組織を取り巻く様々なリスクを適切に管理するためのプロセスとして、リスクマネジメントプロセスがあります。

リスクマネジメントプロセスと一言で表しても、COSO-ERMやISO31000などを見ていると、リスクを適切に管理するという目的は同じでも、その具体的な手法は異なっています。なので、組織体の状況に合致したリスクマネジメントを行わなければなりません。

そんなリスクマネジメントプロセスの中で、特に時間と労力を使用する業務として、リスクの洗い出しが挙げられます。リスクをどこまで洗い出すべきなのか。そもそもどのようなリスクを洗い出すのかなど、考えるべきことが多く、難しいと感じる方も少なくないかと思います。

本記事では、リスクの洗い出しの概要から難しいと感じる理由などについて深掘り、最後にリスクの洗い出しを効果的に行う手法を解説します。リスクの洗い出しについて理解を深めたい方やリスクの洗い出しを見直したい方は是非とも参考にしてください。

目次
リスクの洗い出しについて
どのようにリスクを洗い出すか
リスクの洗い出しを効果的に行う手法

リスクの洗い出しは、内部監査におけるリスク評価プロセスの1つである「リスク識別」において行う業務であり、自社の目標達成に影響を与えるリスクを可能な限り特定します。洗い出すリスクの定義は広く、政治や経済などの外的要因や経営や技術などの内部要因など、自社の各部門の目標達成に関連するリスクであれば、全て該当します。

リスクの洗い出しは、リスクマネジメントプロセスにおいて一番最初の段階で行う業務であり、リスクマネジメントの基盤となります。

参照：内部監査のリスクアプローチとは？リスク評価プロセスと併せて解説｜アビタスコラム

一般的にリスクの洗い出しは難しいと言われていますが、その理由は大きく2点あります。

1点目は、リスクが無数に存在するからです。

自社の目標達成に影響を与えるリスクと一言で言っても、経営戦略上のリスクや財務上のリスクなど、リスクは無数に存在します。全てのリスクに対し、完全なコントロールを敷くことは不可能ですので、最終的にはどのリスクに対応するか選定することになりますが、リスクの洗い出しを行う段階では、無数にあるリスクをなるべく網羅的に洗い出す必要がありますので、それ相応の労力と時間が生じます。

2点目は、リスクの洗い出しはリスクマネジメントのベースとなるものであり、リスクマネジメントプロセスの中で最も重要度が高い業務だからです。

リスクの洗い出しが不十分なまま進んでしまいますと、仮にその次のリスク分析やリスク評価を適切に行ったとしても、洗い出されなかったリスクについては何も行っていないままとなりますので、洗い出されなかったリスクに曝される度合いが下がることはありません。このことから、リスクの洗い出しは時間をかけて適切に行うべきですが、だからといってリスクの洗い出しに多くの時間をかけすぎてしまうと、今度は監査計画の進捗に影響が発生する可能性があります。いかにバランスよくリスクの洗い出しを実施できるかが重要です。

参照：実務指針 5.2 リスク評価に基づく計画の策定

リスクの洗い出し方については様々な手法が存在しますが、基本的な手法としては、リスクを分類し、定量化することが挙げられます。

まずは自社の目標達成に影響を与えるリスクについて、可能な限りピックアップすることです。ピックアップが完了したら、リスクを分類し、分類したリスクを定量化します。リスクの分類方法についてですが、基本的には「範囲」「期間」「発生原因」「発生頻度」「発生状況」などから分類できると良いです。

リスクの分類が一通り完了したら、次はリスクを定量化します。リスクレベルは影響度と発生可能性で測定しますので、影響度と発生可能性の観点から定量化できると良いです。例えば、「発生確率」「被害規模」「対策状況」などはリスクを定量化するための判断基準となるでしょう。

リスクの定量化が完了したら、可能な限り洗い出したリスクを一覧表などにまとめておくことが望ましいです。これにより、企業におけるリスク状況を客観的かつ視覚的に捉えることが可能となります。

まずは無料の説明会にご参加ください。

リスクの洗い出し方の基本についてご理解いただいたところで、次は応用編として、分類と定量化が完了したリスクをさらに分析しやすくする手法について解説します。本来、リスクの分類と定量化が完了した時点で、次のリスク分析段階へ移行しても問題はないのですが、少し工夫をすればリスク分析を効率的に行うことができます。

そのための手法として、今回は「簡易的なリスクマップの作成」を解説します。

リスクマップとは、リスクの発生可能性や影響度をもとに作成するフレームワークです。リスクマップは俯瞰的な視点で洗い出したリスクを分析し、分かりやすく見える化させるためのフレームワークですので、本来であればリスク評価プロセスのリスク分析段階で作成するですが、リスクの分類と定量化が完了した段階であれば、それらの情報をもとに簡易的なリスクマップを作成することができます。

つまり、このタイミングで簡易的なリスクマップをあらかじめ作成しておき、本格的なリスク分析の際には、簡易的なリスクマップに改良を加えて本格的なリスクマップにするという手法となります。

先んじて簡易的なリスクマップを作成するメリットは、リスクを洗い出し損ねることを防止できる点にあります。リスクの分類と定量化が完了している段階というのは、リスクレベルの定義付けと定量的・定性的な表現が完了した段階といえます。

