第2回から3回にかけては、リスクアセスメントについてご説明します。リスクの動きが速い業界ということもあり、リスクに対して反応しやすいプロセスを志向しています。
情報の棚卸
私は、リスクアセスメントを行う前に、自社の置かれた環境についての情報を四半期毎に棚卸しています。
内部監査活動のPDCAサイクルは「リスクアセスメント」を「P」としているものがほとんどでしたが、10数年前から「P」の中に情報整理の位置づけとして「コンティニュアスモニタリング[1]」「オフサイトモニタリング」等の名で情報整理のプロセスを設計する会社が増えてきました。定義も名称も確定していないと思いますので、一旦「環境モニタリング」とします。
[1] 通常「継続的(コンティニュアス)モニタリング」は内部評価に定めがある品質評価活動を指します。
「環境モニタリング」の目的は、事業環境、ステークホルダーの期待水準、組織体の業務やリスクの所管等に変更がないかを整理することで、内部監査対象領域(オーディットユニバース)を識別し、リスクアセスメントの対象となる「リスクの一覧」や内部監査でリスクを評価する際に必要な「評価軸」の更新を行うことにあると考えています。
リスクアセスメントでは、組織体の業務から対応するリスクを洗い出すことが一般的だと考えますが、まず最初に業務をしっかり洗い出しておくことで、最終的に漏れのないリスクの識別(網羅的な一覧化)を行うことが可能となります。
私は、まず「業務分掌」を基に業務を想定のうえで、各部門責任者へのインタビューを実施し、そこで新たな業務や施策、組織変更に伴うリスク所管の変更等についての情報を収集し、「業務分掌」の情報を更新しています。なお、所管が不明なリスクや重複するようなリスクがあれば、経営陣に報告の上、業務分掌を所管する部署に連携し、整理を求めています。
特に新しい環境の変化は「新たなリスク」を識別する機会ともなります。今まで識別されていなかった新しいリスクには、責任者が割り当てられず、統制が整備されていない場合もあり、固有リスクがそのまま顕在化するおそれがあるため、私はこのようなリスクを「新興リスク」と考え、特に注意しています。
「環境モニタリング」では、外部環境、内部環境、規制環境の3つに整理することが有効であると考えています。
・外部環境
新規参入等含め同業他社の動向、テクノロジーの変化、暗号資産の仕様変更(ハードフォーク等)等を対象とします。広く地政学リスクに区分されるものや、ここ最近では新型コロナウィルスに係るリスク・労働環境の変化等も含みます。
テクノロジーの観点では、例えば、昨年「米グーグルは、量子コンピューターで「量子超越性」の実証に初めて成功した」と報道されました[2]。量子コンピューターが実用化されることで、「公開鍵暗号方式」を前提とするブロックチェーンのセキュリティに大きな影響を与え得るといわれています。今回は直ちに対応が必要ということはなかったのですが、内部監査としては、基盤となる技術に対する脅威についての情報は早めに収集し、時機を見て社内の対応状況の検証に繋げていく必要があると考えます。
[2] 出典:2019年10月24日 BBC Japan「米グーグル、「量子超越性」を実証か ライバルは懐疑的(https://www.bbc.com/japanese/50162705)」
・内部環境
組織変更、新規サービス・商品開発、システム開発等プロジェクト、外部委託先の新規・変更等を対象としています。特にリスクの所管が変更となる場合には、狭間に落ちてしまうリスクがないか、統制の所管が一致しているか等の情報を整理します。
・規制環境
法・規制、各種ガイドライン(基本方針、監督指針等)の改訂等を対象としています。個人情報保護やマネー・ローンダリング等は社会的な関心が高まるとともにその管理に対する期待水準が高まってきています。これは内部監査の評価基準自体の引き上げにつながるため、捉え忘れると本来ギャップとして課題を認識すべきものを漏らしてしまう恐れがあります。
リスクアセスメント
用語や概念の整理は「内部監査のリスクアセスメント(リスク評価)」を確認いただければと思います。
上記コラムで「リスクアセスメントに決められた方法はありません。」とある通り、組織体の保有するリスクの特性、内部監査のリソース等により手法や更新の頻度等をそれぞれ決めていくことが重要であると考えています。
暗号資産交換業は、他の業界との比較においても環境の変化が大きく、また速い業界といわれています。私は、リスクの変化に対応するため、定期的に見直す頻度は四半期ごととしつつ、日々情報を収集し、リスクの評価を見直すようなリスク事象や新たなリスクを識別した場合には、直ちにリスクアセスメントに反映し、結果に応じて年間内部監査計画を即座に社長承認で修正可能とするプロセスを整備しました。
また、比較的歴史の浅い業界ということに加え、私の所属する組織体は開業から間もないということもあり、通常は「残存リスク」の評価に重きを置くリスクアセスメントにおいて、「固有リスク」も重視しています。良い意味でも悪い意味でもテクノロジーの進化は凄まじく、昨日まで機能していた統制(リスクを低減する取り組み)が、新しいテクノロジーにより容易に破られてしまうおそれがあるため、統制の評価に依拠しすぎないようするためです。
第3回ではリスクアセスメントや年間内部監査計画の具体的な策定手法について触れていきます。