Contents
  1. テーマ:敵とどう戦うか? ~4つの武器と選択の妥当性~
  2. 【練習問題】パート1 セクションC-5-d

テーマ:敵とどう戦うか? ~4つの武器と選択の妥当性~

セクションC-5-dは、識別・評価されたリスクに対して、経営陣がどのような「手(対応策)」を打ったかを評価する領域です。

内部監査人は、その対応策が「組織のリスク選好(好み)」に合っているか、そして「費用対効果(コスト)」が見合っているかを冷静にジャッジする必要があります。

1. 導入:リスク対応(Risk Response)の4つの基本形

リスクが見つかった時、組織が取れる行動は主に以下の4つに分類されます。CIA試験では、具体的な事例がどの対応策に該当するかを問う問題が頻出です。

① 回避(Avoidance)=「逃げる / やめる」

リスクの原因となる活動そのものを停止、または開始しないことです。

  • 例: 政情不安な国からの撤退、リスクの高すぎる新製品開発の中止。
  • 特徴: リスクはゼロになりますが、同時にそこから得られる収益(機会)もゼロになります。

② 低減 / 緩和(Reduction / Mitigation)=「防御力を上げる」

コントロール(統制)を導入して、発生可能性または影響度(あるいはその両方)を下げることです。

  • 例: スプリンクラーの設置(影響度の低減)、二重チェックの実施(発生可能性の低減)。
  • 特徴: 最も一般的な対応策です。

③ 共有 / 移転(Sharing / Transfer)=「誰かと分担する」

リスクの一部または全部を第三者に転嫁することです。

  • 例: 火災保険への加入、ヘッジ取引、業務のアウトソーシング。
  • 注意点: リスクそのものが消えるわけではありません。「金銭的な痛み」を他社に肩代わりしてもらうイメージです。

④ 受容(Acceptance)=「受け入れる」

対策を講じず、リスクをそのまま保有することです。

  • 例: 対策コストが損失額を上回るため、何もせず監視だけする。
  • 条件: リスクが組織の「リスク許容度」の範囲内である場合にのみ正当化されます。

2. 内部監査人による評価の視点

監査人は「どの対応策を選ぶべきか」を決めるのではなく、「経営陣が選んだ対応策が妥当か」を評価します。その際の「ものさし」は以下の2つです。

視点A:リスク許容度との整合性

選ばれた対応策を実施した後、残るリスク(残余リスク)は、組織が許容できる範囲に収まっていますか?

  • NG例: 「絶対に失敗できないプロジェクト(リスク許容度極小)」なのに、コスト惜しさで「受容」を選んでいる。

視点B:費用対効果(Cost-Benefit Analysis)

「守りのコスト」が「守るべきものの価値」を超えていませんか?

  • NG例: 10万円の現金を金庫で守るために、100万円の警備システムを導入する。
  • 監査人の判断: この場合、「受容(何もしない)」や、安価な「低減(鍵付きの引き出し)」の方が合理的かもしれません。

3. 「受容」に関する注意点

試験でよく狙われるのが「受容(何もしない)」の扱いです。

  • 積極的受容: リスクを認識し、検討した上で「あえて何もしない」と決めること。(OK)
  • 消極的受容: リスクに気づいていない、あるいは面倒で放置していること。(NG)

内部監査人は、それが「意図的な戦略」なのか「単なる怠慢」なのかを見極める必要があります。

4. GIASにおける強調点

新しい基準(GIAS)では、リスク対応が組織の「目的適合性」を持っているかが重視されます。 単にリスクを下げるだけでなく、その対応が組織の価値創造を阻害していないか(過剰なコンプライアンスでビジネスが停滞していないか)という視点も必要です。

【練習問題】パート1 セクションC-5-d

Q1. ある電子部品メーカーは、特定の希少金属(レアアース)の価格変動リスクに直面している。経営陣はこのリスクに対処するため、先物契約(ヘッジ取引)を利用して価格を固定することを決定した。このリスク対応策は、次のうちどれに分類されるか。

