aリスク・マネジメント・プロセスの設計と有効性を評価する
bリスク・マネジメントのフレームワークを使用する目的と便益を説明する
組織体におけるリスク・マネジメントは、全社レベルだけでなく、個々のプロセスや部門においても適切に機能している必要があります。
内部監査人は、業務プロセスや部門単位でリスク・マネジメントがどのように設計・運用されているかを評価し、全社的リスク・マネジメント(ERM)との整合性を確認します。
a. リスク・マネジメント・プロセスの設計と有効性を評価する
1. プロセス・部門レベルのリスク・マネジメントの特徴
プロセスや部門におけるリスク・マネジメントは、現場業務に直結する点が特徴です。
そのため、全社方針を踏まえつつ、実務に即した具体的な設計と運用が求められます。
2. リスク・マネジメント・プロセスの設計評価
内部監査人は、リスク・マネジメント・プロセスが適切に設計されているかを、次の観点から評価します。
- 当該プロセスや部門の目標が明確に定義されているか
- 目標達成に影響するリスクが網羅的に識別されているか
- リスク評価基準(発生可能性・影響度)が明確かつ一貫しているか
- リスク対応策が具体的に定義されているか
設計が不十分な場合、運用が適切であってもリスク低減効果は限定的となります。
3. リスク・マネジメント・プロセスの有効性評価
設計が適切であることに加え、実際に有効に機能しているかの評価が重要です。
内部監査人は、次の点を確認します。
- リスク対応策が実行されているか
- 統制や手続が形骸化していないか
- 残余リスクが許容可能な水準に抑えられているか
- リスク状況が適切に報告・共有されているか
4. 内部監査人の視点(aの試験対策)
CIA試験では、「設計」と「有効性(運用)」を明確に区別して理解することが重要です。
内部監査人は、業務を代行するのではなく、設計と運用の妥当性を評価する立場にあります。
b. リスク・マネジメントのフレームワークを使用する目的と便益を説明する
1. リスク・マネジメント・フレームワークの概要
リスク・マネジメント・フレームワークとは、リスク・マネジメントを体系的かつ一貫して実施するための共通の枠組みです。
代表的なものとして、COSO ERMフレームワークなどがあります。
2. フレームワークを使用する目的
リスク・マネジメント・フレームワークを使用する主な目的は次のとおりです。
- 組織全体で共通のリスク言語や評価基準を持つため
- リスク・マネジメント活動を体系化するため
- 戦略、業務、リスク管理を整合させるため
- 経営者や取締役会への説明責任を果たすため
3. フレームワークを使用する便益
フレームワークを活用することにより、次のような便益が得られます。
- リスクの識別漏れや評価のばらつきを低減できます
- 部門間でのリスク情報の比較や集約が容易になります
- リスク対応の優先順位付けが明確になります
- 内部統制やコンプライアンス活動との整合性が高まります
4. 内部監査人の視点(bの試験対策)
内部監査人は、フレームワークそのものを導入する責任は負いません。
しかし、次の点について評価および助言を行います。
- フレームワークが組織の規模や特性に適合しているか
- 形式的な導入にとどまらず、実務に活用されているか
- 全社レベルとプロセス・部門レベルのリスク・マネジメントが連動しているか
まとめ(06の要点)
- リスク・マネジメントは、プロセスや部門レベルでも重要です
- 内部監査人は、設計と有効性の両面から評価します
- フレームワークは、リスク・マネジメントを体系化するための手段です
- フレームワークの活用により、全社的な整合性と透明性が高まります
コメント