行い、値の一番高いものを「影響度」としています。評価基準に基づいて評価することで一定の客観性を確保しています。

統制(コントロール)の評価

「統制」はリスクを低減する取り組みのことをいい、コントロールともいいます。「統制」の強度は、「規程の整備状況」「枠組みの運用状況」「システム支援の状況」の観点で評価しています。それぞれ4段階で評価し、按分しています。なお、規程の整備状況を中心に年度の監査テーマを設計する場合には、これを按分せず、「規程の整備状況」のみとしたりと、年度のテーマに応じては項目のウェイトを調整することで対応しています。

内部監査を行った場合は、その結果から各観点の評価を上書きして「統制」の評価を実態に合わせています。

残存リスクの評価と補正

上記の評価結果から自動算出し、4段階評価を行い「Very High」「High」「Medium」「Low」の評価ラベル(暫定)を貼っています。この結果に、経営からの「特にここを見て欲しい」という要望や、業界団体の意見交換で挙げられたテーマ等を受け、ステークホルダーの期待の観点から項目ごとに補正を行い最終的な評価ラベルの調整を行っています。

なお、上述の通り、経営陣にリスクをなるべくわかりやすく伝えるため、内部監査プロセスの中で「Very High」「High」「Medium」「Low」の評価ラベルを活用しています。個別のリスク事象の評価、上述のリスクアセスメント、内部監査における発見事項のレベル、フォローアップ対応後の残余リスク(改善水準)等です。ここで重要なのは、「影響度」と「発生頻度」は同じ基準を用いて「固有リスク」から評価することです。

なにかリスクを見つけると、取りあえず「いつもの基準」で「固有リスク」を評価し、当社の統制はどうなっているかという「統制」の整備状況を確認し、「残余リスク」をイメージすることを基本動作としています。これにより、発見事項の重大性も伝えられますし、逆に改善状況が十分でない場合にもどのくらいリスクが残っているのかを簡潔に伝えることが可能になると考えています。

Syuta Takeuchi

竹内 秀太

株式会社ディーカレット 内部監査グループ ヘッド
公認内部監査人(CIA)、公認情報システム監査人(CISA)

戦略系コンサルティング会社、Big4、金融庁(監督局)・証券取引等監視委員会(検査)、外資・日系保険会社、等を経て現職。
コンサルタントとして態勢構築を支援する側、規制当局として検査・監督する側、内部監査する側/される側、品質評価する側/される側、そして現在は態勢構築中と様々な立場で内部監査に従事。

内部監査の高度化の端緒は「外部からの刺激」であると思っています。ご意見もいただけると嬉しいですし、可能であれば意見交換もさせていただければと考えています。

________________________________________

株式会社ディーカレット DeCurret Inc.
「デジタル通貨による価値交換プラットフォーム」の提供を目指し、価値が転々流通するデジタル通貨や、将来的に広がりが期待されるデジタルアセットの交換をシンプルにする仕組みを実現することを目的に2018年1月に設立され、デジタル通貨の取引・決済を担う金融サービス事業を営む。
https://www.decurret.com/
暗号資産交換業者 関東財務局長 第00016号

「日本におけるデジタル通貨の決済インフラを検討する勉強会」を開催し事務局も務めている
https://www.decurret.com/company/studygroup-2020/

(ディスクレーマー)
本コラムの意見に関する部分は、筆者の私見です。筆者の所属する組織等の意見を代表するものではありません。
本コラムは、筆者が信頼できると判断した資料・データ等により作成いたしましたが、その正確性および完全性について保証するものではありません。
参考にさせていただいた資料やそこに記載されていた数値等は、その合理性や妥当性についてのレビューは行っておりません。
本コラム中に記載された意見や予測は、作成時点のものであり、今後新たな情報等が得られた場合には予告なく変更される可能性があります。
以上の点ご理解いただき、一つの意見として本コラムをご覧いただけると幸いです。

関連記事

記事を読む

おすすめ記事 最近の記事
  1. JICPA 仮想通貨交換業者 分別管理 合意された手続(AUP)の実務指針

  2. IIA国際基準の考察(2300 ─ 内部監査(アシュアランスおよびコンサルティング)の個々の業務の実施)

  3. IIA国際基準の考察(2100 ─ 業務(work)の内容)

  4. 第1講(全6講)企業風土監査の薦め ~企業価値の向上と毀損防止・企業変革へ向けて~

  5. NISC「重要インフラ専門調査会 第21回会合」

  6. CIIA「Internal audit careers 2020: tools for tomorrow」

  7. IIA国際基準の考察(基準1300/1310/1311 – 品質のアシュアランスと改善のプログラム)

  8. 日本取締役協会「経営幹部のためのコーポレートガバナンス研修 」

  9. IIA国際基準の考察(2400 ─ 結果の伝達)

  10. 金融審議会市場ワーキング・グループ 「市場構造専門グループ」報告書 の公表について

  1. 第7回 品質評価

  2. 第6回 個別の内部監査(2)

  3. 株式会社ディーカレット:企業インタビュー

  4. 第5回 個別の内部監査(1)

  5. 第4回 年間内部監査計画

  6. 第3回 リスクアセスメント(2)

  7. 第2回 リスクアセスメント(1)

  8. 第1回 内部監査とステークホルダーの期待の整理

  9. 最終講(全6講)企業風土監査の薦め ~企業価値の向上と毀損防止・企業変革へ向けて~

  10. 最新の3線モデル(スリーラインズ・モデル)