新人内部監査人内部監査のリスク評価って何?具体的にどうやればいいの?
こんな疑問にお答えします。
グローバルメーカーでの内部監査やBIG4での内部監査アドバイザリーなど豊富な内部監査の経験に基づいています。
内部監査のリスク評価とは
リスク評価とはどこにリスクがあるかを識別し、そのリスクがどれほど重要かを算定することです。
内部監査においてリスク評価をする目的は主に以下の2つです。
- 目的1:年度計画で監査対象拠点やテーマを決める
- 目的2:個別監査の監査スコープを決める
順に解説します。
目的1:年度計画で監査対象拠点やテーマを決める
年度監査計画の策定する際に、どの組織・部門、テーマを監査の対象とするかを選定するときにリスク評価を行います。
監査対象の組織や部門では、それぞれ、抱えているリスクが異なり、どこにどの程度のリスクがあるのかを整理し、監査対象を選定します。
目的2:個別監査の監査スコープを決める
目的1で選定された拠点やテーマに対して、個別監査でどの領域にリスクがあるのかを検討し、リスクに応じて監査スコープを決めていきます。
リスク評価の観点
リスク評価をするにあたって、重要な観点・アプローチが2つあります。
- 定量情報と定性情報を集める
- トップダウンとボトムダウン両面で情報を集める
順に説明します。
定量情報と定性情報を集める
リスク評価のベースとなる情報は、財務状況、従業員数等の定量化可能な情報と、ステークホルダーインタビュー等から得られる定性情報の2つに大別されます。両者をバランスよく評価することが大切です。
トップダウンとボトムアップ
リスク評価のアプローチには、経営者、役員等の上位から情報収集するトップダウンアプローチと、従業員・現場等からリスク情報を収集するボトムアップアプローチに大別されます。この2つのバランスを取って行うことが大切です。
リスク評価の手順
リスク評価の具体的手順を紹介します。
「発生頻度」「影響の大きさ」の基準を作成します。
定量・定性、トップダウン、ボトムアップをどの程度のバランスでやるのか方針を設定します。そして、インタビューやアンケート等で実際に情報を収集します。
- 職務範囲内で認識しているリスクは何か?
- 職務範囲以外で会社として認識しているリスクは何か?
識別したリスク毎に以下のようにリスクの重要度を評価し、可視化します。
リスクは、リスク対応策(コントロール)の有効性も考慮した上で、残余リスクベースで算定します。
残余リスクベースでマッピングします。S・Aになるものが重要なリスクになります。
一度のリスク評価で精度が高い評価になることはまずありません。上記のようなプロセスを何度も回していき、継続的に実施することで、徐々に精度が上がっていきます。
まとめ
- リスク評価は、リスクを一定の基準で評価し、どこに重要なリスクがあるのかを特定するプロセスのことです。
- 内部監査においては主に①年度計画でテーマや拠点を選定するとき ②個別監査で監査スコープ(領域・項目)を決めるときにリスク評価が行われます。
- リスク評価では、定量・定性情報、トップダウンとボトムアップアプローチがあり、バランスを考慮して、情報収集を行います。
- リスクは「発生頻度」 と「影響の大きさ」で評価するのが一般的です。
- 本来そのリスクが持っているリスクを「固有リスク」、そのリスクへ対策(コントロール)を引いて残ったリスクを「残余リスク」といい、残余リスクをベースにリスク評価を行います。
- 最初から精度は上がりません。リスク評価を継続的に行い、何度も回転させていくことで徐々に精度が上がっていきます。
今回は以上です。
