1.内部監査のリスクアセスメント(リスク評価)
一般的に内部監査を行うための監査資源(ヒト・モノ・カネ)は限られています。限られた監査資源を有効に活用するには、組織体の重要なリスクを識別し、監査資源を集中させることが有効です。リスクアセスメントは、限りある監査資源の選択と集中を通じて、資源の投入効果を最大化するためのアプローチです。
2.リスクアセスメントの実施方法
リスクアセスメントに決められた方法はありません。組織体の規模や特徴に合わせて最適な方法を考案することが重要となります。実施にあたってのポイントは次の2点が挙げられます。
1. 固有リスクの網羅的な洗い出し
2. リスク評価手法の体系的な整備・運用
固有リスクの洗い出しにあたっては、監査対象(Audit Universe:オーディット・ユニバース)とリスクカテゴリーの二軸から洗い出す方法が一般的です。
リスクの大きさを評価するにあたっては、リスクを固有リスク、コントロール、残存リスクに分けて分析することが一般的です。
(1)監査対象(Audit Universe)とリスクカテゴリーの設定
組織体のリスクを洗い出すために監査対象(Audit Universe)を洗い出します。代表的な例として、組織体の部署を網羅的に並べる手法や業務や商品・サービスを網羅的に並べる手法があります。
(部署ベースでの 監査対象(Audit Universe) の洗い出しの例)
・営業部 ・商品開発部 ・インターネット事業部 ・コンサルティング事業部 ・海外事業部 ・経営企画部 ・人事・総務部 ・財務・経理部 ・法務・コンプライアンス部 ・リスク管理部 ・情報システム部 出所:内部監査.com作成
次に、監査対象それぞれに適用するリスクカテゴリーを設定します。リスクカテゴリーの代表的な例としては、次のようなものが挙げられます。
(リスクカテゴリーの設定例)
・戦略・ガバナンスリスク ・財務リスク ・業務リスク ・コンプライアンスリスク ・システムリスク ・セキュリティリスク ・人材リスク、など 出所:内部監査.com作成
なお、金融機関では、旧金融検査マニュアルの項目をベースにしたリスクカテゴリーを設定している例が多く見受けられます。
最後にこれら二つを縦軸と横軸に配置します。この二軸それぞれが網羅的な内容となっていれば、組織体でどのような活動が行われ、それぞれにどのようなリスクがあるのかを網羅的に洗い出すことができます。(リスクマップの完成です。)
リスクマップの作成方法には、部署ベースのほかに、拠点ベースや業務ベースなど様々な方法があります。自社の重要なリスクを洗い出し、評価する観点から、試行錯誤を繰り返しながら最適な軸を設定することが重要です。
(2)固有リスク・コントロール・残存リスク評価
洗い出したリスクは、固有リスク・コントロール・残存リスクの観点から評価します。
①固有リスク(inherent risk)
固有リスクとは、リスクそのものが持つ絶対的なリスクの大きさのことです。固有リスクは、一般的にリスクの影響度と発生可能性の二軸から評価します。
例えば、現金を取り扱う業務があれば、そこには現金を横領されたり、紛失したりする固有のリスクがあります。現金の量が多ければ固有リスクの影響度は比例して大きくなりますし、現金の量が少なければ小さくなります。現金を取り扱う人や場所が増えれば比例してリスクの発生可能性は高くなります。
固有リスクの評価のポイントはコントロールを加味しない事です。現金が金庫に入っている、現金の周囲には複数人の従業員がいる、現金は日次で残高をチェックする、といった要素は全てコントロールです。慣れない間は、無意識にコントロールを加味しやすいものですが、固有リスクの評価にあたっては加味しません。
また、固有リスクの大きさは一定ではなく変動します。期初は現金を取り扱う人は少なかったが期中に大規模な拠点が開店し取り扱う人が10倍にといった具合です。
②コントロール(control)
コントロールとは、固有リスクの影響や発生可能性を低減する仕組みのことです。コントロールは、一般的に次のような観点からから評価します。
・規程類・マニュアルが整備されているか ・規程類・マニュアルが浸透しているか ・リスクに見合ったコントロールが整備されているか ・重層的な確認体制が整備されているか ・要員が十分に確保されているか ・要員が十分な能力・経験を有しているか ・ITシステムが正確性・網羅性等を支援しているか 出所:内部監査.com作成
