Contents
  1. テーマ:「雨」と「傘」の関係 ~コントロールの前と後~
  2. 【練習問題】パート1 セクションC-4-b

テーマ:「雨」と「傘」の関係 ~コントロールの前と後~

セクションC-4-bは、リスクマネジメントの基礎計算式とも言える「固有リスク(Inherent Risk)」と「残余リスク(Residual Risk)」の違いと関係性を理解するパートです。

内部監査人は、「コントロール(統制)が有効に機能しているか」を評価しますが、その前提として「そもそも何のリスクを減らそうとしているのか(固有)」と「対策の結果、どれくらいリスクが残っているのか(残余)」を明確に区別できなければなりません。

1. 導入:リスクの「2つの状態」

リスクには、対策を講じる前の「ありのままの状態」と、対策を講じた後の「最終的な状態」があります。 CIA試験では、この2つを明確に定義し、状況に応じて使い分ける能力が問われます。

基本公式:固有リスク - コントロール = 残余リスク

2. 固有リスク(Inherent Risk):対策前の「素」のリスク

固有リスクとは、経営陣が内部統制(コントロール)やその他のリスク対応策を講じる「前」に存在する、その業務や環境が本来持っているリスクの大きさです。

  • イメージ: 「土砂降りの雨」そのもの。
  • 特徴: 業務の性質、複雑さ、取引量、現金の取り扱い有無などに依存します。
  • 例:
    • 現金商売の小売店: 現金そのものが盗まれやすいため、固有リスクは「高」です。
    • 複雑なデリバティブ取引: 計算ミスや評価損が発生しやすいため、固有リスクは「高」です。

★ポイント: 固有リスクは「悪いこと」とは限りません。「業務の特性」です。監査人はまず、コントロールを無視した状態で、「どこが一番危険か」を評価します。

3. 残余リスク(Residual Risk):対策後の「残り」のリスク

残余リスク(ネット・リスクとも呼ばれます)とは、経営陣がリスク対応策(コントロール)を適用した「後」に残っているリスクです。

  • イメージ: 傘をさしても「靴や肩が少し濡れる」状態。
  • 特徴: 完全にゼロにすることは(通常は)不可能です。
  • 重要な視点: 経営陣が「この程度なら受け入れられる(リスク許容度)」と判断したレベルに収まっているかが重要です。
項目固有リスク (Inherent)残余リスク (Residual)
定義コントロール適用前のリスクコントロール適用後のリスク
別名グロス・リスク (Gross Risk)ネット・リスク (Net Risk)
監査人の視点「どこに重点的にコントロールが必要か?」を判断するために使う。「現在のコントロールで十分か?」を判断するために使う。

4. 監査プロセスにおける判定ロジック

試験では、以下のフローチャートのような判断プロセスが問われます。

  1. 固有リスクを評価する
    • 「この業務は、放っておくとどれくらい危険か?」
  2. コントロールを評価する
    • 「ガードレールや監視カメラは設置されているか?」
  3. 残余リスクを算出する
    • 「対策をした結果、まだ危険は残っているか?」
  4. リスク許容度(Risk Appetite)と比較する
    • 判定A: 残余リスク < リスク許容度 ⇒ OK(監査終了またはモニタリングへ)
    • 判定B: 残余リスク > リスク許容度 ⇒ NG(追加のコントロールが必要、または事業撤退)

5. 試験で狙われる「ひっかけ」ポイント

  1. ×「コントロールを導入すれば、リスクはゼロになる」
    • 解説: 間違いです。どんなに優れた金庫(コントロール)を買っても、プロの泥棒に破られる可能性や、鍵を紛失するリスク(残余リスク)は残ります。
  2. ×「固有リスクが高い業務は、行ってはならない」
    • 解説: 間違いです。固有リスクが高くても(例:ハイリスクな投資銀行業務)、強力なコントロールで残余リスクを許容範囲内に抑え込めれば、ビジネスとして成立します。
  3. ×「残余リスクが固有リスクを上回ることはあるか?」
    • 解説: 通常はありません。コントロールがリスクを増幅させる(例:複雑すぎるセキュリティシステムが業務を止める)という特殊ケースを除き、基本的には「固有リスク ≧ 残余リスク」です。

