3/5【COSO:5回シリーズ(第3回)】 内部監査人は、なぜCOSOを理解・習得する必要があるのか
※本稿「リスク管理と内部統制の違い」は、今回のシリーズで最もお伝えしたい論点です!
第1回:はじめに(健康診断のメタファー)
1/5【COSO:5回シリーズ(第1回)】 内部監査人は、なぜCOSOを理解・習得する必要があるのか|TAIZO (note.com)
第2回:COSOの特徴と内部監査人にとっての重要性
2/5【COSO:5回シリーズ(第2回)】 内部監査人は、なぜCOSOを理解・習得する必要があるのか|TAIZO (note.com)
第3回:リスク管理と内部統制の違い
COSO内部統制ー統合的フレームワーク(2013)では、COSO全社的リスクマネジメントー統合的フレームワーク(2004)(※最新版は2018)との比較の文脈で、ガバナンス、全社的リスクマネジメント、内部統制の関係を以下の図表で示しています。
【関係図】
この図表より、3者は以下の関係にあることが読み取れます:
● (企業・組織の)ガバナンスが最も大きな枠組みとして全体を包含している。
● ガバナンスの中に全社的リスクマネジメント(ERM)が位置付けられ、ERMはガバナンスの一部として機能している。
● 全社的リスクマネジメント(ERM)の中に内部統制が位置付けられ、内部統制はERMの一部として機能している。
以上を踏まえると、内部統制がリスク管理の一要素であり、リスク管理がさらに広範なガバナンスの一部であることが言えます。
次に、リスク管理と内部統制の関係(差分)について、より深く掘り下げていきます。ここからが、本稿の肝になります。
リスク管理プロセスには、一般に以下のステップが含まれます:
●リスクを識別し、
●リスクを評価し、
●リスクの優先順位付けを行い、
●リスクへの対応を行う
・リスクの回避
・リスクの受容
・リスクの低減(「内部統制」など)
【リスク管理と内部統制の関係図】
リスク管理プロセスに含まれるステップを考慮した、内部統制の位置付けは以下の通りです。
多くの場合、内部監査の対象は、上図の右下の点線箇所のうち、リスクを低減するための内部統制を焦点にしているでしょう。
しかしながら、ご覧のように、内部統制の他にも、リスク管理の観点からは、以下のように様々な論点が浮かび上がります(※さらには、ガバナンスの観点からも様々な論点があります)
(例)
・想定される主要なリスクは適切に識別されているのか?
・リスク評価やリスクの優先順位付けは適切に実施されているのか?
・主要なリスクが受容されている場合、何もしないでリスクを受け入れても問題は生じないか?
以上、これまで、仮に内部監査の対象を、既存の内部統制を中心としている場合には、そもそもの内部監査の対象範囲(監査スコープ)を改めて見直すことを推奨します。
上記のようにリスク管理プロセスにも目を向けることこそがリスクアプローチなのです。
リスクアプローチで監査リスクを抑え、内部監査の付加価値を最大化する|TAIZO (note.com)
リスクアプローチ監査を実践することによって、内部監査は監査対象部門に価値ある気付きを提供することにつながるのです。
第4回:COSO内部統制フレームワークとは
第5回:COSOフレームワークの活用(例:情報漏洩リスクへの対応)
さいごに(まとめ)
【おまけ】自己評価チェックリスト
この記事が気に入ったらサポートをしてみませんか?