【CIA試験講義】パート1 セクションC-6-a: リスク・マネジメント・プロセスの設計と有効性の評価
テーマ:「設計図」のチェックと「試運転」 ~プロセス評価の2つの視点~
セクションC-6-aは、内部監査人が組織のリスク・マネジメント(RM)プロセスを評価する際の核心部分です。
単に「リスク管理部門があるか」「マニュアルがあるか」を確認するだけでは不十分です。
監査人は、そのプロセスが「論理的に正しく作られているか(設計)」、そして「実際にワークしているか(有効性)」の2段階で評価を行う必要があります。
1. 導入:なぜ2段階の評価が必要なのか?
どんなに立派な「設計図」があっても、現場がそれを無視していれば意味がありません。逆に、現場が一生懸命やっていても、「設計図」自体が間違っていればゴールにはたどり着けません。
内部監査人は、この両面をチェックする「建築検査官」のような役割を担います。
2. 「設計(Design)」の評価 ~理論的な正しさ~
まず、リスク・マネジメントの枠組みが、組織のニーズや目標に合わせて適切に構築されているかを確認します。
- 問い: 「この仕組み通りにやれば、理論上はうまくいきますか?」
- チェックポイント:
- 組織の戦略や目標とリンクしているか?
- リスク選好(Risk Appetite)が明確に定義されているか?
- 全社的な共通言語(リスクの定義など)が整備されているか?
- 報告ルートは適切か?
NG例(設計の不備): 「全社員がリスクを報告するルールだが、報告先のアドレスが存在しない」 → これは運用の問題以前に、仕組み(設計)が壊れています。
3. 「有効性(Effectiveness)」の評価 ~実質的な機能~
次に、設計されたプロセスが実際に運用され、期待通りの成果を上げているかを確認します。
- 問い: 「実際にその仕組みを使って、リスクを管理できていますか?」
- チェックポイント:
- リスク発生時に、タイムリーに対応策が発動したか?
- 経営陣は、提供されたリスク情報を意思決定に使っているか?
- リスク対応策実施後の「残余リスク」は、許容範囲内に収まっているか?
- 同じ失敗(リスク顕在化)を繰り返していないか?
NG例(有効性の欠如): 「リスク報告システムはある(設計OK)が、担当者が忙しくて誰もメールを見ておらず、トラブルが放置された」 → 仕組みはあるが、機能していません。
4. リスク・マネジメントの「成熟度」を考慮する
すべての組織が、最初から完璧なリスク管理ができるわけではありません。 GIASやIIAのガイダンスでは、組織の「成熟度(Maturity)」に合わせた評価が求められます。
| 成熟度レベル | 状態 | 監査人のアプローチ |
|---|---|---|
| 初期(Initial) | リスク管理が場当たり的で、属人的。 | 基本的なプロセスの構築を支援・助言する。 |
| 反復可能(Defined) | ポリシーや手順はあるが、全部署で統一されていない。 | 全社的な統一と浸透を評価する。 |
| 管理された(Managed) | リスク管理が全社統合され、定着している。 | プロセスの有効性と効率性を保証(アシュアランス)する。 |
| 最適化(Optimized) | リスク管理が戦略的意思決定と一体化している。 | 継続的な改善と価値創造への貢献を評価する。 |
★ポイント: 成熟度が低い組織(例:スタートアップ)に対して、成熟度が高い組織(例:大手金融機関)と同じ高度な管理手法を求めることは不適切です。監査人は「組織の規模や複雑性に見合ったプロセスか」を評価します。
5. 監査人の役割と限界
内部監査人がRMプロセスを評価する際、絶対に越えてはならない一線があります。
- 〇 評価する(Assess/Evaluate): 「このプロセスには欠陥があります」と指摘する。
- 〇 助言する(Recommend): 「こう改善すべきです」と提案する。
- × 管理する(Manage): 「私がリスクを判断し、対応策を決めます」と実行する。
