2022.06.15
- リスクマネジメント
【内部統制】財務報告に係る内部統制の基本を読み直す(その5)
前回は、「財務報告に係る内部統制の評価及び監査の基準」に記載されている内部統制の4つの目的を達成するためには、内部統制の6つの基本的要素がいずれも欠けることなく、適切に整備・運用されることが不可欠であることと、内部統制の基本的要素の1つである「統制環境」について確認しました。
今回は前回に引き続き、「内部統制の基本的要素」のうち、「リスクの評価と対応」と「統制活動」について確認していきます。
Contents
1.リスクの評価と対応
基本的要素の2つ目に規定されている「リスクの評価と対応」について、基準では以下のように記載されています。
リスクの評価と対応とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの適切な対応を行う一連のプロセスをいう。
「リスクの評価と対応」について、基準では、①リスクの評価と、②リスクへの対応に分けて説明しています。
①リスクの評価
リスクの評価とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいいます。 リスクの評価は、一般的に以下のような手順で行われます。
リスクの識別
最初に、リスクを適切に識別することが必要であり、組織目標の達成に影響を与える可能性のある事象を把握し、その中にどのようなリスクがあるのかを特定します。
リスクの分類
識別したリスクを、全社的なリスクか業務プロセスのリスクか、過去に生じたリスクか未経験のリスクかなどの観点から分類します。
全社的なリスクとしては、経営戦略リスク、財務リスク、ハザードリスク、特有の法的規制や取引慣行などの事業特有のリスクなどが挙げられ、適切な経営方針や経営戦略の策定、コーポレートガバナンスの強化等、組織全体での対応がなされます。業務プロセスのリスクについては、基本的要素の3つ目に挙げられている「統制活動」などによってリスクへの対応を行うことが通常です。
過去に生じたリスクの場合、リスクの影響を推定しやすい面がありますが、過去の状況からの変化に伴い、影響の度合いも変化している可能性があることに留意が必要です。未経験のリスクについてはその影響の推定が難しく、より慎重な検討が必要になります。
リスクの分析と評価
識別・分類したリスクについて、その影響度合い、発生可能性、発生の頻度等を分析することにより、当該リスクの重要性を見積り、リスクの重要性に応じて対応策の必要性を評価します。
②リスクへの対応
リスクへの対応とは、①のリスクの評価を受けて、当該リスクへの適切な対応を選択するプロセスをいいます。リスクへの対応には、「回避」「低減」「移転」「受容」の4つの種類があり、評価されたリスクについて、いずれか適切な対応を選択していきます。
例えば、リスクの発生可能性が高く影響度合いが大きい場合や、リスクを適切に管理することが難しい場合などは、リスクの発生原因となる活動を中止するという「回避」を選択することが考えられます。リスクの影響度合いは大きいが発生可能性は高くない場合は、損害保険への加入などリスクを組織外部に転嫁する「移転」の措置を取ることが考えられます。たとえリスクが顕在化しても十分対応が可能と判断する場合や、リスクが許容できる水準以下と想定される場合には、特段の対応を取らずに「受容」を選択することも考えられます。「低減」では、リスクの発生可能性や影響度合いを低くするために、適切な内部統制を構築するなどの対応が取られます。
2.統制活動
基本的要素の3つ目に規定されている「統制活動」について、基準では以下のように記載されています。
統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいう。
統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続が含まれており、これらは通常の業務の中に組み込まれて、組織内の全ての者によって適切に遂行されることにより機能するものです。統制活動の方針として、全社で標準的・統一的に定めることが適切なものは職務規程等で整備し、部門・活動単位で定めることが適切なものは業務手順等を整備します。この統制活動の方針を達成するため、各業務において、承認、検証、記録等の適切な手続を設定していきます。
経営者は、不正や誤謬等が発生するリスクを減らすために、各担当者の権限及び職責を明確にし、その範囲で各担当者が適切に業務を遂行できる体制を整備していきますが、その際には、職務を複数の担当者で適切に分担又は分離させ、相互牽制を働かせることが重要です。このことは、内部統制を可視化して、不正や誤謬等の発生を抑止する効果があるだけでなく、業務を特定の担当者に属人化させないことにより、担当者の突然の交代等によって組織が当該業務に対応できなくなるといった問題を解消することができます。
なお、1.の「リスクの評価と対応」でも触れましたが、特に業務プロセスのリスクの場合には、主として日常の業務の中に統制活動を組み込むという対応を行うことになります。よって、統制活動においてリスクへの対応策が適切に実行されているかを把握し、うまくいっていない場合など必要に応じて、統制活動の改善を図ることが重要になります。
次回は、「内部統制の基本的要素」のうち、「情報と伝達」以降について確認していきます。
本記事の監修者
業務執行社員 公認会計士 / 公認不正検査士 / 税理士 / 中小企業診断士
髙山 清子SUMIKO TAKAYAMA
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
