告:この論文が2002年「月間監査研究」3月号に「優秀論文」として掲載されました!
近時の事業環境の変化は数年前に比べ、毎年のように激変といっていいほどに変遷している。特に最近の米国で起こった同時多発テロによる世界経済への影響などは複合的なビジネスリスクが存在していることを示している。
一般的には①事業展開のグローバル化、②連結経営、③急激な技術革新とIT化、④会計制度のグローバル化、⑤グローバルな企業競争、⑥コーポレート・ガバナンス(企業統治)など、さまざまな変化が同時期に、且つ、グローバルに進行し、かつて日本企業が経験したことのない事態となっている。また、数年前から始まった生産拠点の日本国内からの海外移転もそれに拍車をかけ、海外と連動しないと経営できない状況にある。まさに近時の状況は、企業がグローバルなビジネスリスクに対応しなければ事業継続が困難な状況に追い込まれることを示している。換言すれば、ビジネスリスクをどのようにマネジメントするかが重要な経営課題となっているともいえる。
それでは、かかる状況下において、ビジネスリスクとは何であろうか。リスクを内部監査との関係でどのように捉えるか問題となる。
リスクは、一般的に、危険性とか不利益な要因と捉えられてきた。
一方、内部監査人協会(IIA)は、内部監査におけるリスク(目的達成に関して理解される組織体のリスク)について、「ある事象または行為が組織体または活動に不利な影響を及ぼす可能性」(1998年版『内部監査の専門職的実施の基準』520.04.2)と定義していたが、最新の2000年12月の改定で「目標達成に影響を持ちうる事象発生に関する不確実性」と定義し直している。
なぜなら、内部監査が対象とすべきリスクが変化し、リスクは回避すべきものだけでなく、リスクはマネジメントすることでビジネスに肯定的影響(リターン)も与え得るという見方が出てきたからといえる。
近時、日本でグローバルスタンダードに基づくリスク評価を取り入れて、実践的に運用がなされている。この中で金融庁は「金融検査マニュアル」の目的を次のように指摘している。
①当局指導型から、自己管理型へ
「金融検査は、自己責任原則に基づく金融機関自身の内部管理と会計監査人等による厳正な外部監査を前提としつつ、これらを補強するものである(補強性の原則)。したがって、当局は、検査を通じて、まず自己責任原則に基づく内部管理・外部監査が適切に行われるよう、強く促していく必要がある。また、検査においては、これらの管理・監査が適切に行われることを前提に、管理・監査体制のプロセス・チェックを中心とした事後監視型チェックに重点を置くこととする。」
②資産査定中心から、リスク管理重視へ
「リスクの分散は、金融機関の本源的な機能の一つであり、金融機関の役割は、適切なリスク管理を行ないながら必要なリスク・テークを行っていくことにこそある。(中略)資産査定は、金融機関の業務の健全性を確保する観点から、引き続き重要な要素であり続けるものの、今後は、広く、適切なリスク管理態勢の確保という視点からの検査も実施していくこととする。」
このように、
①自己責任原則に基づく内部統制制度(内部監査によるモニタリングも含む)、
②リスク管理の重視〜リスクアプローチの二点をポイントにしてマニュアルが作成されている。ここでも、現在の潮流となっているリスク・マネジメントと内部監査というキーワードが中心課題になっている。
「金融検査マニュアル」では、リスクを次の5つに分類している。
(a)信用(=与信)リスク
信用供与先の財務状況の悪化により、資産の価値が減少ないし消失するリスク
(b)市場リスク
金利、有価証券等の価格、為替等のさまざまな市場リスク要因の変動により、保有する資産の価値が変動するリスク
(c)流動性リスク
財務内容の悪化等により必要な資金確保ができなくなり、資金繰りがつかなくなる、もしくは高い金利での調達を余儀なくされる資金繰りリスクや市場の混乱等により取引ができなくなり、不正な価格での取引を余儀なくされる市場流動性リスク
(d)(情報)システム・リスク
コンピュータシステムのダウンまたは誤動作等、システムの不備等に伴い金融機関が損失を被るリスク、更にはコンピュータが不正に使用されることにより金融機関が損失を被るリスク
(e)事務(=業務)リスク
役職員が正確な事務を怠る、あるいは事故・不正を起こすことによって損失を被るリスク