- *「リスク・マネジメントの責任者は経営陣である」という大原則を忘れないでください。
【練習問題】パート1 セクションC-6-a
Q1. 内部監査人は、組織のリスク・マネジメント・プロセスの「設計(Design)」を評価している。次の発見事項のうち、プロセスの運用状況ではなく「設計上の欠陥」に該当するものはどれか。
A. 特定されたリスクに対する対応策が、担当者の怠慢により期限内に実行されなかった。
B. リスク管理規定において、新たに識別された「新興リスク(Emerging Risks)」を評価・登録するための手順が定義されていない。
C. 経営会議においてリスク報告書が配布されたが、議論の時間が十分に取られなかった。
D. 営業部門の一部の従業員が、リスク管理に関する研修を受講していなかった。
【解答・解説】
正解と解説を表示
正解(B): 手順やルールそのものが欠落している、あるいは不十分であることは「設計」の問題です。新興リスクを取り込む仕組みが定義されていない場合、どんなに真面目に運用しても新興リスクは見落とされます。
不正解(A): ルールはあるが実行されなかったのは「運用(有効性)」の問題です。
不正解(C): 報告プロセス自体はあるものの、活用されなかったのは運用の問題です。
不正解(D): 研修制度があるのに受講していないのは、コンプライアンスや運用の問題です。
Q2. リスク・マネジメント(RM)の成熟度が「初期段階(Initial)」にある組織において、内部監査人がRMプロセスの有効性を評価するアプローチとして、最も適切なものはどれか。
A. 組織には正式なRMプロセスが存在しないため、監査対象外とし、財務監査のみに集中する。
B. 成熟した組織で使用される高度な定量的リスク分析手法を適用し、現状とのギャップを厳しく指摘する。
C. 経営陣との協議を通じて現状の非公式なリスク管理慣行を理解し、基本的な枠組みの構築に向けた助言やコンサルティングを行う。
D. 内部監査人が自ら「最高リスク責任者(CRO)」の役割を代行し、リスク管理体制を構築する。
【解答・解説】
正解と解説を表示
正解(C): 成熟度が低い段階では、厳格なアシュアランス(保証)よりも、コンサルティング的なアプローチ(助言・支援)が有効です。組織の現状に合わせた改善を促すことがGIASの理念にも合致します。
不正解(A): リスク管理が未熟であっても、主要なリスク領域を監査放棄すべきではありません。
不正解(B): 組織の規模や能力に見合わない高度な要求をすることは、現実的ではなく、監査の価値を損ないます。
不正解(D): 経営陣の責任(マネジメント機能)を代行することは、内部監査人の独立性を損なうため禁止されています。
Q3. 内部監査人がリスク・マネジメント・プロセスの「有効性」について、取締役会にアシュアランス(保証)を提供しようとしている。有効性を判断する根拠として、最も説得力のある(適切な)証拠はどれか。
A. リスク管理マニュアルが最新版に更新され、全社員に配布されていること。
B. リスク管理部門が毎月リスク会議を開催しているという議事録の存在。
C. 識別された重要リスクに対して適切な対応策が実施され、その結果、残余リスクが組織のリスク許容度内に収まっていることを示す実績データ。
D. 経営陣が「リスク管理は重要である」と述べているインタビュー記録。
【解答・解説】
正解と解説を表示
正解(C): 有効性評価の核心は「結果が出ているか」です。プロセスが動き(対応策の実施)、その結果としてリスクがコントロールされている(許容度内である)という実績こそが、プロセスが有効に機能していることの最強の証拠です。
不正解(A): マニュアルの存在は「設計」や「整備状況」の証拠ですが、実際に機能しているかの証拠にはなりません。
不正解(B): 会議の開催は活動の記録ですが、中身(リスクが低減されたか)までは保証しません。
不正解(D): 経営陣の意識は重要(ソフト・コントロール)ですが、客観的なプロセスの有効性の証拠としては弱いです。
