内部統制とは?リスクマネジメントとの関係や違いを解説

リスクマネジメントは、内部統制における6つの基本的要素のひとつです。内部統制の4つの目的を達成するためのプロセスとして、リスクマネジメントを実施します。

本記事では、リスクマネジメントと内部統制の関係・違いについて解説します。

 

 

1. そもそもリスクマネジメントとは何か

リスクマネジメントとは、コンプライアンスリスクやレピュテーションリスク、セキュリティリスク、事業継続リスク、オペレーショナルリスクといった企業で発生するさまざまなリスク対し、発生するリスクの特定や発生確率・影響度合いの分析、対応する優先順位の決定、対策内容の策定、対策の実施、対策後のモニタリングを行うことです。

事業を存続させることや企業としての価値を高めることを目的として、リスクマネジメントを実施します。

 

【関連記事】

リスクマネジメントとは?プロセスやポイントを解説

 

 

2.そもそも内部統制とは何か

内部統制とは、「業務の有効性及び効率性」、「財務報告の信頼性」、「事業活動に関わる法令等の遵守」、「資産の保全」の4つが達成されている保証を得るために実施されるプロセスです。

金融庁の「財務報告に係る内部統制の評価及び監査の基準」では、以下のように定義されています。

内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。 

引用:財務報告に係る内部統制の評価及び監査の基準「金融庁」

 

上場企業では、金融商品取引法第24条の4の4で「内部統制報告書」の提出が義務付けられています。

第二十四条第一項の規定による有価証券報告書を提出しなければならない会社(第二十三条の三第四項の規定により当該有価証券報告書を提出した会社を含む。次項において同じ。)のうち、第二十四条第一項第一号に掲げる有価証券の発行者である会社その他の政令で定めるものは、内閣府令で定めるところにより、事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した報告書(以下「内部統制報告書」という。)を有価証券報告書(同条第八項の規定により同項に規定する有価証券報告書等に代えて外国会社報告書を提出する場合にあつては、当該外国会社報告書)と併せて内閣総理大臣に提出しなければならない。

引用:金融商品取引法第24条の4の4

 

■内部統制の目的

内部統制の目的は、企業活動における業務の効率化や不正防止、法令遵守を確保することにあります。これにより、企業は内部の業務プロセスを最適化し、リスクを最小限に抑えつつ、効率的に運営することが可能です。

 

内部統制が重視されているのは、企業の信頼性を維持し、ステークホルダー(投資家や取引先など)の信頼を得る必要があるからです。内部統制は企業の運営を効率化し、不正や不備を防ぐための基本的な仕組みであり、企業の持続的な成長を支える重要な役割を果たしています。

 

 

3. リスクマネジメントと内部統制の関係

リスクマネジメントは、内部統制の目的を達成するためのプロセスとして実施されます。

内部統制を実施するプロセスは以下の6つです。

  • 統制環境
  • リスクの評価と対応
  • 統制活動
  • 情報と伝達
  • モニタリング
  • ITへの対応

つまり、内部統制のプロセスの中にリスクマネジメントが含まれているわけです。

一方、リスクマネジメントは内部統制の目的を達成するためだけに実施されるわけではありません。また、内部統制のプロセスを実施することでリスクの発生を抑えることができるため、内部統制はリスクマネジメントの強化としても機能します。

 

■企業に与える影響

内部統制とリスクマネジメントは、企業の運営においてそれぞれ異なる役割を果たしながらも、企業に大きな影響を与えます。内部統制は、企業の業務が適切に行われているかを確認し、法令遵守や財務報告の信頼性を確保するための仕組みです。一方、リスクマネジメントは、企業が直面するリスクを特定し、その影響を最小限に抑えます。内部統制が日常業務の安定性を保つのに対し、リスクマネジメントは将来の不確実性に備えることで、企業の持続的な成長を支えるわけです。内部統制とリスクマネジメントは相互に補完し合いながら、企業の健全な運営を支える重要な要素となっています。

 

■相互補完の関係

内部統制は主に企業の業務が適切に行われているか、法令遵守が守られているかを確認するための仕組みです。一方、リスクマネジメントは企業が直面するリスクを特定し、それに対する適切な対応策を講じるプロセスを指します。この二つが相互に補完し合うことで、企業はより効果的にリスクを管理し、業務の効率性を高めることが可能です。

例えば、内部統制によって業務プロセスの中で潜在的なリスクを早期に発見し、リスクマネジメントの手法を用いてそのリスクを軽減することができます。内部統制とリスクマネジメントが連携することで、より体系的で効果的なリスク対策が実現します。

 

 

4. リスクマネジメントと内部統制の違い

リスクマネジメントと内部統制の違いは以下の4つです。

  • 実施する目的
  • 管理するリスクの範囲
  • 実施するプロセス
  • リスクの定義

それぞれの違いについて解説します。

 

■実施する目的

リスクマネジメントと内部統制の1つ目の違いは、実施する目的です。

内部統制は「業務の有効性及び効率性」、「財務報告の信頼性」、「事業活動に関わる法令等の遵守」、「資産の保全」の4つを達成することを目的として実施します。

一方、リスクマネジメントを実施する目的は、企業を存続させることや企業としての価値を高めること、投資家からの評価を高めることです。

 