従来は、事務のミスによる損失の発生を軽減するために、事務リスクを主眼としていた。
しかし、巨額の金融不正事件(1995年1月ベアリングス銀行シンガポール支店事件、同年7月大和銀行ニューヨーク支店事件)やデリバティブ取引による投資会社の破綻など、金融機関の内部管理体制が問題となった。
特にベアリングス銀行事件では銀行自体が破綻し他の金融グループに身売りをする事態も招いている。イギリス王室の銀行としての長年の信用と233年の歴史が職務分離(フロント・ミドル・バックという内部牽制)を怠って、たった1人の金融マネジャーに取引権限を集中させたために銀行倒産にまで至った。この事件では、後述するさまざまなビジネスリスクが複合しており、有効なリスク・マネジメントと内部監査が機能していれば防げた可能性が高かったと言われている。
そこで、「金融検査マニュアル」は、内部管理体制を強化して欧米型のリスクアプローチによる内部管理体制と内部監査の充実を図ろうとして、リスクベースで金融機関の内部統制を構築しようと企図した。
では、金融機関以外の事業会社の場合には、どのようなビジネスリスクの分類が考えられるのだろうか。監査法人のコンサルタント会社のリスクモデル(たとえば、アンダーセンのBusiness Risk Modelなど)もある。「金融検査マニュアル」にはの5分類(分類名は一部異なる)が含まれており、私は、事業会社特有のものとして、3分類を追加して考えたいと思う。以下にその3分類を示す。
(f)経営リスク(Business/franchise Risk)
経営者がその資質や知識および正確な経営情報の欠如により、組織にとって不利益な決断や取引を行なうリスク、また、組織の経営者または従業員が違法な行為や取引を行なったことにより、会社の名誉や信用が損なわれるリスク
(g)会計リスク(Accounting Risk)
組織の取引情報等が正確且つ迅速に収集できないことにより、財務諸表が組織の経営実体を的確に反映しないリスク、また、管理体制が構築されていない為に故意または過失による財務諸表上の重大な誤謬が発見されず、財務諸表が組織の経済活動を正確に反映しないリスク
(h)法務リスク(Legal/Compliance Risk)
従業員が遵守する法律や規則の無知または意図的に違法な行為・取引を行ない、それにより組織または経営者が民事的・刑事的制裁を受けるリスク、また、組織が従業員による違法な行為・取引の発生を防止および管理できないことによるリスク
このリスクのうち、「経営リスク」は、内部監査の限界事例であり、会社の機関そのものを見直す過程で「コーポレートガバナンス(企業統治)」とセットで考えなければならないリスクと考え、別途後述する。他の2分類は「金融検査マニュアル」が許認可法人である金融機関に対する当局の検査の為に作成されたマニュアルであるという性質上、当然の前提としているので、敢えてリスクに上がっていない。
注意すべき点は、これらのビジネスリスクを経営目標達成のためにどのように組織体のリスクとして、リスク・マネジメントするのかということである。マネジメントという視点が「金融検査マニュアル」と事業会社のビジネスリスクの捉え方に違いがあると考えることができる。
事業会社のビジネスリスクはマネジメントの視点で捉えると前述したが、次にリスク・マネジメントは何かを理解する必要がある。
前述したように、リスクは、従来、組織体の目標達成を困難にするマイナス要因と理解されていたので、リスク管理=リスク回避と捉えていた。しかし、リスクは不確実性であり、リターンを含むプラス要因という側面も持つ不確実性と理解されるようになってからは、経営目的達成の為に適切な軽減策を講じながら慎重にリスクをテークことで、リターンを最大化するというリスクバランスそのものをリスク・マネジメントというのが適切ではないかと考える。
先述した通り、事業環境変化、リスクの捉え方の変遷、ビジネスリスク分類などリスクをマネジメントすることは、企業という組織体の目標達成にとって重要で、そのようなリスク・マネジメントがなされているか否かが企業価値を決める要因になりつつあるのが、グローバル化した現在の企業が置かれた状況である。即ち、急激に変化する企業の目的・目標に関係するリスクを軽減し、コントロールすれば、自ずと企業価値が上がり、他社差別化できるということである。
