リスクの評価と対応

内部統制報告制度導入の背景

米国において発生したエンロン、ワールドコム等の不祥事、我が国においては、企業開示における不適切な事例、さらには、相次ぐ企業不正等が発生した。内部統制報告制度では、これらの問題をうけて、「財務報告の信頼性」を内部統制の目的の一つとして定義したうえで、リスクを「組織目標の達成を阻害する要因」と定義している。

 したがって、内部統制報告制度おいて「リスク」は組織にマイナスの影響を与えるものに限定されている。

内部統制に関する評価項目の例

内部統制報告制度では、単にリスクを「識別」するのみならず、「評価」、「対応」するまでの一連のプロセスを含めて、「リスクの評価と対応」を一つの基本的要素としている。それでは、「リスクの評価と対応」を検討するにあたって具体的にどのような事項を留意すべきなのか。『財務報告に係る内部統制の評価及び監査に関する実施基準』（企業会計審議会）における「財務報告に係る全社的な内部統制に関する評価項目の例」のリスクの評価と対応の項目例を検討してみる。

■リスクの評価と対応の項目例

①信頼性のある財務報告の作成のため、適切な階層の経営者、管理者を関与させる有効なリスク評価の仕組みが存在しているか。

②リスクを識別する作業において、企業の内外の諸要因および新体制のある財務報告の作成におよぼす影響が適切に考慮されているか。

③経営者は、組織の変更やITの開発など、信頼性のある財務報告の作成に重要な影響をおよぼす可能性のある仕組みを設定し、適切な対応を図っているか。

④経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯すに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。

項目①

「リスクの評価と対応」のプロセスが仕組みとして確立されているかを問うものである。

項目②

リスク識別に関する項目であり、財務報告の作成に及ぼす影響が適切に考慮されているか、すなわち、財務報告に関連するリスクが識別されているかを問うている。

項目③

経営環境等の変化に応じて適宜リスクの再評価を行い、対処しているか、すなわち、リスク評価が一度きりで見直しがなされないようなことが無いかといった点を問うている。

項目④

不正に関するリスクに特化した項目である。

したがって、①から③は「リスクの評価と対応」の仕組みに関する項目であり、④は不正に関するリスクについて特記した項目と分類できる。

リスクの評価と識別

リスクの評価とは、リスクを識別、分析及び評価する一連のプロセスと定義され、 「リスクの評価」の最初のステップがリスクの「識別」である。リスクの識別とは、リスクを把握することをいうが、組織目標の達成に影響を与える可能性のある事象を把握し、そのうちにどのようなリスクがあるのかを特定することであり、リスクは、全社的なレベルから業務プロセスのレベルまで様々な段階で存在することから、各段階において適切にリスクを識別することが重要であるとされている。したがって、例えば、各部門における部門目標の阻害要因について全社的なレベルと業務プロセスのレベルで棚卸する方法が考えられる。 

リスクの分類と分析・評価

リスクの分類とは、識別したリスクを全社的なリスクか業務プロセスのリスクか、過去に生じたリスクか未経験のリスクか等の観点から分類することとされている。

 全社的なリスクは全社にまたがるリスクであり、会社組織との関連でいうと法務、企画、研究開発、情報システム部、あるいは統制環境を構成する会社機関（取締役会、常務会、監査役会等）が担う職務に関連するケースが多い。他方で業務的なリスクは営業、購買、工場など、企業の本業に関連する業務に関して生じるリスクであり、営業、購買、調達といった部署に関連するケースが多い。重要な勘定科目を、「売上」、「売掛金」、「棚卸資産」とすると、販売・購買・棚卸資産等の業務プロセスに関連するリスクを指すと考えられる。

 過去に生じたリスクか未経験のリスクかの区分は、経験があるか否かの観点から、リスク対応のノウハウが組織内に有るか否かにより対応の慎重さが異なるため留意が必要である。

 リスクの分析・評価とは、識別・分類したリスクを発生可能性、影響度等の尺度を用いて評価するプロセスをいう。企業は経営資源を最も有効に配分するために、リスクの評価を行うのであり、識別したリスク全てについて、対応する必要はなく、重要性が高いリスクについて対応方針を決定することとなる。重要性が高いリスクとして何を選定するかについては主観的な要素が絡むが、できるだけ客観的な指標により判断することが望まれる。ただし、重要性の有無を判断するだけなので、過度に詳細な分析は必ずしも必要ではない。したがって、会社にとって管理が必要な重要なリスクについてのコンセンサスが得られればよい。

リスクへの対応

リスクへの対応とはリスクを評価した結果、対応が必要としたリスクについて対応方針を検討するプロセスである。リスクへの対応方法としては、リスクの回避・低減・移転・受容、それらの組み合わせといった方法がある。リスクの「評価」において、重要性が高いリスクが抽出されてきていることを前提とすれば、一般的にとられるのはリスクの発現を避けるために業務を見直すといった回避、あるいは、リスクに対してコントロールを充てる低減であろう。移転は、受容しがたく社内で対処が困難なリスクに対してとられる保険の付保等の対応策であり、受容は一般に、発生可能性と影響度が低く、リスクが顕在化しても重要性が低いようなリスクについてとられる対応策である。