全社的な内部統制の整備・運用において、実施基準では、6つの基本的要素に対応した42の評価項目を例として挙げています。
この記事では、その42の評価項目にうち、基本的要素のひとつ「リスクの評価と対応」に該当する項目に注目し、全社的な内部統制の整備・運用のポイントを簡単にまとめました。
※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」
基本的要素「リスクの評価と対応」とは
内部統制基準では、内部統制の基本的要素「リスクの対応と評価」について、以下のように定義しています。
リスクの評価と対応とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの適切な対応を行う一連のプロセスをいう。
リスクの対応と評価は、「リスクの評価」と「リスクの対応」に分かれます。
リスクの評価
実施基準では、リスクの評価について以下のように示しています。
リスクの評価とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいう。
「リスク」という言葉は、良い・悪い事象に関わらず「不確実性」を指すこともありますが、ここでは「組織目標の達成を阻害する要因」という負の影響のみをいいます。
なお、実施基準では、リスクの評価の流れを以下のように例示しています。
リスクの識別
組織目標の達成に影響を与える可能性のある事象を把握し、そのうちにどのようなリスクがあるのかを特定します。
大小、事業分野、部門別、社内外、発生頻度など分け隔てなく、あらゆる目線でリスクを洗い出します。
なお、評価対象となるリスクには、不正に関するリスクも含まれ、様々な不正及び違法行為の結果発生し得る不適切な報告、資産の流用及び汚職について検討が必要です。
リスクの分類
識別したリスクを、全社的なリスクか業務プロセスのリスクか、過去に生じたリスクか未経験のリスクか等の観点から分類します。
全社的なリスクとは、財政状況や法的規制など、組織全体の目標の達成を阻害するリスクをいいます。
業務プロセスのリスクとは、3点セット(業務記述書、フローチャート、リスクコントロールマトリクス)などを活用してコントロールするような、組織の各業務プロセスにおける目標の達成を阻害するリスクをいいます。
過去に生じたリスクについては、その影響度をある程度推定することができますが、未経験のリスクについてはそれが困難であるため、影響度を慎重に検討する必要があります。
リスクの分析
識別・分類したリスクについて、発生可能性および影響度を分析します。
リスクの発生可能性や影響度は数値化できれば理想ですが、実際には難しいため、「高・中・低」や「大・中・小」など定性的に表すことがよく見られます。
リスクの評価
見積もったリスクの重要性に照らして、対応策を講じるべきリスクかどうかを評価します。
すべてのリスクに対応するとコスト過多になりますので、対応するリスクの優先順位を決めます。
リスクの対応
実施基準では、リスクの対応について以下のように示しています。
リスクへの対応とは、リスクの評価を受けて、当該リスクへの適切な対応を選択するプロセスをいう。
リスクへの対応に当たっては、評価されたリスクについて、その回避、低減、移転又は受容等、適切な対応を選択する。
優先順位の高いリスクに対して、「回避」「低減」「移転」「受容」の4つの戦略のうち、いずれかを選択します。
- 回避:リスクの原因となる活動を見合わせ、又は中止する
- 低減:リスクの発生可能性や影響を低くするため、新たな内部統制を設けるなどの対応を取る
- 移転:リスクの全部又は一部を組織の外部に転嫁することで、リスクの影響を低くする
- 受容:リスクの発生可能性や影響に変化を及ぼすような対応を取らずに受け入れる
財務報告に係る全社的な内部統制に関する評価項目の例 ―リスクの評価と対応―
実施基準で示されている全社的な内部統制の評価項目例42項目のうち、14~17項目はリスクの評価と対応についてのものです。
それぞれの項目について、整備・運用のポイントを簡単にまとめました。
14.信頼性のある財務報告の作成のため、適切な階層の経営者、管理者を関与させる有効なリスク評価の仕組みが存在しているか。
<整備するもの>
リスク管理規程、リスク管理委員会、内部統制規程 等
適切な階層の経営者、管理者を関与した上で、現況調査から、以下の流れでのリスク評価のプロセスが実施できる体制をとっている
<運用の証憑>
リスク管理委員会議事録、経営会議議事録、取締役会議事録 等
15.リスクを識別する作業において、企業の内外の諸要因及び当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか。
<整備するもの>
リスク管理規程、リスク管理委員会、内部統制規程 等
リスクの検討内容が、財務報告の開示項目等と結びついている
<運用の証憑>
リスク管理委員会議事録、リスク検討リスト、経営会議議事録、取締役会議事録 等
16.経営者は、組織の変更やITの開発など、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを設定し、適切な対応を図っているか。
<整備するもの>
リスク管理規程、リスク管理委員会、内部統制規程 等
事業や業務状況の変化によるリスク再検討の手続がリスク評価プロセスに組み込まれている
<運用の証憑>
リスク管理委員会議事録、リスク検討リスト、経営会議議事録、取締役会議事録 等
17.経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。
<整備するもの>
コンプライアンス規程、コンプライアンス委員会、リスク管理規程、リスク管理委員会、人事評価制度 等
リスク評価プロセスにおいて、従業員の意識調査を含め、不正の発生要因の状況が検討されている
<運用の証憑>
コンプライアンス委員会やリスク管理委員会の議事録、リスク検討リスト、経営会議議事録、取締役会議事録、従業員意識調査の記録、人事評価シート 等
全社的な内部統制の有効性の判断
実施基準では、全社的な内部統制の有効性の判断について、「開示すべき重要な不備」となる事項を例示しています。
そのうちの1つとして、
経営者が財務報告の信頼性に関するリスクの評価と対応を実施していない。
を挙げています。
全社的な内部統制において、リスクの評価と対応がおろそかになると、財務報告の信頼性に直接関わる業務プロセスにおけるリスクに対する統制が不十分になりかねません。
そのことに留意して「リスクの評価と対応」を整備・運用する必要があります。
