今回はリスクアセスメントの具体的な手法についてご説明します。
リスクアセスメントでは、「内部監査のリスクアセスメント(リスク評価)」にあるとおり、「固有リスク」「統制(コントロール)」「残存リスク」を評価しています。
特に重視しているのは、業務およびリスクの洗い出しの網羅性(漏れなく洗い出せているか)、評価結果の客観性(一定の基準を設けて評価しているか)、ステークホルダーの期待の反映(ステークホルダーの期待と評価結果を整合させているか)という点です。
リスクの一覧化と粒度の調整
リスクアセスメントの対象とするリスクは、「業務分掌」を基本として洗い出しを行っていますが、そこに「環境モニタリング」の結果を反映させて漏れを防いでいます。リスクの洗い出しの際に取り込んだのは主に以下の資料です(一例)。
なお、私がリスクアセスメントの対象としているリスクは、ビジネスリスク、風評リスク、制度変更リスクを除いた、すべてのリスクとしています。
・法(資金決済法、金融商品取引法)
・基本方針(「金融行政方針・金融レポート[1]」「コンプライアンス・リスク管理基本方針」「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」等)
・ガイドライン(「事務ガイドライン 第三分冊:金融会社関係 16.暗号資産交換業者関係」等)
・自主規制規則(日本暗号資産取引業協会の定める諸規則)
・その他業界に関する情報(「仮想通貨交換業者等の検査・モニタリング 中間とりまとめ」「業界団体との意見交換」(左記いづれも金融庁)等)
・個別テーマのガイドライン(「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」「金融分野における個人情報保護に関するガイドライン及び実務指針」等)
・その他個別テーマに関する情報(「疑わしい取引の参考事例」「IT・サイバーセキュリティの取組みに関するレポート」等)
洗い出したリスクは、粒度もばらばらでまた相互に関連するものもあり整理が必要となります。そのため、監査テーマとなりうる程度の粒度で一旦カテゴライズし、そこに関連するリスクを紐付けて整理しています。結果テーマとして60個程度のリスクを洗い出しています。
[1] 「利用者を中心とした新時代の金融サービス~金融行政のこれまでの実践と今後の方針~」(令和元年8月 金融庁)「令和2事務年度金融行政方針~コロナと戦い、コロナ後の新しい社会を築く~」(令和2年8月 金融庁)
リスク評価のコンセプト
私は、以下の考えを基にリスクアセスメントのプロセスを設計しています。
固有リスク ÷ 統制(コントロール) = 残存リスク
固有リスクの評価
「固有リスク」は、オーソドックスに「影響度」×「発生頻度」で評価しています。
「影響度」は、「金額(損失額)」「顧客影響範囲」「行政処分」「ブランドの毀損(レビュテーション)」の観点で評価基準を定めており、基準に基づき、それぞれ4段階評価を行い、値の一番高いものを「影響度」としています。評価基準に基づいて評価することで一定の客観性を確保しています。
統制(コントロール)の評価
「統制」はリスクを低減する取り組みのことをいい、コントロールともいいます。「統制」の強度は、「規程の整備状況」「枠組みの運用状況」「システム支援の状況」の観点で評価しています。それぞれ4段階で評価し、按分しています。なお、規程の整備状況を中心に年度の監査テーマを設計する場合には、これを按分せず、「規程の整備状況」のみとしたりと、年度のテーマに応じては項目のウェイトを調整することで対応しています。
内部監査を行った場合は、その結果から各観点の評価を上書きして「統制」の評価を実態に合わせています。
残存リスクの評価と補正
上記の評価結果から自動算出し、4段階評価を行い「Very High」「High」「Medium」「Low」の評価ラベル(暫定)を貼っています。この結果に、経営からの「特にここを見て欲しい」という要望や、業界団体の意見交換で挙げられたテーマ等を受け、ステークホルダーの期待の観点から項目ごとに補正を行い最終的な評価ラベルの調整を行っています。
なお、上述の通り、経営陣にリスクをなるべくわかりやすく伝えるため、内部監査プロセスの中で「Very High」「High」「Medium」「Low」の評価ラベルを活用しています。個別のリスク事象の評価、上述のリスクアセスメント、内部監査における発見事項のレベル、フォローアップ対応後の残余リスク(改善水準)等です。ここで重要なのは、「影響度」と「発生頻度」は同じ基準を用いて「固有リスク」から評価することです。
なにかリスクを見つけると、取りあえず「いつもの基準」で「固有リスク」を評価し、当社の統制はどうなっているかという「統制」の整備状況を確認し、「残余リスク」をイメージすることを基本動作としています。これにより、発見事項の重大性も伝えられますし、逆に改善状況が十分でない場合にもどのくらいリスクが残っているのかを簡潔に伝えることが可能になると考えています。