本ウェブサイトでは、Cookieを利用しています。本ウェブサイトを継続してご利用いただく際には、当社のCookieの利用方針に同意いただいたものとみなします。
CIA- 2024/06/25公開
内部監査のリスクアプローチとは?リスク評価プロセスと併せて解説
リスクアプローチは、リスクの高い項目に対して重点的に監査資源を投入することで、効果的かつ効率的に監査を進めていく手法です。
本記事では、内部監査のリスクアプローチについて、リスク評価プロセスとあわせて解説します。
目次
監査におけるリスクアプローチ
リスクアプローチと内部監査計画
内部監査におけるリスク評価プロセス
内部監査の実務を体系的に学ぶ方法
リスクアプローチは内部監査にも必須の手法
監査におけるリスクアプローチ
リスクアプローチとは、監査において使われる手法の1つです。組織を取り巻くリスクを特定し、重要性や影響度を評価することで、組織がリスクを理解し適切に対処することを支援する取り組みです。
内部監査だけでなく、財務諸表監査、IT監査や品質監査など様々な監査領域で活用されています。
リスクアプローチの目的は、組織の目標達成を阻害する要因となるリスクを識別し、その影響を最小化することにあります。重要度の高いリスクに重点を置くという特性上、リスクの適切な評価が欠かせません。
リスクアプローチでは、最も重要な課題や潜在的問題に重点を置くため、監査を効果的かつ効率的に進めることができます。人材や時間、コストなど監査にかけられるリソースが限られている場合に有効です。
参照:日本公認会計士協会「会計・監査用語かんたん解説集|リスク・アプローチ」
リスクアプローチと内部監査計画
内部監査におけるリスクアプローチとは、組織が直面するリスクを評価し、それに基づいて監査計画を策定する手法です。
内部監査人協会(IIA)の「内部監査の専門職的実施の国際基準」には、内部監査部門長がリスクベースの監査計画を策定する責任を持つと記載されています。
また、この国際基準によると、少なくとも年に1度実施される文書化されたリスク評価に基づいて内部監査計画を策定しなければなりません。さらに、計画を策定する際は、リスク評価に基づくリスクベースのアプローチが求められています。
これは、限られた監査資源を最も重要な領域に集中させ、組織の目標達成を阻害する要因(リスク)を効果的に識別・評価するためです。
つまり、内部監査に携わる上では、リスクアプローチへの理解が不可欠といえます。
参照:一般社団法人日本内部監査協会「内部監査人協会(IIA)|内部監査の専門職的実施の国際基準」
内部監査計画とは
内部監査計画は、人的資源やコストといった限られた監査資源をより効率的に活用し、組織全体に付加価値を与える監査を行うために作成するものです。
組織が抱えるリスクの評価に基づき、必要性の高い領域の監査を優先する計画を策定します。
年間監査計画に盛り込むべき必須項目は以下です。
| 項目 | 概要 |
|---|---|
| 年間監査方針 | 監査の重点目標とその選定理由 |
| 監査対象 | 監査対象部門や業務とその選定理由 (必要に応じて選定根拠資料を添付) |
| 監査目的 | 監査の評価・点検事項 |
| 監査時期 | 監査の実施時期・期間・日数 |
| 要員計画 | 内部監査部門の人員数 |
| その他の計画 | 必要に応じて下記を記載 ・教育・研修計画 ・経費予算 ・内部監査部門の重点施策など |
必須項目に追加すべき任意項目として、「リスクの評価方法」や「年間監査計画作成にあたっての検討事項」も検討するとよいでしょう。
参照:一般社団法人日本内部監査協会「内部監査実施マニュアル」
内部監査におけるリスク評価プロセス
リスクアプローチとは、リスクの大きな場所に大きなリソースを割く監査方法です。
内部監査でリスクアプローチを実施する際は、リスクの大小を決定づけるリスク評価が非常に重要となります。リスク評価に誤りがあると、リスクアプローチの効果が発揮できないためです。
リスク評価プロセスの主要なステップは次の4つです。
- リスクの識別
- リスクの分析
- リスクの評価
- 残存リスクの明示
リスク評価は組織や外部環境の変化に合わせて継続的に見直すことが必要です。
各ステップについて、詳しく見ていきましょう。
参照:一般社団法人日本内部監査協会「実務指針 5.2 リスク評価に基づく計画の策定」
リスクの識別
組織の目標達成に影響を与える要因をリスクといいます。ここでは、組織の内部・外部の両方の視点からリスクの特定を行います。
外部要因と内部要因で考慮すべき点は以下です。
| 考慮すべき項目 | リスク例 | |
|---|---|---|
| 外部要因 | 政治・経済・社会・法律・技術的革新・環境など | ・景気後退による需要減少 ・法改正への対応 ・社会的価値観の変化 |
| 内部要因 | 資本・財務・技術・経営管理など | ・資金繰りの悪化 ・人材不足 ・システム障害 |
これだけではなく、企業倫理やコンプライアンスなど、内部・外部両方に関係するものも見落としてはいけません。不正行為、情報漏洩、ハラスメントなど、様々なものが考えられます。
また、特定するリスクに漏れが生じないようにすることが重要です。
リスクの分析
次のステップでは、識別したリスクを詳細に分析します。分析は、リスクの範囲・発生可能性・影響度の3つの観点で行います。
| 分析の観点 | 分析内容 |
|---|---|