リスクマネジメントに関連するサービス
よく読まれている記事
サービスカテゴリー
- リスクマネジメント
前回は、「財務報告に係る内部統制の評価及び監査の基準」に記載されている内部統制の4つの目的を達成するためには、内部統制の6つの基本的要素がいずれも欠けることなく、適切に整備・運用されることが不可欠であることと、内部統制の基本的要素の1つである「統制環境」について確認しました。
今回は前回に引き続き、「内部統制の基本的要素」のうち、「リスクの評価と対応」と「統制活動」について確認していきます。
Contents
1.リスクの評価と対応
基本的要素の2つ目に規定されている「リスクの評価と対応」について、基準では以下のように記載されています。
| リスクの評価と対応とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの適切な対応を行う一連のプロセスをいう。 |
「リスクの評価と対応」について、基準では、①リスクの評価と、②リスクへの対応に分けて説明しています。
①リスクの評価
リスクの評価とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいいます。 リスクの評価は、一般的に以下のような手順で行われます。
リスクの識別
最初に、リスクを適切に識別することが必要であり、組織目標の達成に影響を与える可能性のある事象を把握し、その中にどのようなリスクがあるのかを特定します。
リスクの分類
識別したリスクを、全社的なリスクか業務プロセスのリスクか、過去に生じたリスクか未経験のリスクかなどの観点から分類します。
全社的なリスクとしては、経営戦略リスク、財務リスク、ハザードリスク、特有の法的規制や取引慣行などの事業特有のリスクなどが挙げられ、適切な経営方針や経営戦略の策定、コーポレートガバナンスの強化等、組織全体での対応がなされます。業務プロセスのリスクについては、基本的要素の3つ目に挙げられている「統制活動」などによってリスクへの対応を行うことが通常です。
過去に生じたリスクの場合、リスクの影響を推定しやすい面がありますが、過去の状況からの変化に伴い、影響の度合いも変化している可能性があることに留意が必要です。未経験のリスクについてはその影響の推定が難しく、より慎重な検討が必要になります。
リスクの分析と評価
識別・分類したリスクについて、その影響度合い、発生可能性、発生の頻度等を分析することにより、当該リスクの重要性を見積り、リスクの重要性に応じて対応策の必要性を評価します。
②リスクへの対応
リスクへの対応とは、①のリスクの評価を受けて、当該リスクへの適切な対応を選択するプロセスをいいます。リスクへの対応には、「回避」「低減」「移転」「受容」の4つの種類があり、評価されたリスクについて、いずれか適切な対応を選択していきます。
例えば、リスクの発生可能性が高く影響度合いが大きい場合や、リスクを適切に管理することが難しい場合などは、リスクの発生原因となる活動を中止するという「回避」を選択することが考えられます。リスクの影響度合いは大きいが発生可能性は高くない場合は、損害保険への加入などリスクを組織外部に転嫁する「移転」の措置を取ることが考えられます。たとえリスクが顕在化しても十分対応が可能と判断する場合や、リスクが許容できる水準以下と想定される場合には、特段の対応を取らずに「受容」を選択することも考えられます。「低減」では、リスクの発生可能性や影響度合いを低くするために、適切な内部統制を構築するなどの対応が取られます。
2.統制活動
基本的要素の3つ目に規定されている「統制活動」について、基準では以下のように記載されています。
| 統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいう。 |
統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続が含まれており、これらは通常の業務の中に組み込まれて、組織内の全ての者によって適切に遂行されることにより機能するものです。統制活動の方針として、全社で標準的・統一的に定めることが適切なものは職務規程等で整備し、部門・活動単位で定めることが適切なものは業務手順等を整備します。この統制活動の方針を達成するため、各業務において、承認、検証、記録等の適切な手続を設定していきます。
経営者は、不正や誤謬等が発生するリスクを減らすために、各担当者の権限及び職責を明確にし、その範囲で各担当者が適切に業務を遂行できる体制を整備していきますが、その際には、職務を複数の担当者で適切に分担又は分離させ、相互牽制を働かせることが重要です。このことは、内部統制を可視化して、不正や誤謬等の発生を抑止する効果があるだけでなく、業務を特定の担当者に属人化させないことにより、担当者の突然の交代等によって組織が当該業務に対応できなくなるといった問題を解消することができます。
なお、1.の「リスクの評価と対応」でも触れましたが、特に業務プロセスのリスクの場合には、主として日常の業務の中に統制活動を組み込むという対応を行うことになります。よって、統制活動においてリスクへの対応策が適切に実行されているかを把握し、うまくいっていない場合など必要に応じて、統制活動の改善を図ることが重要になります。
次回は、「内部統制の基本的要素」のうち、「情報と伝達」以降について確認していきます。
本記事の監修者
業務執行社員 公認会計士 / 公認不正検査士 / 税理士 / 中小企業診断士
髙山 清子SUMIKO TAKAYAMA
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
