aリスク・マネジメントを定義する
b組織体のリスク選好とリスク許容度を認識する
cリスク・マネジメント・サイクルの要素を評価する
d識別したリスクに対する組織体の対応を評価する
組織体が目標を達成するためには、リスクを適切に識別し、評価し、対応する体系的なプロセスが必要です。
リスク・マネジメントは、単なるリスク回避ではなく、リスクを理解した上で意思決定を行うための重要な経営活動です。
内部監査人は、リスク・マネジメント・プロセスが適切に設計され、効果的に機能しているかを評価します。
a. リスク・マネジメントを定義する
1. リスク・マネジメントの定義
リスク・マネジメントとは、組織体の目標達成に影響を与える不確実性を体系的に識別、評価し、適切に対応する一連のプロセスをいいます。
IIAおよびERM(全社的リスク管理)の考え方では、リスク・マネジメントは次の特徴を持ちます。
- 組織目標の達成を支援する
- 継続的なプロセスである
- 組織全体を対象とする
- 経営者の責任の下で実施される
リスク・マネジメントは、リスクを排除することではなく、受容可能な水準に管理することを目的としています。
2. 内部監査人の立場
内部監査人は、リスク・マネジメントを実行する責任者ではありません。
内部監査人の役割は、リスク・マネジメント・プロセスの有効性について、独立した保証および助言を提供することです。
b. 組織体のリスク選好とリスク許容度を認識する
1. リスク選好(Risk Appetite)
リスク選好とは、組織体が目標達成のために進んで受け入れようとするリスクの総量や水準を指します。
これは、経営者や取締役会によって定められ、組織全体のリスク対応の方向性を示します。
例:
- 成長のために一定の事業リスクを受け入れる
- 法令違反リスクは一切許容しない
リスク選好は、戦略や経営方針と密接に関連します。
2. リスク許容度(Risk Tolerance)
リスク許容度とは、個々のリスクについて、どの程度までの変動や逸脱を許容するかを示す具体的な基準です。
リスク選好を、実務レベルに落とし込んだ概念といえます。
例:
- 為替変動による損失は〇%以内
- 内部通報件数は一定水準以内
3. リスク選好とリスク許容度の関係
- リスク選好:全体的・定性的・戦略的
- リスク許容度:個別的・定量的・業務的
内部監査人は、リスク対応がこれらと整合しているかを確認します。
c. リスク・マネジメント・サイクルの要素を評価する
1. リスク・マネジメント・サイクルの概要
リスク・マネジメントは、単発の活動ではなく、継続的なサイクルとして実施されます。
一般的なリスク・マネジメント・サイクルは、次の要素から構成されます。
2. 主な要素
- リスクの識別
組織目標の達成を妨げる可能性のあるリスクを洗い出します。 - リスクの評価
発生可能性と影響度を考慮し、リスクの重要性を評価します。 - リスク対応
評価結果に基づき、適切な対応を選択します。 - モニタリングおよび報告
リスク状況や対応の有効性を継続的に監視し、経営層に報告します。 - 見直し・改善
環境変化や結果を踏まえ、プロセスを改善します。
3. 内部監査人の視点(cの試験対策)
内部監査人は、次の点を評価します。
- リスク識別が網羅的かつ適切か
- 評価基準が一貫しているか
- サイクルが形式的でなく、実際に機能しているか
d. 識別したリスクに対する組織体の対応を評価する
1. リスク対応の主な類型
組織体は、識別したリスクに対して、次のいずれかの対応を選択します。
- 回避(Avoid)
リスクを伴う活動を中止または回避します。 - 低減(Mitigate)
内部統制や手続を導入し、リスクを低減します。 - 移転(Transfer)
保険や外部委託により、リスクを第三者に移転します。 - 受容(Accept)
コスト対効果を考慮し、リスクを受け入れます。
2. 内部監査人による評価ポイント
内部監査人は、次の観点からリスク対応を評価します。
- リスク対応がリスク選好およびリスク許容度と整合しているか
- 対応策が実行され、実際に機能しているか
- 残余リスクが許容可能な水準に収まっているか
まとめ
- リスク・マネジメントは、目標達成を支援する継続的なプロセスです
- リスク選好は全体方針、リスク許容度は個別基準を示します
- リスク・マネジメントはサイクルとして運用されます
- 内部監査人は、リスク対応の有効性と整合性を評価します
コメント