したがって、企業にとってリスク・マネジメントに成功しているかどうかがグローバル・コンペティション(国際的企業競争)を勝ち抜く大きな戦略になりつつある。
ところで、リスク・マネジメントには、①リスクが評価されるプロセス、②リスク評価と対応したリスク・コントロールの2点が含まれていることが必要であると言われている。
以下に、リスク・マネジメントのステップ(1)〜(4)を概観し、なぜ上記2点が必要かを考えてみたい。このステップは内部監査におけるリスクアプローチとは本質的に異なるが、経営者のリスク判断プロセスとして重要で、一部のアプローチは内部監査のそれと類似している。
経営者は、組織体の目標・目的を設定し、それに対するビジネスリスクのビジョンと許容水準・制限・限度を明確にする。ビジョンの明確化とは、全社レベルおよび事業部門毎のリスク・マネジメントのあるべき将来像を示すことである。許容水準・制限・限度の明確化とは、企業がどのような場合にビジネスリスクをテークするのかを区分するツールを示すことである。
ビジネスリスクの評価には、3つの内容(洗い出し・測定・評価)が含まれる。
① 洗い出しとは、組織体の目標・目的を達成するためにマネジメントすべきビジネスリスクを抽出することである。ビジネスリスクを特定するには、先述した8分類のビジネスリスクのカテゴリーがフレームワークとなる。
② 次に、ビジネスリスクを測定する。測定とは、そのリスクをコントロールしない場合の固有のリスク(IR: Inherent Risk)とコントロール後のリスク(CR: Control Risk)の影響度と発生頻度を測定することである。
③ 最後に、測定されたリスクを「リスクマッピング」技法により、影響度(又は相対的重要性)と発生頻度(又は発生可能性)で縦軸横軸に4分割で配置し、ビジネスリスクの優先順位を決める。これがリスク評価である。
ビジネスリスクの評価が終ると、(1)で経営者により示された許容水準・制限・限度に従って、優先順位の高いリスクからどのリスク・マネジメント戦略(保持、軽減、移転、活用、回避)を適用するかを立案する必要がある。
保持とは、ビジネスリスクを現在の状態に維持することである。受け入れや自家保険が典型例である。
軽減とは、リスクの発生頻度と影響度を極小化するためにコントロール(統制)することである。内部統制が有効に作用する場面である。
移転とは、ヘッジ、保険、提携などで潜在的リスクをエクスポートしてしまうことである。
活用とは、現在のビジネスリスクを増大させることを決断し、リスクを伴うが付加価値を増す機会を選択することである。
これらの選択後に、リスク・マネジメントを実施する組織を決定し、アカウンタビリティ(説明責任)の設定も行なう。これにより内部統制制度が設計されて実施段階に入る。
モニタリングとは、内部統制制度を設定された組織が職務の分離(内部牽制)について行なうだけでなく、このようなリスクアプローチによる評価・設定された内部統制システムの妥当性・有効性を監視することであり、内部監査部門の本質的役割である。
以上から理解できるように、リスク評価を行ない、リスクに対応した内部統制が設定(アカウンタビリティを含む)されることがビジネスリスク・マネジメント・プロセス(BRMP)の重要部分そのものである。更に言えば、内部監査の対象とする内部統制がリスク評価に対応していないとすれば、組織体の目標達成に影響を与えるビジネスリスクをマネジメントしたとは言えないとも言いうる。
ビジネスリスク、リスク・マネジメントを内部監査の視点を踏まえて先述してきたが、それらの環境変化・要因を今後の内部監査に生かすにはどのような内部監査であるべきか。リスク・マネジメントにおける内部監査の在り方が問題となる。
内部監査の在り方を考える切り口として、内部監査の役割についての歴史的変遷を鳥瞰することが理解の便宜になると考える。欧米で発達した内部監査は概ね、次のような4世代に分けて概括することができる。
①第一次世代(1980年代以前)
この時代の内部監査は、概して所定の方針や手続きに準拠しているか、即ち、コントロールを重点として既存のプロセス・手続き・管理活動を対象とする準拠性監査であった。
②第二次世代(1980年代)
