内部統制におけるリスク管理の仕組みは、組織の成長と持続可能性の担保のために不可欠です。リスクは、組織の目標達成を妨げる可能性のある潜在的な事象を指し、効果的に管理することが組織の安定と成功に直結しています。

本記事では、内部統制におけるリスクの本質と評価、対応の重要性を解説します。リスクの評価と対応プロセスは、リスクを識別し、分類し、その影響を分析し、適切な管理の方策を講じます。それによって組織がリスクに対処し、目標を効率的に達成するための道筋を提供するためのものです。本記事では、リスク管理の基本的な手順と、その実施が組織にもたらすメリットについて解説していきます。

財務報告に係る内部統制におけるリスクとは 

財務報告に係る内部統制におけるリスクとは、財務報告の正確性と信頼性に影響を及ぼすさまざまな要因を指します。「財務報告に係る内部統制の評価及び監査の基準（以下、内部統制基準）」によれば、リスクとは、「組織目標の達成を阻害する要因」です。

参考：「財務報告に係る内部統制の評価及び監査の基準」（金融庁）

財務報告に係るリスクが顕在化すると、ステークホルダーからの信頼を得られず、結果として組織に損失を与えることにもなりかねません。そのため、内部統制の仕組みを整えて、不正や誤謬を防ぎ財務報告の正確性と信頼性を確保する必要があります。

財務報告に係るリスクの種類は多岐にわたり、主なものは、金額が適切に計算されないリスク、集計に漏れが生じるリスク、会計処理を誤ってしまうリスク、横領が行われてしまうリスクなどです。これらのリスクは、外部環境の変化と内部の問題の両方から生じます。外部環境の変化とは、市場競争の激化や経済状況の変動などです。一方、組織内部の問題には、経営方針の変更や組織構造の調整などが含まれます。

財務報告に係る内部統制のプロセスにおけるリスク評価の流れは、リスクの識別、分類、分析及び評価となります。

リスク評価の過程では、発生確率とその影響の大きさを考慮します。そして、評価されたリスクに基づき、リスクの回避、低減、移転、受容といった適切な対応戦略が立案されます。

財務報告に係る内部統制の効果的な運用は、リスク管理を通じて組織全体のリスクを低減し、組織の財務報告の正確性と信頼性を高めることです。内部統制は、組織の健全な運営と成長にとって不可欠であり、経営陣、監査役、および内部監査部門の共同作業によって支えられています。

リスクの評価と対応は内部統制の基本的要素の1つ 

リスクの評価と対応は、内部統制の基本的要素の1つであり、財務報告の正確性と信頼性を確保するために不可欠です。このプロセスは、リスクの評価とリスクの対応に分けられ、それぞれが組織の内部統制の効果的な運用に重要な役割を果たします。以下では、それぞれのプロセスで何を行うべきかを解説します。

リスクの評価

内部統制は、以下の4つの目的を達成するために整備、運用されます。

・業務の有効性及び効率性とは
　事業活動の目的の達成のため、業務の有効性及び効率性を高めることをいう
・報告の信頼性とは
　組織内及び組織の外部への報告（非財務情報を含む。）の信頼性を確保することをいう
・事業活動に関わる法令等の遵守とは
　事業活動に関わる法令その他の規範の遵守を促進することをいう
・資産の保全とは
　資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ることをいう
（注） 内部統制の目的はそれぞれに独立しているが、相互に関連している。

引用：「財務報告に係る内部統制の評価及び監査の基準」（金融庁）

リスクの評価は、組織にとっての潜在的なリスクを識別し、分析及び評価するプロセスです。この段階では、組織の内外の要因を考慮に入れ、リスクが経営目標の達成にどのように影響を及ぼす可能性があるかを分析し、リスクの大きさ、発生確率、頻度を評価します。この評価には、全社的なリスクと業務プロセスに関わるリスクを区別することが含まれます。