■管理するリスクの範囲

リスクマネジメントと内部統制の2つ目の違いは、管理するリスクの範囲です。

内部統制では主に社内で発生するリスクを管理しますが、リスクマネジメントでは社内だけでなく取引先や委託先を起因とするリスクや自然災害や社会情勢の変化、外部からの不正アクセスなどによって発生するリスクも管理します。

たとえば、自社で粉飾決算が発生しないように財務報告の信頼性を高めることは、内部統制でありリスクマネジメントでもあります。一方、取引先や委託先で粉飾決算が発生しないように管理することはリスクマネジメントに含まれますが、内部統制には含まれません。

内部統制におけるリスクマネジメントは、社内で発生するリスクのみを管理する、範囲が限定されたリスクマネジメントだと言えるでしょう。

 

■実施するプロセス

リスクマネジメントと内部統制の3つ目の違いは、実施するプロセスです。

内部統制では、以下の6つのプロセスを実施します。

  1. 統制環境
  2. リスクの評価と対応
  3. 統制活動
  4. 情報と伝達
  5. モニタリング
  6. ITへの対応

一方、リスクマネジメントのプロセスは以下の通りです。

  1. リスクの洗い出し
  2. リスクの分析・評価
  3. 対応計画策定
  4. モニタリング

 

 リスクの定義

リスクマネジメントと内部統制の4つ目の違いは、リスクの定義です。

内部統制におけるリスクは、主に企業の財務報告の正確性や法令遵守に対するリスクを指します。具体的には、誤った財務情報が提供されることや、法令違反が発生することを防ぐためにリスク管理が行われます。一方、リスクマネジメントにおけるリスクは、企業全体の運営に影響を与える可能性のあるあらゆるリスクを対象としています。例えば、自然災害や市場の変動、サイバー攻撃など、事業活動に影響を及ぼす多様なリスクを含みます。

このように、内部統制は特定のリスクに焦点を当てているのに対し、リスクマネジメントはより広範なリスクを管理することを目的としています。

 

5. 内部統制におけるリスクマネジメントのプロセス

内部統制におけるリスクマネジメントのプロセスは以下の通りです。

  1. リスクの洗い出し
  2. リスクの分析・評価
  3. 対応計画策定
  4. モニタリング

それぞれのプロセスについて詳しく解説します。

 

■リスクの洗い出し

内部統制におけるリスクマネジメントでは、始めに自社で発生するリスクの洗い出しを行います。

リスクマネジメントで洗い出す主なリスクは以下の通りです。

  • コンプライアンスリスク
  • レピュテーションリスク
  • セキュリティリスク
  • 事業継続リスク
  • オペレーショナルリスク

内部統制の目的を達成する上で、どのようなリスクが課題となるのかを意識して洗い出す必要があります。それぞれの部門・部署で行われる業務に沿ってどのようなリスクが発生するのかをピックアップしていくと、効率良くリスクを見つけることができます。

 

■リスクの分析・評価

次に、洗い出したリスクの分析と評価を実施します。

発生する恐れがあるリスクのすべてが同じ確率で発生するわけではなく、リスクによる影響も同じではありません。

発生する可能性が高いリスクや自社に大きな影響を与えるリスクには優先して対応する必要がありますが、発生する頻度や影響が小さいリスクは無視するか後回しにした方が効率的だからです。

リスクの分析・評価では、一般的に発生確率・影響度マトリックスが利用されます。

発生確率・影響度マトリックスとは、リスクの発生確率と影響度を視覚的に表現した表です。

 

リスクの発生確率・影響度マトリックスの例

優先順位

発生確率

影響度

9

6

3

6

4

2

3

2

1

 

■対応計画策定

次に、リスクの分析・評価に基づいて対応計画を策定します。

リスクへの主な対応計画は以下の4つです。

リスク回避

リスクが発生する可能性をゼロにする

リスク低減

リスクを発生しにくくする、または発生した場合の損失を低減する

リスク移転

リスクを第三者に移転する

リスク受容

リスクをそのまま受け入れる

 

■モニタリング

最後に、分析・評価を行い対応策を実施した結果をモニタリングします。

分析・評価に基づいて対応策を実施したからといって、想定通りの結果になるとは限りません。分析・評価の手順は間違っていなかったのか、実施する対応策は正しいものであったのかを確認することが重要です。モニタリングは定期的に実施し、リスクマネジメントのプロセス自体の見直しにも活用しましょう。

 

 

6. まとめ

今回は、リスクマネジメントと内部統制の関係・違いについて解説しました。

内部統制におけるリスクマネジメントは内部統制の目的を達成するためのプロセスのひとつですが、従来のリスクマネジメントとは対象とするリスクの範囲が異なります。

一方、ステークホルダーや投資家からの評価を高めるために実施するという点では、リスクマネジメントと内部統制は共通しています。

リスクマネジメントと内部統制のどちらも、企業を存続させ、価値を高めるための重要な施策です。リスクマネジメントと内部統制の関係と違いを理解し、適切に実施しましょう。

 

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。