既存のコントロールを準拠性から監査する時代は終り、80年代以降はあるべきコントロールが存在するのか、即ち、コントロール・フレームワークへ内部監査の重点がシフトした。準拠性と整備状況・運用の有効性の監査といえる。
③第三次世代(1990年代)
企業の不正事件・金融危機など、さまざまなビジネスリスクが頻発した90年代は、ビジネスリスクを軽減するためにどのようなコントロールが整備・運用されているか、その有効性・準拠性の監査が行なわれるようになった。ビジネスリスクが内部監査の重点項目に登場してきたのである。90年代後半には、先述したように、内部監査人協会(IIA)の「内部監査の専門職的実施の基準」が制定され、98年版でリスク評価を監査対象・範囲を決定するプロセス(実施段階は含まない)に取り入れている。
④第四次世代(2000年代)
これからの内部監査はどうなるのか。これは専門家の議論の最中であるが、専門家は、企業がその主要なビジネスリスクを管理するために使用するビジネスリスク・マネジメント・プロセス(BRMP)の有効性の監査が内部監査の重点項目になり、将来的には、内部監査部門自身がリスク・マネジメント体制の一部になると予想している。
それを裏付けるかのように、内部監査人協会(IIA)は、2002年から有効になる次のような新基準を制定した。
「内部監査は、組織体の運営に関し価値を高め、また改善するために行なわれる、独立にして、客観的な保証および診断的な活動である。内部監査の目的は、組織体の目標達成に役立つことである。このために、内部監査は、体系的方法と規律遵守の態度とをもって、リスク管理、コントロール、組織体の統治プロセスの有効性を評価し、改善する」
まさにビジネスリスク・マネジメント・プロセス(BRMP)をモニタリングすることを内部監査人の職業的ミッションとしている。
前述の通り、世界の内部監査の現状は、リスクアプローチが主流である。
では、日本企業の場合はどうであろうか。一部のグローバル企業を除き、大半の企業は、前述の第二次世代を卒業して第三次世代にまさに入ろうとしているのが内部監査実務の現状で、内部統制の整備・運用の有効性と準拠性を主眼にして、急速に進んだIT化と子会社のグローバル化に対応しようとしている。このことは、内部監査実務において、重要なビジネスリスクをリスク評価(洗い出し・測定・評価)できすに潜在的危険性が内在したままに通常の内部監査が進行している可能性があることを意味する。多少なりともその可能性に気がついた企業から、監査対象・範囲の選定段階のリスクアプローチ監査を実施し始めているのが現状と思われる。
その点、2000年度の「監査白書」では、経営上のリスク評価を内部監査部門が実施していると回答した割合は42.3%であるが、監査テーマの選定に当っての手がかりにリスク評価を上げた割合は15%に止まる。85%がリスク評価に依らずに監査テーマの選定をしている実態がある。監査対象・範囲の選定段階でもリスクアプローチが日本企業では少数派であることを示している。
では、リスクアプローチに基づく内部監査とはどのようなものであろうか。
内部監査におけるリスクアプローチは、監査対象・範囲の選定段階におけるものと内部監査の実施段階におけるものとの二種類のアプローチがある。
たとえば、全国の営業支店から東京支店を選定するアプローチを行ない、実施段階で東京支店のどこにビジネスリスクがあるかをリスクアプローチするという形になる。
具体的なアプローチは先述したリスク・マネジメントのリスク評価手法(先述の【2】3.(2)参照)を適応すれば可能と思われる。
この点、内部監査人協会(IIA)は、98年度版「内部監査の専門職的実施の基準」520.04.1において、監査対象・範囲選定段階のリスク評価のプロセスを3段階で示している。
つまり、「基準」は
①監査の対象とし得る活動の識別、
②関連するリスク要因の識別、
③それらの相対的重要性の評価、 で行なうとしている。リスク要因とは、「組織体に不利な影響を与えるかもしれない状況・事象が発生する可能性の相対的重要度または見込みを知るために用いる規準」をいうので、リスクの影響度と発生頻度を測定する作業とみてよい。
とすれば、リスク・マネジメントの項目で述べたリスク評価手法で十分対応可能である。
