Contents
  1. テーマ:組織を脅かす「病」の診断学 ~リスクの種類の見極め方~
  2. 【練習問題】パート1 セクションC-4-a

テーマ:組織を脅かす「病」の診断学 ~リスクの種類の見極め方~

セクションC-4-aは、内部監査人が組織を取り巻く多様なリスクを正しく「分類」し「識別」するための知識です。

2024年公表のGIAS(グローバル内部監査基準)では、従来の伝統的なリスクに加え、サステナビリティ(持続可能性)や社会的責任といった非財務的なリスクへの関与がより強く求められています。

試験では、提示されたシナリオが「どのカテゴリーのリスクに該当するか」を瞬時に判断する力が問われます。

1. 導入:なぜリスクを分類するのか?

リスクを単に「危険」とひとくくりにするのではなく、種類(カテゴリー)に分ける理由は、「誰が責任を持ち、どう対処すべきか」が異なるからです。

イメージ:
病院の診療科 お腹が痛いなら「内科」、骨が折れたら「外科」、目が痒いなら「眼科」に行きます。 リスクも同様に、種類によって「担当部署(リスクオーナー)」や「治療法(コントロール)」が変わります。

2. 主要なリスクカテゴリーの解剖

CIA試験で問われる代表的なリスクの種類を、組織という「人体」に例えて解説します。

① 戦略リスク(Strategic Risk)=「脳」の決断ミス

組織の目標達成を阻害する、あるいは機会を逃すリスクです。

  • 特徴: 外部環境の変化(競合、技術革新)や、経営判断の誤りに関連します。
  • 例: 新規事業への参入失敗、時代遅れの技術への投資、競合他社によるシェア奪取。
  • 監査の視点: 経営陣の意思決定プロセスや前提条件の妥当性を評価します。

② 業務リスク(Operational Risk)=「手足」の不具合

日々のプロセス、人、システム、または外部事象から生じるリスクです。

  • 特徴: 実行段階での失敗や効率性の低下。
  • 例: 工場の機械故障、従業員の入力ミス、在庫の紛失、サイバー攻撃によるシステムダウン。
  • 監査の視点: 業務プロセスがマニュアル通りか、効率的かを確認します。

③ 財務リスク(Financial Risk)=「血液」の循環不全

資金の流動性、信用、市場変動、および財務報告の信頼性に関するリスクです。

  • 特徴: お金の流れや数字の正確性に関わるもの。
  • 例: 為替変動による損失、貸倒れ、キャッシュフローの悪化、粉飾決算(財務報告リスク)。
  • 監査の視点: 財務データの正確性や資金管理の適切性を評価します。

④ コンプライアンス・リスク(Compliance Risk)=「社会のルール」違反

法令、規制、社内規定に従わないことによる罰則や制裁のリスクです。

  • 特徴: 「守るべきルール」を破ること。
  • 例: 独占禁止法違反、労働基準法違反、契約違反。
  • 監査の視点: 法令遵守の仕組みや監視体制を評価します。

⑤ 評判リスク(Reputational Risk)=「顔・イメージ」の毀損

組織のブランド、イメージ、信用に対する否定的な認識が広まるリスクです。

  • ★重要ポイント: 評判リスクは、他のリスク(コンプライアンス違反や業務上の事故など)の結果として発生する「二次的リスク」であることが多いです。
  • 例: SNSでの炎上、顧客情報の流出による信頼失墜。

3. GIASで重要視される「現代のリスク」

新シラバスおよびGIASでは、以下のESG(環境・社会・ガバナンス)に関連するリスク領域が強調されています。これらは長期的な組織の存続(サステナビリティ)に直結します。

⑥ 環境リスク(Environmental Risk)

自然環境への影響や、気候変動が組織に与える影響です。

  • 例: 工場排水による汚染、気候変動による原材料の調達難、炭素税の導入。

⑦ 社会的責任・サステナビリティリスク(Social Responsibility & Sustainability)

組織が社会の一員としての責任を果たせないことによるリスクです。

  • 例: サプライチェーンにおける人権侵害(児童労働など)、地域社会との摩擦、ダイバーシティの欠如。
  • 監査の視点: 単なる法令遵守を超え、「公共の利益」や「組織の長期的価値」の観点から評価します。