例えば、現金の横領や紛失リスクに対しては、以下のようなコントロールがあります。
・現金の取り扱いルールの整備 ・現金の取り扱いルールの研修 ・出金や記帳の際には複数人で行う ・出金や記帳は研修を受けた役職者のみが担当する ・営業部門の管理状況を経理部門が確認する ・営業・経理部門の管理状況をコンプライアンス部門が確認する、など 出所:内部監査.com作成
コントロールの有効性が高ければ、比例して残存リスクは少なければ小さくなります。
コントロールの評価のポイントは、社内の事情や前提条件を気せず、ゼロベースで評価することです。「そもそも本来的にはこうすべき」というあるべき姿を置き、それと現状の姿を比べることで、コントロールの不備を見つけやすくなります。
③残存リスク(residual risk)
残存リスクとは、固有リスクに対してコントロールを効かせても、なお残るリスクのことを指します。
例えば、小口現金管理において、出納時のダブルチェックや日次精算などの必要なルールを整備し、従業員にそのルールを研修などで浸透させ、またそれらがしっかりと運用されていれば、一般的に残存リスクは低くなります。しかし、現金の盗難や紛失のリスクはゼロにはなりません。これが残存リスクです。
残存リスク評価のポイントは、固有リスクとコントロールの評価を十分に行った上で、例えば以下のようなマトリックスを利用してロジカルに評価することです。最終的な残存リスクの評価において恣意的な要素を極力排除することで、リスク評価の枠組みの信頼性を確保します。
3.監査の実施単位(Audit Unit)の設定
固有リスク、コントロール、残存リスクを評価すると、組織体のどこに大きい固有リスクがあり、コントロールがどのように効いていて、最終的にリスクがどの程度残存しているかが分かります。しかし、リスクアセスメントの段階では、それぞれの要素に想定や仮説が多く含まれるため、個別監査やモニタリングを行なって実際の固有リスク、コントロール、残存リスクの状況を確かめていく必要があります。
この実施にあたっては、監査の実施単位を設定する必要があります。監査の実施単位の設定にあたっては、監査の実施単位を部門単位・部署単位としている組織体が多く見受けられます。
(例) 営業第一部の監査 (例) 仙台支店の監査 (例) 福岡事務センターの監査 (例) 総務部の監査 (例) 子会社「ABC社」の監査 出所:内部監査.com作成
しかし、昨今の経営課題は部署横断的なものが多く、部門単位・部署単位での監査では経営陣の課題認識と整合しないことも多くなってきています。 このような問題を解消するために、監査の実施単位を、部門別・部署別はなく、次のように部門横断的なものにする事例が多く見受けられます。またこれらを「テーマ型監査」と呼びます。
(例) 新規事業(インターネット通販事業)の立ち上げに関する監査 (例) サイバーセキュリティ管理の監査 (例) 改正個人情報保護法の監査 (例) 新基幹システム導入プロジェクトの監査 (例) M&Aプロジェクトの監査 出所:内部監査.com作成
例えば、「 新規事業(インターネット通販事業)の立ち上げに関する監査 」では、インターネット通販の事業部門はもとより、情報システム部門、法務部門など複数の部門を横断的に監査することになります。こうした監査実施単位の設定は、経営陣の課題認識と整合しやすいことから、監査結果への評価が高まりやすくなります。
まとめ
リスクアセスメントは決められた形はありません。各組織体の規模・特性を踏まえ、自らの組織体に最適な手法を開発する必要があります。開発にあたっては内部監査部門長が深く参画することが重要です。また、開発したリスクアセスメントの手法はマニュアル等の形で文書化し、組織知化することが期待されます。
作成したリスクマップは継続的に最新化していく必要があります。外部環境・内部環境の変化に応じて固有リスクやコントロールは日々変化し続けます。内部監査部門長はこの変化を常にモニタリングし、変化があった場合は適時にリスクマップに反映する必要があります。
適切なリスクアセスメントはリスクベース監査の根幹です。自らの組織体にあった有効性の高いリスクアセスメント手法を開発・運用し、いかに重要なリスクにフォーカスしていくかが経営に役立つ内部監査を実践において重要なポイントとなります。