A. 回避(Avoidance)

B. 受容(Acceptance)

C. 低減(Reduction)

D. 共有(Sharing)

【解答・解説】

正解と解説を表示

正解(D): 保険への加入やヘッジ取引、アウトソーシングなどは、リスクの影響を他者(この場合は市場のカウンターパーティ)と分担、あるいは移転する行為であり、共有(Sharing)に分類されます。

不正解(A): 回避は、希少金属の使用をやめる、あるいはその事業から撤退することを指します。

不正解(B): 受容は、価格変動をそのまま受け入れ、対策を講じないことです。

不正解(C): 低減は、在庫管理の効率化など内部プロセスでリスクを下げる行為を指すことが多いですが、金融商品を使ったリスク移転は「共有」が最も適切な分類です。

Q2. 内部監査人が在庫管理プロセスを監査している。監査人は、「倉庫に保管されている消耗品(総額5,000ドル相当)に対して、盗難防止のための高度な生体認証セキュリティシステム(導入コスト20,000ドル)が設置されていない」ことを発見した。経営陣は「コストが見合わないため、鍵による施錠のみで十分」と説明している。この状況における内部監査人の判断として、最も適切なものはどれか。

A. セキュリティ上の重大な欠陥であるため、直ちに生体認証システムの導入を勧告する。

B. 経営陣のリスク対応は、費用対効果の観点から合理的であると判断する。

C. 経営陣はリスクを無視しているため、「消極的受容」に該当すると報告する。

D. 内部監査部門の予算を使ってセキュリティシステムを導入するよう提案する。

【解答・解説】

正解と解説を表示

正解(B): リスク対応の評価において、費用対効果(Cost-Benefit)は重要な要素です。守るべき資産(5,000ドル)よりも対策コスト(20,000ドル)が高い場合、高度な対策を導入しないという経営陣の判断は合理的であり、既存の低減策(鍵)と受容の組み合わせとして適切です。

不正解(A): コストが便益を上回るコントロールの導入を勧告するのは不適切です。

不正解(C): 経営陣はコスト比較を行った上で判断しているため、これは「無視」ではなく合理的な意思決定です。

不正解(D): 内部監査部門がコントロールの導入費用を負担することはありませんし、そもそも導入自体が非合理的です。

Q3. 内部監査人が、組織の戦略的リスクに対する対応策をレビューしている。ある海外市場への進出計画において、経営陣は「政情不安による資産没収のリスクが極めて高く、コントロールによる低減も保険による転嫁も困難である」と判断し、進出計画そのものを中止した。この対応策について、内部監査人が評価すべき点として最も適切なものはどれか。

A. 計画の中止は「回避(Avoidance)」にあたるが、それによって失われる「機会(収益のチャンス)」が考慮され、組織のリスク選好と整合しているかを確認する。

B. リスクをゼロにすることは不可能であるため、回避を選択した経営陣の判断は誤りであり、進出を強行するよう助言する。

C. 他のリスク対応策(受容など)が検討されていないため、リスク・マネジメント・プロセスに不備があると結論付ける。

D. 内部監査人は戦略的決定に関与すべきではないため、この決定については一切の評価を行わない。

【解答・解説】

正解と解説を表示

正解(A): 「回避」は強力なリスク対応策ですが、同時にビジネスチャンス(機会)を放棄することを意味します。監査人は、経営陣がリスク(損失の可能性)とリターン(機会)のバランスを考慮し、組織のリスク選好に基づいて適切な判断を下したかを評価する必要があります。

不正解(B): リスク選好を超過するリスクに対して「回避」を選択することは、正当な経営判断の一つです。

不正解(C): 低減も転嫁も困難と判断した上での決定であれば、プロセス上の不備とは言えません。

不正解(D): 内部監査人は戦略的リスク・マネジメントのプロセスを評価する責任があり、完全に無視することは適切ではありません。