リスク評価のプロセスでは、過去に発生したリスクと未経験のリスクの区別も重要です。組織は、経験したリスクの影響を推定しやすい一方、未経験のリスクについてはその影響が不透明であることが多く、より慎重な検討が必要です。

内部統制と法令遵守（コンプライアンス）については、次の記事を参考にしてください。
内部統制とコンプライアンスの違いとは｜押さえるべきポイントを紹介！

リスクの対応

リスクの評価を受けて、組織はリスクへの適切な対応を選択します。対応の選択肢には、リスクの回避、低減、移転、受容などがあります。

回避とは、リスクの原因となる活動を見合わせることです。低減とは、リスク発生の可能性や影響を減らすための措置を講じることであり、移転はリスクの一部を組織外部に転嫁することです。そして受容は、リスクをそのまま受け入れることを意味します。

財務報告に係る内部統制の構築において、重要な要点として挙げられているのは、「財務報告の重要な事項に虚偽記載が発生するリスクへの適切な評価及び対応」の実施です。これは、財務報告の正確さを確保し、誤謬や不正行為を防止するために重要です。組織は、財務報告のプロセスにおいて可能なリスクを特定し、それに対する適切な内部統制のメカニズムを設計し実施する必要があります。

総じて、リスクの評価と対応は、内部統制の基本的要素の1つであり、組織の財務報告の信頼性を高めるための重要なプロセスです。これにより、組織は潜在的なリスクを効果的に管理し、経営戦略の実行においてよりよい意思決定ができます。

リスクの評価と対応の全社的な内部統制に関する評価項目の例 

リスクの評価と対応は、全社的な内部統制の重要な側面であり、効果的な管理は組織の財務報告の信頼性を高めるために不可欠です。

リスクの評価と対応とは、内部統制基準のなかで以下のように定義されています。

組織目標の達成に影響を与える事象について､組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの適切な対応を行う一連のプロセス

引用：「財務報告に係る内部統制の評価及び監査の基準」（金融庁）

組織は、信頼性のある財務報告の作成を目的として、適切なレベルの経営者や管理者が関与する効果的なリスク評価の仕組みを持つことが重要です。これには、組織内外の諸要因を考慮し、財務報告に影響を与えるリスクの評価と対応が含まれます。

具体的に、リスク評価と対応は内部統制基準のなかで次のように記載されています。

①リスクの評価
リスクの評価とは、組織目標の達成に影響を与える事象について､組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいう。 リスクの評価に当たっては、組織の内外で発生するリスクを、組織全体の目標に関わる全社的なリスクと組織の職能や活動単位の目標に関わる業務別のリスクに分類し、その性質に応じて、識別されたリスクの大きさ、発生可能性、頻度等を分析し、当該目標への影響を評価する。

② リスクへの対応
リスクへの対応とは、リスクの評価を受けて、当該リスクへの適切な対応を選択するプロセスをいう｡ リスクへの対応に当たっては、評価されたリスクについて、その回避、低減、移転又は受容等、適切な対応を選択する｡

（注） 財務報告の信頼性に関しては、例えば、新製品の開発、新規事業の立ち上げ、主力製品の製造販売等に伴って生ずるリスクは、組織目標の達成を阻害するリスクのうち、基本的には、業務の有効性及び効率性に関連するものではあるが、会計上の見積り及び予測等、結果として、財務報告上の数値に直接的な影響を及ぼす場合が多い。したがって、これらのリスクが財務報告の信頼性に及ぼす影響等を適切に識別、分析及び評価し、必要な対応を選択していくことが重要になる。

引用：「財務報告に係る内部統制の評価及び監査の基準」（金融庁）

経営者によるリスク評価の仕組みの有効性に関する評価項目例としては、同様に内部統制基準において次のように言及されています。

・信頼性のある財務報告の作成のため、適切な階層の経営者、管理者を関与させる有効なリスク評価の仕組みが存在しているか。
・リスクを識別する作業において、企業の内外の諸要因及び当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか。
・経営者は、組織の変更やＩＴの開発など、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを設定し、適切な対応を図っているか。
・経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。

