【CIA試験講義】パート3 セクションD-5-a: 残余リスクの評価と測定
テーマ:フィルターを通過した「残りカス」を測る ~残余リスクの正体~
セクションD-5-aは、監査人がコントロールをテストした後、最終的に「どれだけのリスクが残っているか」を判断するプロセスです。
私たちは監査で「コントロールのテスト」を行いますが、それは手段であって目的ではありません。目的は、コントロールを通過した後に残る「残余リスク(Residual Risk)」が、組織にとって安全なレベル(許容範囲内)かどうかを見極めることです。
1. 導入:リスクの方程式
監査におけるリスク評価は、以下の引き算で成り立っています。
固有リスク – コントロールの効果 = 残余リスク
- 固有リスク(Inherent Risk):
- 何も対策をしなかった場合に想定されるリスクの大きさ。「生のままのリスク」です。
- コントロール(Control):
- リスクを低減するためのフィルター(対策)。
- 残余リスク(Residual Risk):
- コントロール(フィルター)をすり抜けて残ったリスク。「正味のリスク」とも呼ばれます。
★ポイント: どんなに強力なコントロールを導入しても、残余リスクを「ゼロ」にすることは(コスト的に、あるいは物理的に)不可能です。重要なのは、それが「許容できるレベルか?」という点です。
2. コントロール評価の2つの視点(妥当性と有効性)
残余リスクを正しく測定するためには、コントロールを以下の2段階で評価する必要があります。試験ではこの区別が頻出です。
① 設計の妥当性(Adequacy of Design)
- 問い: 「もし、このルール通りにやれば、リスクは防げるか?」
- 視点: 仕組みやマニュアルの出来栄え。設計図のチェック。
- 例: 「金庫の鍵は、店長だけが持つ」というルールがある。→ 妥当(Adequate)。
② 運用の有効性(Effectiveness of Operation)
- 問い: 「実際に、ルール通りに運用されているか?」
- 視点: 現場での実行状況。実査やテストの結果。
- 例: 実際に見に行ったら、鍵が金庫の上に置きっぱなしだった。→ 有効でない(Ineffective)。
判定ロジック: 設計が「不適切(Inadequate)」なら、運用を見るまでもありません。設計が「妥当」であっても、運用が「無効」なら、リスクは低減されません。
3. 残余リスクレベルの測定手法
コントロールの評価(妥当性×有効性)が終わったら、いよいよ残余リスクのレベルを測定します。
- ステップ1:コントロールの不備を特定する
- テストの結果、発見された弱点やエラーを集めます。
- ステップ2:不備の影響度を固有リスクに当てはめる
- その不備によって、どの程度のリスクが顕在化するかを推定します。
- ステップ3:リスク許容度(Risk Appetite)との比較
- ここが最重要です。
- 残余リスク < リスク許容度 → 「安全(Green)」(モニタリング継続)
- 残余リスク > リスク許容度 → 「危険(Red)」(追加の改善措置が必要)
イメージ:
ダム(コントロール)があります。 「大雨(固有リスク)」が降ったとき、ダムがひび割れていたら(有効性の欠如)、下流に水が漏れます。 その「漏れた水の量(残余リスク)」が、下流の住民が許容できる「小川レベル」なのか、家を流す「洪水レベル」なのかを測定するのが、このセクションの仕事です。
4. 内部監査部門長(CAE)の責任
個々の監査業務において、残余リスクが「許容度を超えている」と判断された場合、CAEには以下の責任があります。
- 経営管理者への報告: まず、担当の管理者に是正を求めます。
- 上級経営陣へのエスカレーション: もし担当管理者が是正を拒否し、そのリスクを受容しようとした場合、CAEはその判断が組織全体にとって危険でないか評価し、必要であれば上級経営陣や取締役会に報告します。
5. 試験で狙われる「ひっかけ」ポイント
- ×「コントロールの設計が妥当であれば、運用テストをしなくても残余リスクは低いと判断できる」
- 解説: 設計が良くても現場で無視されていればリスクは高いままです。必ず「有効性」の確認が必要です。
- ×「残余リスクをゼロにすることが内部監査の究極の目標である」
- 解説: リスクゼロは不可能ですし、コストがかかりすぎてビジネスになりません。「リスク許容度」の範囲内に収めることが目標です。
- ×「固有リスクが高い業務は、必ず残余リスクも高い」
- 解説: 固有リスクが高くても、極めて強力で有効なコントロールが存在すれば、残余リスクは低くなります(例:現金輸送車は襲われるリスクが高いが、装甲や警備で残余リスクを下げている)。
まとめ
セクションD-5-aのポイントは、「引き算の結果」と「許容ライン」の比較です。
- Input: 固有リスク
- Filter: コントロール(妥当か? 有効か?)