まとめ

  • 固有リスク = 裸の状態での危険度。
  • 残余リスク = 鎧(よろい)を着た後の、隙間の危険度。

内部監査人は、経営陣が「鎧を着れば安全だ」と思い込んでいても、実際には「背中がガラ空き(残余リスクが高い)」である状態を見逃してはいけません。

【練習問題】パート1 セクションC-4-b

Q1. 内部監査人は、企業の現預金管理プロセスを評価している。この企業では、小口現金を金庫に保管し、鍵の管理者を限定し、毎日の実査を行っている。これらの統制活動にもかかわらず、従業員による共謀や巧妙な手口によって現金が横領される可能性が依然として残っている。この「依然として残っているリスク」を指す用語として、最も適切なものはどれか。

A. 固有リスク(Inherent Risk)

B. 統制リスク(Control Risk)

C. 残余リスク(Residual Risk)

D. 戦略リスク(Strategic Risk)

【解答・解説】

正解と解説を表示

正解(C): 残余リスクは、経営陣が内部統制やその他のリスク対応策を講じた「後」に残るリスクです。設問のケースでは、金庫や実査といったコントロールが存在するにもかかわらず残存しているリスクであるため、残余リスクに該当します。

不正解(A): 固有リスクは、コントロールが存在しない場合のリスク(現金の盗まれやすさそのもの)を指します。

不正解(B): 統制リスクは、内部統制が重大な誤謬や不正を防止・発見できないリスクを指しますが(外部監査でよく使われる用語)、設問の文脈である「対策後の最終的なリスク」としては残余リスクが最も適切です。

不正解(D): 戦略リスクは、組織の目標達成に関する長期的なリスクであり、ここでの具体的な業務リスクとは異なります。

Q2. 次の記述のうち、固有リスク(Inherent Risk)と残余リスク(Residual Risk)の関係性を正しく表しているものはどれか。

A. 残余リスクが高ければ、必ず固有リスクも高くなる。

B. 固有リスクからコントロールの効果を差し引いたものが、残余リスクである。

C. 内部統制が完全に有効であれば、残余リスクは固有リスクと同じレベルになる。

D. 固有リスクは、残余リスクと組織のリスク許容度を比較することで算出される。

【解答・解説】

正解と解説を表示

正解(B): 基本的な概念式は「固有リスク - コントロール(のリスク低減効果) = 残余リスク」です。つまり、元々のリスクから対策の効果を差し引いた残りが残余リスクとなります。

不正解(A): 固有リスクが高くても、極めて強力なコントロールがあれば、残余リスクは低くなる可能性があります。必ず比例するわけではありません。

不正解(C): 内部統制が有効であれば、リスクは低減されるため、残余リスクは固有リスクよりも「低く」なります。

不正解(D): これは比較のプロセスが逆です。残余リスクとリスク許容度を比較して、対応の是非を判断します。

Q3. 内部監査人がリスク評価を行っている。ある特定の業務プロセスにおいて、「固有リスクは高い」が、経営陣が導入した強力なコントロールによって「残余リスクは組織のリスク許容度の範囲内に収まっている」と判断された。この状況において、内部監査人がとるべき行動として最も適切なものはどれか。

A. 残余リスクが許容範囲内であっても、固有リスクが高い以上、直ちに追加のコントロール導入を勧告する。

B. 固有リスクが高いということはコントロールが機能していない証拠であるため、コントロールの再設計を求める。

C. 現在のコントロールが設計通りに有効に運用されているかを確認するテストを計画・実施する。

D. リスクは許容範囲内であるため、このプロセスに対する監査リソースの配分をゼロにし、監査対象から除外する。

【解答・解説】

正解と解説を表示

正解(C): 残余リスクが低く抑えられている理由は「強力なコントロールがあるから」です。したがって、監査人にとって最も重要なのは、「そのコントロールが本当に絵に描いた餅ではなく、継続的に機能しているか」を確かめることです。固有リスクが高い領域では、コントロールが崩壊すると即座に重大な影響が出るため、運用テストが重要になります。

不正解(A): 残余リスクが許容範囲内であれば、過剰なコントロール(コスト増)を求める必要はありません。

不正解(B): 固有リスクが高いのは業務の性質(Nature)であり、コントロールの不備ではありません。

不正解(D): 固有リスクが高い領域は「ハイリスク・ハイリターン」な重要領域であることが多いため、完全に監査対象から外すのではなく、コントロールの有効性確認(Cの行動)に重点を置くべきです。