引用：「財務報告に係る内部統制の評価及び監査の基準」（金融庁）

これらの評価項目は、全社的な内部統制におけるリスクの評価と対応の有効性を判断するための基準となります。適切なリスク管理プロセスの設計と実施は、財務報告の信頼性を保ち、組織の全体的なリスクを管理し、最終的には企業価値の向上に貢献します。リスク評価と対応のプロセスは、絶えず変化する経営環境に対応し、組織が直面するリスクを効果的に管理するために、定期的な見直しと更新が必要です。

内部統制において確認すべきチェックリストは、次の記事を参考にしてください。
全社的な内部統制のチェックリストとは？6つの要素別のチェック項目リスクの評価と対応の4つのプロセス 

リスクの評価と対応の4つのプロセス

リスクの評価と対応は、財務報告のリスクを効果的に管理するための重要なプロセスです。リスクの評価と対応のプロセスは、リスクの識別、分類、分析・評価、リスクへの対応に大きく分けることができます。それぞれのプロセスで何をしなければならないかを具体的に解説していきましょう。

1. リスクの識別

リスクの評価と識別は、組織が直面する潜在的なリスクを特定し、それらを分析及び評価するプロセスです。この段階では、業務プロセスの理解・整理に重点を置き、組織の目標達成に影響を与える可能性のある事柄を把握し、関連するリスクを識別します。

業務プロセスのリスクの識別と監査要点

財務報告に係るリスクを的確に識別するためには、業務プロセスの流れを理解し、それに基づいてリスクを特定することが重要です。具体的には、勘定科目に計上される仕訳のパターンを確認し、仕訳を生成する業務の流れを把握します。リスクは一般的に、この業務プロセスの情報の転換点で発生します。

さらに、信頼できる財務報告のためには、財務報告が適正であるための監査要点を満たす必要があります。リスクは、これらの監査要点に関連付けて識別することが必要です。例えば、売上の記録においては、一般的に適切なタイミングで正確な金額が記録されることが重要な監査要点になります。

リスクの洗い出しで誤りやすい例

財務報告に係るリスクの識別において、特に誤りやすい典型的な例としては、以下のようなケースが挙げられます。

• 財務報告リスク以外のリスクの識別

例えば、納品遅延や製品不良、在庫の欠品など、業務の有効性や効率性に関連するリスクは、多くの場合、財務報告に直接関連していません。

• コントロールの運用上の不備をリスクと誤識別

売上に関する証憑の照合や承認プロセスの運用上の不備は、リスクではなくコントロールの運用に関わる問題です。

• 複数のリスクが要因となっているケース

例えば、「売上が計上されない」という現象は、出荷実績の入力漏れや仕訳の入力漏れといった複数のリスク要因が考えられます。

これらの例から分かるように、リスクの識別は複雑であり、財務報告に重要な虚偽記載が発生するリスクに焦点を当てることが重要です。適切なリスクの識別には、組織の業務プロセスと財務報告の関連性を深く理解することが求められます。また、リスクの識別後には、当該リスクを低減するための適切なコントロールを設計し実施することが重要です。これにより、組織は財務報告の正確性と信頼性を高めることができ、全体的な経営戦略の実行においてよりよい意思決定を行うことが可能になります。

2.リスクの分類

リスクの分類は、リスク管理プロセスにおいて重要なステップです。この段階では、識別されたリスクを効果的に管理するために、異なる観点からリスクを分類し、その特性を理解します。主に2つの観点からリスクを分類することが一般的です。

