企業活動を行う上で、リスクを避けて通ることはできません。会社を継続的に存続させるためにはそのリスクをできるだけコントロールし、リスクが発生したとしても、問題を大きくさせないようにすることが求められます。
そのことを一言でいうと「リスクマネジメント」です。会社にとって「リスクマネジメント」の重要性は高いものになっています。
昨今、内部監査部門においても会社のリスクマネジメントの状況の監査は求められる世の中になってきています。
そこで、今回のブログではリスクマネジメントの基礎的な理解と具体的な「リスクマネジメント」に対する監査方法について解説いたします。
リスクマネジメントとは
災害、事件や不祥事等によって企業活動に影響を受けるのを避けて通る事はできません。
今まで、地震や台風等により企業活動に影響があった会社も多かったのではないかと思います。
自然災害は完全にコントロールすることは難しいですが、何もしないというわけにもいきません。
特に東日本大震災後、BCPを策定する会社が増えました。
BCPとは事業継続計画(Business Continuity Plan)の頭文字を取った言葉です。
企業が、ある危機的状況下に置かれた場合でも、重要な業務が継続できる方策を用意し、生き延びることができるようにしておくための戦略のことですが、危機的状況とはテロや、システム障害や不祥事といったものから災害も含まれます。
特に災害はいつどこで起こるかわかりません。日本中で地震が起こるリスクがあり、予測の技術も確立されていません。また、被害が出るような大きな台風や大雨等も毎年のように発生しています。会社としてこれらのリスクに立ち向かわなければなりません。
リスクに立ち向かうためには、BCPのように「リスク」をできる限りコントロールして、被害を抑えるような対応をとる必要があります。
これを「リスクマネジメントと呼びます。内部監査部門としては会社が「リスクマネジメント」を行っているか監査することになりますが、「リスクマネジメント」を理解しなければ監査はできませんので、まず、リスクマネジメントの流れを確認しましょう。
リスクマネジメントの流れ(特定・分析)
上記のように会社として災害リスクの発生は避けて通れないことであり、会社にとっても重要なことですので、内部監査部門として災害に対する会社の方針・対応等の監査は、重要なテーマの一つです。
では、具体的に内部監査部門としては何をすべきかですが、上記の「リスクマネジメント」を会社として行っているか注目すべきです。監査するためには「リスクマネジメント」の進め方を理解しておくべきです。
今回は災害という切り口で具体的に「リスクマネジメント」をどのように進めるのか見てみましょう。
■特定
まずリスクの特定が必要です。リスクの特定とは、リスクを発見する作業となります。
会社にとって起こる可能性が0%の災害リスクは考慮する必要はありませんが、今までの自社での災害に伴う影響や、他社で発生した事例、拠点の場所の発生可能性等色々な情報・色々な部署からの情報をもとに発生可能性のある災害リスクを一旦、すべて項目化していきます。
■分析
リスクの特定で洗い出された各種リスクを、その「影響の大きさ」と「発生確率」の両面から分析・算定します。
分析・算定方法は、一般的には「影響の大きさ」×「発生確率」という計算式で算出します。
「影響の大きさ」としては、その災害が発生した場合の会社の損失額、一方「発生確率」は年間発生する回数を掛け合わせることにより、算出することができます。
「影響の大きさ」が小さければ問題が小さいとは一概に言えません。「影響の大きさ」が小さくても「発生回数」が年に何回も発生する可能性があるのであれば問題が大きいと言えます。
例えば、台風が来て発生する損害が小さい場合であっても日本中に拠点があると、被害が出る可能性が高まり、発生回数が増えます。その場合、問題が大きいとなる場合もあります。
このように、会社が営んでいる事業、規模、拠点数によっても大きく異なることになりますので、しっかりとした分析が必要です。
リスクマネジメントの流れ(評価・対応)
■評価
分析の次は「リスク評価」となります。
もし、分析した順番で「リスクの対応」をした場合、優先すべき項目が後回しになり、問題が大きくなる可能性があります。
そうならないため、リスクマネジメントの本来の目的である「リスク対応」に進む前に大事なリスクを絞り込み、優先順位を付けて処理する必要があります。