ただ、実務的にはもっと簡便なチェックリスト点数化方式を採用してリスク評価をしている企業もある。いずれにしても、このアプローチで重要なのは、被監査単位のビジネスリスクが漏れなく抽出でき、監査すべき対象が優先順位づけされて監査資源の投入が効率的になされているかがポイントである。
【1】2.(3)(a)で「経営リスク」については、コーポレートガバナンス(企業統治)との関連で論じる必要性を述べた。現在の内部監査は、内部統制の妥当性と効率性を評価し助言・勧告を行なうモニタリング活動である。内部統制の観点からみれば、経営者が受託者に目標とゴールを設定して権限委譲したことに対応して発生するアカウンタビリティ(説明責任)をモニタリングし、権限委譲の意図に沿っている場合にその説明責任を解除する活動でもある。このような内部監査のミッションからすれば、経営者および取締役会が設置した内部統制から外れたガバナンス部分を対象にモニタリングを行なう状況は、内部監査には含まれていないし、自己矛盾を起こしてしまう。
しかし、先述した、内部監査人協会(IIA)の新基準(2002年から適用)を見てもわかるように、組織目標の達成に役立つように、「リスク管理、コントロール、組織体の統治プロセスの有効性を評価し、改善する」ことが内部監査の目的と再定義されている。これは、欧米諸国では内部監査部門が組織体の本質的機能でありつつ、ガバナンスの監視を担当する「監査委員会」にそのレポーティング・ラインがあるという組織体内の強固な独立性を内部監査部門が保証されているという背景があるからである。
日本でも、平成14(2002)年の商法改正中間試案においては、取締役会を監視機能に専念させて業務執行は執行役を置き、監査役に代わる機関として、過半数の社外取締役で編成される監査委員会を取締役会の機関に設定する選択案が採用されようとしている。当然の事ながら、監査委員会が執行役の業務執行を監査するといっても、往査によって詳細な実査が可能な訳ではなく、内部監査部門の報告と外部監査人(監査法人など)が重要なモニタリング判断の源泉情報となる。
とすれば、取締役会が執行役に権限委譲した業務内容のリスク・マネジメント、内部統制、その企業統治を内部監査人がモニタリングして、執行役のアカウンタビリティ(説明責任)の解除を行なうための根拠となる客観的保証を行なうことが求められているのではないかと考える。
これまでを総合して考えてみると、次のように「在り方」について結論付けできると考える。即ち、リスク・マネジメントとの関係における内部監査のあり方とは、ビジネスリスク・マネジメント・プロセス(BRMP)に監査対象をおきつつ、そのプロセスに含まれるコントロール(統制)やガバナンス(統治)を全体としてリスクアプローチ監査するということである。
具体的には、被監査単位の選定段階と、その被監査単位が行なっているリスク・コントロールの実施段階と、の双方の段階でリスク評価し、ビジネスリスクの洗い出し・優先順位付けを行ない、コントロールやガバナンスの有効性の判断と改善の提言を行なうことで組織体の目標達成を図るという姿が求められているのではないかと考える。上述のガバナンスとの内部監査の関係からもそのように理解できる。
しかし、実務は先述の第三次世代に突入したばかりの状態である。また、組織体内の理解も一様ではない。このような状況の中では、次のような取組みが重要ではないかと考える。
①ビジネスリスクの共有化を主眼に監査役および外部監査人との役割分担と連携を強化する。
②実際の通常監査計画において、当面は監査対象・範囲段階のリスク評価を行ない、実施段階の分析的技法の中にリスク評価も取り入れていく。
③経営の緊急重要テーマ(新規投資、子会社経営など)について被監査単位が判断したビジネスリスク分類、ビジネスリスク・マネジメント・プロセス(BRMP)のリスク評価をコンサティング活動として行ない、経営者にビジネスリスクの評価に関する内部監査の役割について認識・理解を得る努力を行なう。これらの観点からのスタートが一見して回り道のようでも、「在り方」への近道となるのではないかと考える。
以上
【参考文献】
David McNamee著「ビジネスリスク評価の実務」内部監査人協会
朝日監査法人著「図解・リスク・マネジメント」東洋経済新報社
ニックリーソン著「私がベアリングス銀行をつぶした」新潮社
井口俊英著「告白」文芸春秋
「月間 監査研究」2001・4月号、5月号、9月号