観点①全社的なリスクか業務プロセスのリスクか

この観点でのリスク分類は、リスクが組織全体に及ぶ影響か、特定の業務プロセスに限定される影響かを識別します。

• 全社的なリスク

これは組織全体に影響を及ぼすリスクです。例えば、市場の変動、法規制の変更、経済状況の変化などが含まれます。これらのリスクは、組織全体の方針や戦略に影響を及ぼす可能性があります。

• 業務プロセスのリスク

これはリスクの影響が特定の業務プロセスまたは部門に限定されるリスクです。例えば、特定の製造プロセスでの品質問題、特定の部門での運用効率の問題などがこれに該当します。

この分類により、組織はリスクに対してより戦略的なアプローチを取ることができ、リソースを効果的に割り当てることが可能になります。

観点②過去に存在したことがあるリスクか未経験のリスクか

リスクを過去の経験に基づいて分類することも重要です。これにより、組織はリスクに対する対応策を適切に計画し、実施できます。

• 過去に存在したリスク

組織が過去に経験したことがあるリスクです。過去のデータや経験に基づいて、これらのリスクの評価や、リスク管理のための対応策を策定することが容易になります。

• 未経験のリスク

組織がまだ経験していない、新たに出現したリスクです。予測や影響を推定することが困難です。新しい技術の導入、市場の新しいトレンド、予期しない経済的変動などが該当します。

組織がまだ経験していないリスクには、特別に注意が必要です。これらのリスクに対応するためには、リスク評価を定期的に見直し、対策を柔軟に調整することが重要です。また、未経験のリスクに対応するためには、継続的な市場分析や業界動向の分析が必要になる場合があります。

リスクの分類を通じて、組織はリスクの特性をより深く理解し、適切なリスク管理戦略を策定できます。これにより、リスクが組織の目標に与える影響を最小限に抑え、効果的な統制を実現できるでしょう。リスクの分類は、組織が直面するリスクを効果的に管理し、経営戦略の実行においてよりよい意思決定を行うための基礎を提供します。

3.リスクの分析・評価

リスクの分析・評価は、識別されたリスクをさらに深く分析し、影響の大きさと発生確率を評価するプロセスです。リスクの分析・評価によって、組織はリスクの重要性を理解し、適切な対応策を策定します。

リスクの分析・評価に含まれる要素は、主に以下の5つです。

• リスクの影響の大きさの評価

この評価は、リスクが実際に発生した場合に組織に及ぼす潜在的な影響を考慮します。影響の範囲は多岐にわたり、財務的損失、運用効率の低下、市場シェアの喪失、法的責任、企業の評判への損傷などです。リスクの影響の大きさを評価することで、組織は影響の大きいリスクに対して資源を集中できます。

• リスクの発生確率の評価

リスクが現実に発生する可能性を評価します。歴史的データ、業界動向、経済状況など、さまざまな情報源を用いて、リスクの発生確率を評価します。高確率で発生が想定されるリスクには特に注意が必要です。

• リスクの優先順位の決定

影響の大きさと発生確率を考慮し、リスクに優先順位を付けます。この優先順位付けによって、組織はリソースを効果的に配分し、重要なリスクに対応するための戦略を策定できます。

• リスク評価における企業特性の考慮

リスク評価は組織の特性に応じて行われるべきです。組織のビジネスモデル、市場環境、競争状況、法規制などがリスク評価に影響を与えます。これらの要素を考慮することで、リスク評価はより現実的で実効性のあるものとなります。

• リスク評価の定期的な更新

経済状況の変化、市場の変動、新しい規制の導入など、外部環境は変化しています。したがって、リスク評価の定期的な見直しや更新が必要です。

組織におけるリスクの分析・評価は、経営戦略と組織目標に大きく影響します。リスクの分析・評価が適切に実施されると、組織は潜在的な問題に対処し、持続可能な成長ができます。また、リスク評価の結果は、リスク対応戦略の策定に不可欠であり、組織が直面するリスクに対してより戦略的かつ効果的に対応するための基盤を提供します。