4. 試験で狙われる「境界線」

試験では、複数の要素が絡み合ったシナリオが出題されます。

  • 戦略 vs 業務:
    • 「間違った市場に進出した」→ 戦略リスク(方向性の誤り)
    • 「市場進出の手続きでミスをした」→ 業務リスク(実行の失敗)
  • 原因 vs 結果:
    • 「顧客データを漏洩し(業務/コンプライアンス)、その結果、顧客が離れた(評判)」
    • 設問が「直接的な原因」を問うているのか、「最終的な影響」を問うているのかに注意してください。

【練習問題】パート1 セクションC-4-a

Q1. ある製造会社は、コスト削減のために原材料の調達先を海外の新規サプライヤーに切り替えるという経営判断を行った。しかし、そのサプライヤーの工場で深刻な児童労働問題が発覚し、NGOからの激しい抗議活動を受けた結果、製品の不買運動に発展した。このシナリオにおいて、不買運動によって組織が直面している最も直接的なリスクの種類はどれか。

A. 戦略リスク(Strategic Risk)

B. 業務リスク(Operational Risk)

C. 評判リスク(Reputational Risk)

D. 財務リスク(Financial Risk)

【解答・解説】

正解と解説を表示

正解(C): 設問は「不買運動によって直面しているリスク」を問うています。NGOの抗議や不買運動は、組織のブランドイメージや信用が毀損されている状態であり、これは評判リスクに分類されます。

不正解(A): 調達先の切り替えという「判断」自体は戦略的な要素を含みますが、不買運動という現象そのものは評判リスクです。

不正解(B): サプライヤーの選定プロセスの不備は業務リスクに関連する可能性がありますが、設問の焦点は外部からの評価(不買運動)にあります。

不正解(D): 不買運動の結果として売上が下がることは財務的影響ですが、その前段階にある「信用の喪失」という事象は評判リスクです。

Q2. 内部監査人は、組織の新しいITシステムの導入プロジェクトを監査している。監査人は、「選定されたシステム技術が、導入完了時には既に陳腐化しており、競合他社に対して競争優位性を失う可能性がある」という懸念を抱いた。このリスクは主にどのカテゴリーに分類されるか。

A. 業務リスク(Operational Risk)

B. コンプライアンス・リスク(Compliance Risk)

C. 戦略リスク(Strategic Risk)

D. 財務リスク(Financial Risk)

【解答・解説】

正解と解説を表示

正解(C): 技術の陳腐化や競争優位性の喪失は、組織の目標達成や将来の方向性に関わる問題であり、戦略リスクに分類されます。これはシステムが「動かない(業務リスク)」のではなく、システムの「選択が間違っていた(戦略的失敗)」という点に焦点があります。

不正解(A): システムのバグや稼働停止といった実行上の問題であれば業務リスクですが、ここでは「技術選定の妥当性と競争力」が問われています。

不正解(B): 法令違反に関する記述はありません。

不正解(D): 投資の無駄という財務的側面はありますが、根本的なリスクの性質は戦略的なものです。

Q3. 2024年のGIAS(グローバル内部監査基準)の適用に伴い、内部監査部門は監査計画において「持続可能性(サステナビリティ)」および「社会的責任」に関連するリスクへの注力を強めている。次のうち、このカテゴリーのリスクとして最も適切に分類される事象はどれか。

A. 経理担当者が売上数値を改ざんし、実際の業績より良く見せようとした。

B. 工場の排水処理設備が故障し、未処理の汚水が近隣河川に流出して生態系に影響を与えた。

C. 主要なサーバーがダウンし、24時間の業務停止が発生した。

D. 新しい税法改正への対応が遅れ、過少申告加算税が課された。

【解答・解説】

正解と解説を表示

正解(B): 環境汚染(生態系への影響)は、環境リスクであり、広義の持続可能性(サステナビリティ)および社会的責任のリスクに含まれます。GIASにおいて、環境への影響や公共の利益に関わるリスクは、このカテゴリーで評価されます。

不正解(A): これは不正(Fraud)および財務報告の信頼性に関わるリスクであり、財務リスクまたはコンプライアンス・リスクに分類されます。

不正解(C): システム障害による業務停止は、典型的な業務リスク(Operational Risk)です。

不正解(D): 税法への対応遅れは、コンプライアンス・リスク(および財務的ペナルティ)に該当します。