「リスク評価」の具体的な方法としては、表に分析結果を入れ、優先順位が決めれるように「見える化」します。
以下の表が一例です。このような表を利用し評価を行い優先順位を明確にします。
■対応
「リスク分析」から得た「リスク評価」を基に、正しい対応方法を定めて実施することを「リスク対応」といいます。
具体的な対応策はいくつかありますが、一番多いのは「リスクの軽減」です。
影響度や発生可能性の軽減のための対策を行います。リスクを0にすることはできませんが、軽減することは可能です。例えば、レンタルサーバ提供サービスを事業としている会社がデータセンターを建設する場合、振動に弱いサーバーのために、できるだけ地震の発生が少ない土地に建設するということも「リスクの軽減」ということになります。
他にも対応策として「リスクの移転」というものがあります。保有するリスクを外部に委託、または保険等によって、委託先やサプライヤーにリスクを移転させるということです。
このように、リスクマネジメントはリスクを特定・分析・評価・対応する一連の流れのことを言います。
今回は災害という切り口で見ましたが、他の要素についても基本的に同じ流れになります。
リスクマネジメントについての監査方法
リスクマネジメントは、継続的に行うことが重要です。リスクはその時々で変化していきますので継続して行わないと、無意味なものになる可能性もあります。
災害で大きな損害を被った事例のその後を見ると、対策が風化していた、見直しがされておらず問題が大きくなったといった指摘が多く聞かれます。
そのような事態にならないように、内部監査部門としては、会社としてリスクマネジメントがうまく機能しているか監査する必要があります。
上記のリスクマネジメントに必要な「特定」「分析」「評価」「対応」が適切に実施されているかを確認しなければなりません。
「リスクマネジメント」は一部の人間がすることではなく、会社全体で対応すべきであり会社として「特定」「分析」「評価」「対応」したという証跡も残すべきです。
リスクマネジメントの監査の具体的な項目としては、以下になります。
・リスクマネジメント体制の確認
監査例:社長をトップとした部署横断する「リスクマネジメント委員会」等の設置の確認。
リスクマネジメントに関する規程の整備状況の確認
・リスクマネジメントを行っていることがわかる資料の確認
監査例:リスク評価資料の確認。リスクマネジメント委員会の議事録の作成状況と内容の確認。
・「特定」「分析」「評価」の後の「対応」の確認
監査例:リスクマネジメントの対応策が現場に周知されているか。また、その対応策の実施状況の確認。
現場でのリスクマネジメントに対する意識の浸透度の確認。
・リスクマネジメントの継続的実施の確認
監査例:定期的なリスク評価資料の更新の有無。(新たなリスクの検討・現在認識しているリスクの再評価等)
今回は災害を例に「リスクマネジメント」の流れの解説と「リスクマネジメント」の監査ポイントをお伝えいたしました。
増々、企業は「リスクマネジメント」を行うことが求められています。そして、内部監査部門としては会社全体にかかわり監査しづらいテーマでありますが、「リスクマネジメント」について理解できれば監査はできると思いますのでぜひ参考にしていただき、監査につなげていただきたいと思います。
まとめ
リスクマネジメントとは
「リスク」をできる限りコントロールして、被害を抑えるような対応をとること
「リスクマネジメント」の流れとしては「リスクの特定」→「リスクの分析」→「リスクの評価」→「リスクの対応」
リスクマネジメントの流れ
①特定
会社で発生するリスクを発見し、一覧化する。
②分析
洗い出された各種リスクを、その「影響の大きさ」と「発生確率」の両面から分析・算定する。
③評価
「リスク対応」に進む前に大事なリスクを絞り込み、優先順位を付ける。
④対応
「リスク分析」から得た「リスク評価」を基に、正しい対応方法を定めて実施する。
リスクマネジメントに対する監査ポイント
・リスクマネジメント体制の確認
・リスクマネジメントを行っていることがわかる資料の確認
・「特定」「分析」「評価」の後の「対応」の確認
・リスクマネジメントの継続的実施の確認
企業は「リスクマネジメントを行うことが求められている。
そして、内部監査部門としては会社全体にかかわり監査しづらいテーマだが、「リスクマネジメント」について理解できれば監査は可能である。