4.リスクへの対応

リスクへの対応は、リスク管理プロセスの最終段階であり、組織がリスク評価の結果に基づいて適切なアクションを取る過程です。リスクへの対応には、回避、低減、移転、受容の4つの主要な方法があります。

対応の種類①回避

リスク回避の目的は、リスクを完全に排除することです。これは、リスクの原因となる活動を見合わせるか、中止することによって実現されます。リスク回避は、リスクの発生確率や影響が高い場合や、リスクを管理が困難な場合に選択されることが一般的です。

対応の種類②低減

リスク低減の目的は、リスクの発生確率や影響を抑えることです。これは、内部統制の強化、プロセスの改善、トレーニングプログラムの導入、技術的なセキュリティ対策の強化などによって達成されます。例えば、誤った経理処理が行われないよう、経理担当の従業員に研修を実施するなどが考えられます。リスク低減は、リスクが完全に回避できないものである場合に、その影響を管理可能なレベルにまで低減する場合に適用されます。

対応の種類③移転

リスク移転は、リスクの一部または全てを組織の外部に移すことによって、影響を抑える方法です。リスク移転は、組織が自身でリスクを完全に管理することが難しい、またはコストがかかる場合に有効です。

対応の種類④受容

リスク受容は、リスク発生の可能性や影響に変更を加えずに、そのリスクを受け入れることを意味します。これは、リスクが比較的低い、またはリスク管理にかかるコストがリスクの影響を上回る場合に選択されます。リスク受容は、リスクの監視を続けながら、リスクが顕在化した場合の対応や計画を想定しておくことが重要です。

組織は、これらのリスクへの対応方法を適切に組み合わせることで、リスクを効果的に管理し、事業目標の達成に向けて効率的に進むことができます。リスク対応戦略の選択は、リスクの性質、組織のリスク許容度、利用可能なリソースに基づいて慎重に行う必要があります。リスク管理は動的なプロセスであり、外部環境の変化や組織の状況に応じて、定期的にその戦略を見直し、調整することが重要です。

「リスクの評価・対応」と「統制活動」の関係性 

リスクの評価・対応と統制活動は、内部統制システムにおいて密接な関係にあります。

リスクの評価・対応は、組織が直面する潜在的なリスクを識別し、影響と発生確率を分析するプロセスです。一方、統制活動は、リスクの評価に基づいて設計され、これらのリスクに対処するために実施される具体的な措置です。

リスクの評価・対応によって特定されたリスクは、組織の目標達成に影響を及ぼす可能性があるため、適切な統制活動が必要となります。統制活動は、リスクを効果的に管理し、軽減するための方針や手順のことをいい、リスク評価の結果を反映したものでなければなりません。

このように、リスクの評価・対応と統制活動は、リスク管理のプロセスの中で相互に補完し合い、リスクを適切に管理し、効率的に目標を達成するために重要な役割を果たしています。

まとめ 

本記事では、内部統制におけるリスクの本質、リスク評価と対応の重要性、そして、リスクへの対応方法について詳しく解説しました。本記事を通じて、内部統制を通じたリスク管理が組織のリスクを効果的に軽減し、目標達成に寄与することを説明させていただきました。

内部統制におけるリスクは、組織の目標達成を妨げる潜在的な要因として定義され、リスクを適切に管理することが組織の成功に不可欠であるからこそ、内部統制の整備が必要となります。リスクの評価プロセスでは、リスクを特定し、分類し、その影響と発生確率を分析する必要があります。次に、リスク対応の段階では、回避、低減、移転、受容の戦略を通じてリスクを管理していかなければなりません。

---

Co-WARCについて

Co-WARCでは、内部統制構築、J-SOXの立ち上げ支援を含め、コーポレート課題全般の支援を行っています。

何からすれば良いかわからないから相談したい、具体的な支援内容を知りたいなど、どんなお悩みでもお気軽にご相談ください。

コーポレート課題を解決するプロが最適な解決策をご提案します。