内部監査のリスク評価とは【徹底解説】

内部監査のリスク評価とは
新人内部監査人

内部監査のリスク評価って何?具体的にどうやればいいの?

こんな疑問にお答えします。

本記事の信頼性

グローバルメーカーでの内部監査やBIG4での内部監査アドバイザリーなど豊富な内部監査の経験に基づいています。

目次

内部監査のリスク評価とは

内部監査のリスク評価とは

リスク評価とはどこにリスクがあるかを識別し、そのリスクがどれほど重要かを算定することです。

内部監査においてリスク評価をする目的は主に以下の2つです。

  • 目的1:年度計画で監査対象拠点やテーマを決める
  • 目的2:個別監査の監査スコープを決める

順に解説します。

目的1:年度計画で監査対象拠点やテーマを決める

年度監査計画の策定する際に、どの組織・部門、テーマを監査の対象とするかを選定するときにリスク評価を行います。

監査対象の組織や部門では、それぞれ、抱えているリスクが異なり、どこにどの程度のリスクがあるのかを整理し、監査対象を選定します。

目的2:個別監査の監査スコープを決める

目的1で選定された拠点やテーマに対して、個別監査でどの領域にリスクがあるのかを検討し、リスクに応じて監査スコープを決めていきます。

リスク評価の観点

リスク評価の観点

リスク評価をするにあたって、重要な観点・アプローチが2つあります。

  • 定量情報と定性情報を集める
  • トップダウンとボトムダウン両面で情報を集める

順に説明します。

定量情報と定性情報を集める

リスク評価のベースとなる情報は、財務状況、従業員数等の定量化可能な情報と、ステークホルダーインタビュー等から得られる定性情報の2つに大別されます。両者をバランスよく評価することが大切です。

トップダウンとボトムアップ

リスク評価のアプローチには、経営者、役員等の上位から情報収集するトップダウンアプローチと、従業員・現場等からリスク情報を収集するボトムアップアプローチに大別されます。この2つのバランスを取って行うことが大切です。

リスク評価の手順

リスク評価の手順

リスク評価の具体的手順を紹介します。

STEP
リスク基準を作成


「発生頻度」「影響の大きさ」の基準を作成します。

発生頻度の基準例
影響の大きさの基準例
STEP
リスク一覧を作成

参照すべき共通のリスク一覧を作成します。
【参考】>リスクインテリジェンスマップ

STEP
リスク情報の収集

定量・定性、トップダウン、ボトムアップをどの程度のバランスでやるのか方針を設定します。そして、インタビューやアンケート等で実際に情報を収集します。

リスク質問例
  • 職務範囲内で認識しているリスクは何か?
  • 職務範囲以外で会社として認識しているリスクは何か?
STEP
リスク基準に合わせて評価

識別したリスク毎に以下のようにリスクの重要度を評価し、可視化します。

リスクマッピング例
STEP
残余リスクを評価

リスクは、リスク対応策(コントロール)の有効性も考慮した上で、残余リスクベースで算定します。

固有リスクと残余リスクの考え方
STEP
重要リスク選定

残余リスクベースでマッピングします。S・Aになるものが重要なリスクになります。

STEP
上記のようなリスク評価を継続的に回していく

一度のリスク評価で精度が高い評価になることはまずありません。上記のようなプロセスを何度も回していき、継続的に実施することで、徐々に精度が上がっていきます。

まとめ

  • リスク評価は、リスクを一定の基準で評価し、どこに重要なリスクがあるのかを特定するプロセスのことです。
  • 内部監査においては主に①年度計画でテーマや拠点を選定するとき ②個別監査で監査スコープ(領域・項目)を決めるときにリスク評価が行われます。
  • リスク評価では、定量・定性情報、トップダウンとボトムアップアプローチがあり、バランスを考慮して、情報収集を行います。
  • リスクは「発生頻度」 と「影響の大きさ」で評価するのが一般的です。
  • 本来そのリスクが持っているリスクを「固有リスク」、そのリスクへ対策(コントロール)を引いて残ったリスクを「残余リスク」といい、残余リスクをベースにリスク評価を行います。
  • 最初から精度は上がりません。リスク評価を継続的に行い、何度も回転させていくことで徐々に精度が上がっていきます。

今回は以上です。

内部監査のリスク評価とは

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
目次
閉じる