もし仮に、分類したリスクが財務上のリスクばかりの状態で本格的なリスクマップを作成するとすれば、財務上のリスクに特化したリスクマップが完成すると思います。会社の状況や業界の動向などを照らし合わせた時に、そのリスクマップでリスクの洗い出しが完全に出来ていると言い切れるのであれば問題ないですが、リスクマップ上に財務上のリスクしかないことに違和感を感じるなら、リスクの洗い出しが甘い可能性があります。とすると、基本的にはリスク識別段階に戻らないといけなくなりますので、追加的な時間と労力が発生し、効率が悪くなります。

リスクマップの強みは、リスクを分かりやすく見える化できる点にあります。簡易的なリスクマップであっても、いざ作成して当てはめてみると、意外なリスクの偏りに気付き、リスクの洗い出しが甘いことに気付くことが可能です。

また、簡易的なリスクマップは、リスク分析段階で改良する前提で作成するものですので、重複してリスクマップを作成することもなければ、リスクを洗い出し損ねるリスクを減らします。是非ともご活用ください。

参照：Ｒ－Ｍａｐ分析手法を用いた 製品事故のリスクアセスメントについて

リスクの洗い出し方についてご理解いただいたところで、次は実際にリスクを洗い出す際の効果的な手法について解説します。リスクの洗い出す際の効果的な手法は様々ありますが、今回はその中でも特にお勧めしたい手法として3点ピックアップし、解説します。

どの手法も共通して言えるのは、他の部門を巻き込んで行っているということです。内部監査部門だけで自社の目標達成に影響を与える全てのリスクを洗い出すことは極めて困難ですので、他の部門に協力してもらいながらリスクの洗い出しを行っていくことが望ましいです。

1つ目の手法は、アンケート形式によるリスクの洗い出しです。

アンケート形式は、リスクごとにアンケート対象とする部門をピックアップし、その部門に対してリスクに関するアンケートを実施し、その結果をもとにリスクの洗い出しを行う手法です。アンケート形式では様々な従業員を対象にできることから、包括的にリスクの洗い出しを行う際に特に有効です。また、従業員は各々のアイドルタイムなどを活用してアンケートを記入することができますので、他の手法よりも容易に実行できる点がメリットとなります。

但し、アンケートを実施する対象範囲を拡大しすぎると、アンケート結果の集計と選定に時間がかかってしまう点や対象者を適切に選定しないことで、リスクについて誤った意見が出てくる可能性がある点については、考慮しなければなりません。

2つ目の手法は、ヒアリング形式によるリスクの洗い出しです。

ヒアリング形式は、部門長や責任者などのような権限のある者を何人かピックアップし、その方とリスクについて直接ヒアリングする手法です。ヒアリング形式では、対象者をリスクについて理解がある方に限定した上で直接ヒアリングしますので、アンケート形式のデメリットである集計と選定に時間がかかってしまうことはほとんどなく、リスクについて誤った意見が出てくることも少ないです。

但し、ヒアリングするべき内容を誰に対してどのように行うかなどを事前に明確にしておかなければならないため、アンケート形式よりもリスクの洗い出しに時間がかかってしまう点や対象者を限定していることから、リスクについて偏った意見が出てくる可能性がある点については、考慮しなければなりません。

3つ目の手法は、ミーティング形式によるリスクの洗い出しです。

ミーティング形式は、リスクごとに対象とする部門から何名かの従業員に協力を要請した上で、リスクについて議論してもらい、議論の中で生まれた意見からリスクを洗い出す手法です。ミーティング形式では、リスクについて複数人で議論することから、他の形式よりも質の高い意見が出やすい点がメリットとなります。特に、ミーティング形式でリスクを洗い出すのであれば、最初はブレーンストーミング形式でなるべく多くの意見を出して頂くようにし、その後に意見を集約させていく方が効率的です。

但し、ミーティング形式は、時間的要素や人員的要素などの観点から、3つの形式の中で最も相手方の部門に協力して頂く必要があり、事前準備も入念に行わなければならない点について、考慮しなければなりません。

結論を申し上げると、リスクの洗い出しは難しいと感じる要素はあるものの、適切な手順を踏めば、品質の高いリスクの洗い出しを実施することは可能です。

またリスクの洗い出しに限らず、リスクマネジメントを主体的に実行するのは監査対象部門であり、内部監査部門はそのリスクマネジメントプロセスについて監査を行い、価値を付加します。そのため、内部監査部門がリスクマネジメントについて理解を示すことも大切ですが、監査対象部門が適切なリスクマネジメントを実行できるようにすることも大切です。その中でも、リスクの洗い出しというのは、監査対象部門と内部監査部門の知識と経験の違いから、大きく差が出るものです。リスクの洗い出しを効果的に行うためにも、今回解説した様々な手法を踏まえながら、有効的かつ効率的なリスクの洗い出しを行いましょう。

本記事が、何か1つでも参考になれば幸いです。最後までお読みいただきありがとうございました。

アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。

講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。

また通学・通信を併用できるコースや、スキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。

CIAをはじめとする内部監査に関する資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。