リスクの洗い出しとは
内部監査を行うに際しての「リスクの洗い出し」とは、監査リソース(時間や人員)を最も重要な分野に集中させるため、組織の目標達成を阻害する可能性のある要因や、内部統制の不備が存在する可能性が高い業務プロセスを体系的に特定し、評価する作業です。これをリスクアプローチと呼びます。
ここでは300人規模の包装資材商社という設定で、リスクの洗い出しの具体的な作業手順を示します。
内部監査におけるリスク洗い出しの手順
リスクの洗い出しは、一般的に以下の4つのステップで行われます。
リスク要因の特定
まず、会社全体を俯瞰し、「どこに、どのようなリスクが存在するか」を特定します。
事業環境・経営目標からのリスク特定
- 外部環境: 業界動向(原材料価格の変動、競合の動向)、法規制の変更(環境規制、独占禁止法など)。
- 経営目標: 達成が困難な目標(例:過度な売上目標)は、不正会計や強引な販売手法のリスクにつながります。
業務プロセスからのリスク特定
会社の主要な業務プロセス(販売、購買、在庫、経理など)ごとに、目標達成を阻害する事象(リスク)をリストアップします。
主要プロセス | 業務上の目標 | 発生し得るリスク(リスク事象) |
販売 | 確実に債権を回収する | 架空売上計上、売掛金の回収不能、不適切な返品処理。 |
購買 | 必要なものを適切な価格で購入する | 不正なリベート受領、取引業者選定の不公平性、二重発注。 |
在庫 | 資産を適切に管理・評価する | 盗難・紛失、帳簿と現物の不一致、不良在庫の評価漏れ。 |
経理 | 財務報告の信頼性を確保する | 費用計上の遅延・漏れ、承認権限のない取引の実行。 |
支店業務 | 本社と同様の統制を行う | 現金・物品の横領、本社ルール無視のローカル運用。 |
リスクマップの作成
評価結果をグラフ化したリスクマップを作成し、リスクスコアが高い領域を特定します。
主要なリスクを特定し、「リスクスコア(影響度×発生可能性)」に基づいて優先順位をつけたリスクマップを作ります。
評価基準
評価軸 | 基準(例:3段階) |
影響度 (I) | 高 (3): 会社存続に関わる重大な損害、上場廃止リスク、大規模なレピュテーション棄損。 中 (2): 財務報告の修正、中程度の法令違反、信用失墜。 低 (1): 軽微な業務ミス、少額の損失。 |
発生可能性 (P) | 高 (3): 常に発生している、または統制が未整備で発生が確実。 中 (2): 過去に発生例がある、または統制はあるが脆弱。 低 (1): 発生頻度は極めて低い。 |
優先度: リスクスコアが高いもの(特に6以上)を最優先の監査対象とする。
リスク一覧と評価
No. | 業務プロセス | リスク事象(リスク要因) | 影響度 (I) | 発生可能性 (P) | リスクスコア (I×P) | 監査優先度 | 備考(監査での着眼点) |
1 | 在庫管理・評価 | 不良・滞留在庫の評価損計上漏れ。 | 3 | 2 | 6 | 高 | 評価ルールの遵守、滞留在庫の識別プロセス。 |
2 | 支店業務 | 支店における売上金や現金の横領・紛失。 | 2 | 3 | 6 | 高 | 現金管理の統制(担当者の分離)、本社による突合チェック頻度。 |
3 | 販売 | 新規取引先に対する信用調査不備による売掛金回収不能。 | 3 | 1 | 3 | 中 | 信用調査規程の遵守、与信限度額の設定プロセス。 |
4 | 経理・財務 | 月次決算処理の遅延や数値の不正確性。 | 2 | 2 | 4 | 中 | 月次決算の早期化状況、責任者のレビュー体制。 |
5 | 購買 | 特定業者との不透明な取引による不正な利益供与・リベート受領。 | 3 | 1 | 3 | 中 | 相見積もりルールの遵守、取引先選定プロセスの透明性。 |
6 | 情報システム | 機密情報(顧客・仕入先)のシステムからの外部漏洩。 | 3 | 2 | 6 | 高 | アクセス権限の見直し、ログ管理、教育研修の徹底。 |
7 | 全社的統制 | 稟議・決裁権限のない者が重要な取引を承認・実行。 | 2 | 2 | 4 | 中 | 稟議書のサンプリング、決裁権限表の周知徹底。 |
8 | 人事総務 | 従業員の時間外勤務や有給休暇管理の法令違反。 | 1 | 2 | 2 | 低 | 勤怠管理システムの記録確認、残業抑制策の運用。 |
監査の優先順位付け
優先度 | リスクスコア | リソース配分 |
高 | 5~9 | 最優先:重点的な監査時間とリソースを割き、深く検証する(No. 1, 2, 6)。 |
中 | 3~4 | 定期的:年間計画に組み込み、規定の遵守状況を中心に検証する(No. 3, 4, 5, 7)。 |
低 | 1~2 | モニタリング:統制が機能しているか書類確認中心とし、現場監査の頻度を下げる(No. 8)。 |
このリスクマップに基づき、内部監査年間計画の重点テーマとして「在庫管理・評価」「支店業務の統制」「情報セキュリティ」が選定されていることが裏付けられます。
既存の統制(コントロール)の考慮
リスクが高いと特定された分野について、現在、どのような統制(ルール、システム、チェック体制)が導入されているかを確認します。
- 統制が不十分な場合: 監査の深度を上げて徹底的に検証する必要があります。
- 例:支店で現金を扱う担当者が、報告書の作成も行っている(統制不備)。
- 統制が過剰/非効率な場合: 監査で「統制の改善」を提言する対象となります。
最終的に、このリスク評価の結果が、内部監査年間計画書の「監査の重点項目」を決定する根拠となります。