- Output: 残余リスク
- Judge: 残余リスクは、リスク許容度を超えていないか?
このプロセスを経て初めて、監査人は「コントロールは有効である」あるいは「改善が必要である」という結論を出すことができます。
【練習問題】パート3 セクションD-5-a
Q1. ある内部監査人は、購買プロセスの監査において「発注承認の権限規定(マニュアル)は完璧に整備されているが、実際には担当者が上長のパスワードを共有し、代理で承認を行っているケースが多発している」ことを発見した。この状況におけるコントロールの評価と残余リスクに関する記述として、最も適切なものはどれか。
A. コントロールの設計は妥当(Adequate)であるが、運用は有効ではない(Ineffective)。その結果、残余リスクは固有リスクに近い高いレベルに留まっている。
B. マニュアルが完璧であるため、コントロールの設計は妥当であり、運用上の問題は軽微な例外とみなされる。残余リスクは低い。
C. 運用が守られていないため、コントロールの設計自体も不適切(Inadequate)であったとみなされる。
D. パスワード共有により業務が停滞せず進んでいるため、コントロールは効率的に機能しており、残余リスクはゼロである。
【解答・解説】
正解と解説を表示
正解(A): コントロールの評価における「妥当性(設計)」と「有効性(運用)」の区別に関する問題です。規定(設計)があっても、遵守されていない(運用がダメな)場合、コントロールは機能しておらず、リスクは低減されません。したがって、残余リスクは低減されず、固有リスク(対策前)に近い高い状態のままとなります。
不正解(B): 運用が機能していない場合、残余リスクは低くなりません。
不正解(C): 運用が悪いからといって、設計(規定)そのものが悪いとは限りません。このケースでは設計は「完璧」とされています。
不正解(D): 効率的でも、不正リスク(無権限取引)が高まっており、コントロールの目的を果たしていません。
Q2. 残余リスク(Residual Risk)を測定する際、比較対象となる「基準」として、GIASにおいて最も重視されるものはどれか。
A. 過去の監査で発見された不備の件数
B. 競合他社における同様のリスクの発生率
C. 組織のリスク許容度(Risk Appetite)
D. 内部監査部門の年間監査予算
【解答・解説】
正解と解説を表示
正解(C): 残余リスクの測定におけるゴールは、そのリスクの大きさが「組織が受け入れ可能とした範囲(リスク許容度)」の中に収まっているかを確認することです。許容度を超えている場合、追加のコントロールが必要です。
不正解(A、B): 参考情報にはなりますが、組織としての合否判定基準(ベンチマーク)はリスク許容度です。
不正解(D): 予算は監査計画に影響しますが、リスク評価の基準ではありません。
Q3. 内部監査部門長(CAE)は、ある監査業務の終了時に、担当監査人から「経営管理者が導入しているコントロールは有効に機能しているが、それでもなお、この業務の残余リスクは組織のリスク許容度を超えている」との報告を受けた。この場合、CAEがとるべき行動として最も適切なものはどれか。
A. コントロールが有効である以上、監査人の役割は終了しているため、報告書を発行して業務を完了する。
B. コントロールを強化するか、あるいは他の方法でリスクを低減するよう経営管理者に提言し、解決しない場合は上級経営陣や取締役会に報告する。
C. 組織のリスク許容度の方を現在の残余リスクに合わせて引き上げるよう、取締役会に要求する。
D. 残余リスクの計算方法を変更し、数値が許容度内に収まるように調整する。
【解答・解説】
正解と解説を表示
正解(B): コントロールが機能していても、リスクが高すぎる(許容度を超えている)なら、それは「コントロール不足」または「リスクの高すぎる事業」であることを意味します。CAEは、リスクが許容範囲に収まるよう追加措置を求めるか、経営陣がその過剰なリスクを受容していることが妥当かを確認(エスカレーション)する必要があります。
不正解(A): 許容度を超えたリスクを放置することは、内部監査の責任を果たしていません。
不正解(C): 許容度は取締役会が決定するものであり、監査の都合で変更を要求すべきではありません。
不正解(D): 数値の操作は不正行為であり、論外です。
