リスクマネジメントは、内部統制における6つの基本的要素のひとつです。内部統制の4つの目的を達成するためのプロセスとして、リスクマネジメントを実施します。
本記事では、リスクマネジメントと内部統制の関係・違いについて解説します。
1. そもそもリスクマネジメントとは何か
リスクマネジメントとは、コンプライアンスリスクやレピュテーションリスク、セキュリティリスク、事業継続リスク、オペレーショナルリスクといった企業で発生するさまざまなリスク対し、発生するリスクの特定や発生確率・影響度合いの分析、対応する優先順位の決定、対策内容の策定、対策の実施、対策後のモニタリングを行うことです。
事業を存続させることや企業としての価値を高めることを目的として、リスクマネジメントを実施します。
【関連記事】
2.そもそも内部統制とは何か
内部統制とは、「業務の有効性及び効率性」、「財務報告の信頼性」、「事業活動に関わる法令等の遵守」、「資産の保全」の4つが達成されている保証を得るために実施されるプロセスです。
金融庁の「財務報告に係る内部統制の評価及び監査の基準」では、以下のように定義されています。
|
内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。 |
上場企業では、金融商品取引法第24条の4の4で「内部統制報告書」の提出が義務付けられています。
|
第二十四条第一項の規定による有価証券報告書を提出しなければならない会社(第二十三条の三第四項の規定により当該有価証券報告書を提出した会社を含む。次項において同じ。)のうち、第二十四条第一項第一号に掲げる有価証券の発行者である会社その他の政令で定めるものは、内閣府令で定めるところにより、事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した報告書(以下「内部統制報告書」という。)を有価証券報告書(同条第八項の規定により同項に規定する有価証券報告書等に代えて外国会社報告書を提出する場合にあつては、当該外国会社報告書)と併せて内閣総理大臣に提出しなければならない。 |
3. リスクマネジメントと内部統制の関係
リスクマネジメントは、内部統制の目的を達成するためのプロセスとして実施されます。
内部統制を実施するプロセスは以下の6つです。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
つまり、内部統制のプロセスの中にリスクマネジメントが含まれているわけです。
一方、リスクマネジメントは内部統制の目的を達成するためだけに実施されるわけではありません。また、内部統制のプロセスを実施することでリスクの発生を抑えることができるため、内部統制はリスクマネジメントの強化としても機能します。
4. リスクマネジメントと内部統制の違い
リスクマネジメントと内部統制の違いは以下の3つです。
- 実施する目的
- 管理するリスクの範囲
- 実施するプロセス
それぞれの違いについて解説します。
■実施する目的
リスクマネジメントと内部統制の1つ目の違いは、実施する目的です。
内部統制は「業務の有効性及び効率性」、「財務報告の信頼性」、「事業活動に関わる法令等の遵守」、「資産の保全」の4つを達成することを目的として実施します。
一方、リスクマネジメントを実施する目的は、企業を存続させることや企業としての価値を高めること、投資家からの評価を高めることです。
■管理するリスクの範囲
リスクマネジメントと内部統制の2つ目の違いは、管理するリスクの範囲です。
内部統制では主に社内で発生するリスクを管理しますが、リスクマネジメントでは社内だけでなく取引先や委託先を起因とするリスクや自然災害や社会情勢の変化、外部からの不正アクセスなどによって発生するリスクも管理します。
たとえば、自社で粉飾決算が発生しないように財務報告の信頼性を高めることは、内部統制でありリスクマネジメントでもあります。一方、取引先や委託先で粉飾決算が発生しないように管理することはリスクマネジメントに含まれますが、内部統制には含まれません。
内部統制におけるリスクマネジメントは、社内で発生するリスクのみを管理する、範囲が限定されたリスクマネジメントだと言えるでしょう。
■実施するプロセス
リスクマネジメントと内部統制の3つ目の違いは、実施するプロセスです。
内部統制では、以下の6つのプロセスを実施します。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
一方、リスクマネジメントのプロセスは以下の通りです。
- リスクの洗い出し
- リスクの分析・評価
- 対応計画策定
- モニタリング
5. 内部統制におけるリスクマネジメントのプロセス
内部統制におけるリスクマネジメントのプロセスは以下の通りです。
- リスクの洗い出し
- リスクの分析・評価
- 対応計画策定
- モニタリング
それぞれのプロセスについて詳しく解説します。
■リスクの洗い出し
内部統制におけるリスクマネジメントでは、始めに自社で発生するリスクの洗い出しを行います。
リスクマネジメントで洗い出す主なリスクは以下の通りです。
- コンプライアンスリスク
- レピュテーションリスク
- セキュリティリスク
- 事業継続リスク
- オペレーショナルリスク
内部統制の目的を達成する上で、どのようなリスクが課題となるのかを意識して洗い出す必要があります。それぞれの部門・部署で行われる業務に沿ってどのようなリスクが発生するのかをピックアップしていくと、効率良くリスクを見つけることができます。
■リスクの分析・評価
次に、洗い出したリスクの分析と評価を実施します。
発生する恐れがあるリスクのすべてが同じ確率で発生するわけではなく、リスクによる影響も同じではありません。
発生する可能性が高いリスクや自社に大きな影響を与えるリスクには優先して対応する必要がありますが、発生する頻度や影響が小さいリスクは無視するか後回しにした方が効率的だからです。
リスクの分析・評価では、一般的に発生確率・影響度マトリックスが利用されます。
発生確率・影響度マトリックスとは、リスクの発生確率と影響度を視覚的に表現した表です。
リスクの発生確率・影響度マトリックスの例
|
優先順位 |
発生確率 |
|||
|
高 |
中 |
低 |
||
|
影響度 |
高 |
9 |
6 |
3 |
|
中 |
6 |
4 |
2 |
|
|
低 |
3 |
2 |
1 |
|
■対応計画策定
次に、リスクの分析・評価に基づいて対応計画を策定します。
リスクへの主な対応計画は以下の4つです。
|
リスク回避 |
リスクが発生する可能性をゼロにする |
|
リスク低減 |
リスクを発生しにくくする、または発生した場合の損失を低減する |
|
リスク移転 |
リスクを第三者に移転する |
|
リスク受容 |
リスクをそのまま受け入れる |
■モニタリング
最後に、分析・評価を行い対応策を実施した結果をモニタリングします。
分析・評価に基づいて対応策を実施したからといって、想定通りの結果になるとは限りません。分析・評価の手順は間違っていなかったのか、実施する対応策は正しいものであったのかを確認することが重要です。モニタリングは定期的に実施し、リスクマネジメントのプロセス自体の見直しにも活用しましょう。
6. まとめ
今回は、リスクマネジメントと内部統制の関係・違いについて解説しました。
内部統制におけるリスクマネジメントは内部統制の目的を達成するためのプロセスのひとつですが、従来のリスクマネジメントとは対象とするリスクの範囲が異なります。
一方、ステークホルダーや投資家からの評価を高めるために実施するという点では、リスクマネジメントと内部統制は共通しています。
リスクマネジメントと内部統制のどちらも、企業を存続させ、価値を高めるための重要な施策です。リスクマネジメントと内部統制の関係と違いを理解し、適切に実施しましょう。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。