| リスクの範囲 | リスクが影響を与える範囲 |
| 発生可能性 | リスクが実際に発生する頻度や傾向 |
| 影響度 | リスクが発生した場合に組織に与える損害の大きさ |
リスクの範囲とは、リスクが影響を与える範囲を指します。組織全体に影響を与えるものや限られた業務プロセスに限定されるものなど様々です。
リスクの発生可能性では、リスクが実際に発生する頻度や傾向を分析します。例えば、過去に顕在化したリスクは、再発の可能性が高いと考えられます。また、同業他社などと比較することも有効です。業界内で高い頻度で発生しているリスクは、自社でも発生の可能性が高いといえるでしょう。
リスクの影響度とは、リスクが発生した場合に組織に与える損害の大きさを表すものです。顧客、収益、信用、資産、人命などについて、ステークホルダーや経営資源を考慮した分析が必要です。
リスクの評価
リスクの評価とは、分析したリスクが組織の目標達成に与える影響について判断するものです。それぞれのリスクが持つマイナスの影響(固有リスク)と、リスク軽減のための組織の活動(統制強度)の両面から評価を実施します。
固有リスクに対しては、統制が機能していない状況下でのリスクの影響度について評価します。
一方、統制強度については、内部統制、コンプライアンス、リスク管理、業務プロセスの有効性、法令や社内規程の順守状況などを鑑みた上で適切な評価を下します。
2度目以降の内部監査であれば、前回の監査結果を基準として、その後の変化について評価することが必要です。
例えば前回と比較して、統制強度の向上や新たなリスクの発生などがあった場合、これらを考慮することでリスク評価の精度が向上します。
残存リスクの明示
残存リスクの明示とは、リスク評価の結果を踏まえ、組織に存在する「残存リスク」を明らかにするものです。
具体的には、固有リスクから統制強度を差し引くことで、現在の統制活動で対応できていないリスクを特定します。
つまり、高い評価を受けた固有リスクであっても統制が十分に機能していれば、残存リスクは減少するということです。一方、評価が低い固有リスクでも、統制が不十分な場合は残存リスクが増加します。
残存リスクの明示により、組織が抱えるリスクの全体像が明確になります。残存リスクを可視化した組織全体のリスクマップを作成し、内部監査部門長と最高経営者および取締役会との意見交換に用いることも有効な取り組みです。
内部監査の実務を体系的に学ぶ方法
内部監査の知識を体系的に習得すると、リスク評価プロセスをはじめとする個々の監査手法に精通するだけでなく、変化する実務環境への柔軟な対応が可能になります。
組織の様々な側面からリスクを評価し、より実効性の高い監査を実施するためには、内部監査の専門知識に加えて、財務会計、管理会計、IT、ファイナンス、経営学などの関連分野についても網羅的に学ぶことが必要です。
内部監査の実務に必要な知識を体系的に学習するには、内部監査に関する資格の取得が有効です。自身のスキルアップだけでなく、組織内外から信頼が得られる点でも資格取得は価値があるといえるでしょう。
CIA(公認内部監査人)とは
内部監査の実務を体系的に学べる資格に、CIA(公認内部監査人)があります。
CIAは内部監査人協会(IIA)が認定する世界約190の国で有効な国際資格です。CIAは内部監査人の能力および専門性を証明するものであり、CIAの資格取得者が内部監査を実施することは、企業の信頼性を裏付けることにつながります。
また、CIAの取得は内部監査だけでなく財務会計、管理会計、IT、ファイナンス、経営学などの幅広いビジネス知識を習得した人材の証しになります。
特に欧米諸国での認知度が高いため、日本の企業だけでなく、外資系企業などでグローバルに活躍したい人にとっても魅力的な資格といえるでしょう。
関連ページ:アビタス CIA「公認内部監査人(CIA)とは?取得するメリット、他資格比較」
まずは無料の説明会にご参加ください。
リスクアプローチは内部監査にも必須の手法
リスクアプローチとは、リスクの重要度に応じて監査計画を立案する手法です。限られた監査資源を有効に活用し、効果的かつ効率的な監査が可能になります。
特に、内部監査においては、効率的なことに加え経営層へのニーズにもマッチするため、リスクアプローチが必須の手法とされています。
リスクアプローチを有効にするためには、適切なリスク評価が欠かせません。リスクの識別・分析・評価を行い、残存リスクを明らかにすることで、現状の正確な可視化が可能になります。
内部監査について体系的に学ぶには、CIA(公認内部監査人)などの資格取得を目指すことも有効な手段の1つといえます。
CIA(公認内部監査人)の合格を目指すならアビタス
アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。
講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。
また通学・通信を併用できるコースや、スキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。
CIAをはじめとする内部監査に関する資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。
まずは無料の説明会にご参加ください。
合わせてお読みください
-
最近のエントリー
- カテゴリから探す
-