C-04. リスクの種類に関する基本的な概念を理解する

CIA_パート1_C(01-08).ガバナンス、リスク・マネジメントおよび コントロール(30%)
2025.12.27

a戦略、業務、財務、コンプライアンス、評判、環境、持続可能性及び社会的責任といったリスクの種類を区別する
b固有リスクと残余リスクを比較対象する

組織体が目標を達成する過程では、さまざまな不確実性が存在します。
これらの不確実性は、目標達成に影響を与える可能性があるため、「リスク」として認識・管理される必要があります。
内部監査人は、リスクの種類や性質を正しく理解し、それぞれに応じた評価を行うことが求められます。

a. 戦略、業務、財務、コンプライアンス、評判、環境、持続可能性及び社会的責任といったリスクの種類を区別する

1. リスクの分類の考え方

リスクは、その発生源や組織目標への影響の仕方に応じて分類されます。
CIA試験では、単に用語を暗記するのではなく、「どの目標に影響するリスクか」という視点で理解することが重要です。

2. 戦略リスク(Strategic Risk)

戦略リスクとは、経営戦略や重要な意思決定が、組織体の長期的な目標達成を阻害する可能性を指します。

例:

  • 市場環境の変化に対応できない戦略
  • 不適切なM&Aや新規事業への参入
  • 競争優位性の喪失

戦略リスクは、取締役会や経営者の判断と密接に関連します。

3. 業務リスク(Operational Risk)

業務リスクとは、日常的な業務プロセスや内部オペレーションに起因するリスクです。

例:

  • 業務プロセスの不備
  • 人的ミスや不正
  • ITシステム障害
  • サプライチェーンの寸断

業務リスクは、内部統制や業務手続の整備によって低減されることが期待されます。

4. 財務リスク(Financial Risk)

財務リスクとは、財務状況や財務報告に影響を与えるリスクです。

例:

  • 資金繰りの悪化
  • 為替・金利変動
  • 与信管理の不備
  • 財務報告の誤謬や不正

CIA試験では、財務報告リスクと内部統制の関係が重要な論点となります。

5. コンプライアンスリスク(Compliance Risk)

コンプライアンスリスクとは、法令や規制、契約、社内規程に違反することにより生じるリスクです。

例:

  • 法令違反による罰金・課徴金
  • 行政処分や業務停止
  • 訴訟リスク

コンプライアンスリスクは、他のリスク(評判リスクなど)を誘発する点にも注意が必要です。

6. 評判リスク(Reputational Risk)

評判リスクとは、組織体に対する社会的評価や信頼が損なわれるリスクです。

例:

  • 不祥事や不正の発覚
  • 製品事故や品質問題
  • 不適切な情報開示

評判リスクは、単独で発生することは少なく、他のリスクが顕在化した結果として発生することが多い点が特徴です。

7. 環境リスク(Environmental Risk)

環境リスクとは、自然環境に関する問題が組織体に影響を与えるリスクです。

例:

  • 環境汚染や環境事故
  • 気候変動による事業への影響
  • 環境規制の強化

近年は、環境リスクが戦略リスクや評判リスクと密接に関連しています。

8. 持続可能性および社会的責任リスク(Sustainability / Social Responsibility Risk)

持続可能性および社会的責任に関するリスクとは、長期的な視点で社会やステークホルダーとの関係を損なう可能性を指します。

例:

  • 人権侵害や労働問題
  • サプライチェーンにおける不適切行為
  • ESG対応の不十分さ

これらのリスクは、企業価値や長期的な成長に大きな影響を与えます。

9. 内部監査人の視点(aの試験対策)

内部監査人は、各リスクを次の観点で区別します。

  • どの組織目標(戦略・業務・報告・遵守)に影響するか
  • 他のリスクとどのように関連・連鎖するか
  • 内部統制や経営判断によって低減可能か

b. 固有リスクと残余リスクを比較対象する

1. 固有リスク(Inherent Risk)

固有リスクとは、内部統制やリスク対応策を考慮しない状態で、本来その活動や業務に内在するリスクを指します。

例:

  • 現金取引は本来的に不正が発生しやすい
  • 新規事業は不確実性が高い

固有リスクは、業務の性質そのものに起因します。

2. 残余リスク(Residual Risk)

残余リスクとは、内部統制やその他のリスク対応策を実施した後に、なお残るリスクを指します。

例:

  • 権限分掌や承認手続を導入した後も残る不正リスク
  • システム統制を導入した後も完全には排除できない障害リスク

残余リスクは、「管理後のリスク」とも表現されます。

3. 固有リスクと残余リスクの比較

項目固有リスク残余リスク
評価時点統制導入前統制導入後
視点業務の本質統制の有効性
内部監査の関心リスクの大きさ許容範囲内か

4. 内部監査人の視点(bの試験対策)

内部監査人は、次の点を重視します。

  • 統制によってリスクがどの程度低減されているか
  • 残余リスクが組織体のリスク許容度(リスクアペタイト)内に収まっているか
  • 残余リスクに対して、追加的な対応が必要か

CIA試験では、「残余リスクをゼロにすることが目的ではない」点が重要な理解ポイントです。

まとめ

  • リスクは、戦略、業務、財務、コンプライアンスなど、目的別に分類されます
  • 評判、環境、持続可能性、社会的責任リスクは、近年重要性が高まっています
  • 固有リスクは統制前、残余リスクは統制後のリスクです
  • 内部監査人は、残余リスクが許容可能かどうかを評価します

コメント

タイトルとURLをコピーしました