• 更新日 : 2024年7月12日

内部統制とリスクマネジメントの関係は？違いや手順をわかりやすく説明

内部統制とリスクマネジメントは同じプロセスだと思われがちですが、実は異なる点も多々あります。あらかじめ違いを押さえておかないと、いざ進めるとなった際にスムーズに遂行ができなくなるかもしれません。

本記事では、内部統制とリスクマネジメントの違いや、どのようにリスクマネジメントを進めていくべきか、など具体的に説明します。内部統制を進めていくにあたって、記事の内容は理解しておくようにしましょう。

内部統制とリスクマネジメントの共通点

内部統制とリスクマネジメントの共通点は、会社に対するリスクを適切にコントロールするために行われることです。しかし、内部統制＝リスクマネジメントではありません。内部統制の実行プロセスのなかに、リスクマネジメントが含まれるイメージです。

内部統制におけるリスクは、リスクマネジメントと同じように、適切に処理する必要があります。うまく対応できなければ、会社にとって悪い影響をおよぼしかねません。

内部統制とリスクマネジメントの違い

先に説明したとおり、内部統制とリスクマネジメントには共通している部分もありますが、一方で違いもあります。なぜなら、内部統制は会社内部のルールを統制するための仕組みだからです。

内部統制とリスクマネジメントの主な違いは、以下になります。

• コントロールする範囲
• リスクの意味

それぞれの違いについて、詳しく見ていきましょう。

コントロールする範囲

内部統制とリスクマネジメントにおける大きな違いは、「リスクコントロールする範囲」です。内部統制でコントロールするのは、会社内のリスク、いわゆる内部要因です。内部要因とは、組織の中で生じる情報システムの故障や不具合、会計処理の誤処理や不正行為の発生、個人情報や経営情報の流出などが主に挙げられます。

一方、リスクマネジメントでコントロールする範囲は、会社内だけでなく会社外のリスクも含まれます。会社外のリスク、いわゆる外部要因とは、天災や市場競争の激化、資源相場の変動などです。リスクマネジメントには、内部統制でコントロールすべきリスクも含みます。

リスクの意味

もうひとつ、内部統制とリスクマネジメントの違いには、「リスクの意味」があります。内部統制におけるリスクとは、確実性の高いリスクです。簡単にいうと、滅多に起きない天災のようなリスクではなく、情報システムの故障のように、恒久的ルールを作っておいたほうがよいリスクをコントロールします。

一方、リスクマネジメントにおけるリスクとは、不確実性という意味合いが強いです。いつ起こるかわからない天災や、新しい競合の出現、盗難など、不確実な事象をコントロールします。さらに、リスクマネジメントでは不確実な負の事象だけでなく、正の事象つまり会社にとってプラスとなる事象も含まれます。

そもそも内部統制とは

内部統制とは、会社法では以下のように定義されています。

一見難しく感じるかもしれませんが、要約すると「内部統制の整備をするときは、子会社や関連会社も含めて倫理規範や定款、法令に照らし合わせて業務遂行できるような体制の確保を図るように務める」ということを示しています。

繰り返しになりますが、内部統制は経営者が効率的かつ健全に会社を運営する仕組みです。そのため、内部統制でいうところの「リスク」とは、基本的には会社内に限定されるのです。

内部統制における内部監査の手順

そもそも内部監査とは、内部統制がきちんと機能しているかを確認すること、不正防止や経営目標の達成、業務の効率化を目的として実施されます。ここでは、内部統制における内部監査の手順を紹介します。

1. 監査計画を立てる
   監査計画では、監査する人・日程・場所・目的を決めます。監査の進め方についても、監査計画を立てる時点で作成しましょう。
2. 予備調査を行う
   予備調査とは、監査対象の部門へ通知し、事前に情報収集することです。予備調査することで、本調査をスムーズに実行できます。
3. 本調査を行う
   本調査では、予備調査で得た情報と監査マニュアルに沿って調査していきます。責任者や従業員へのヒアリングも行われます。
4. 調査結果の評価・報告を行う
   本調査での監査結果をまとめ、報告書類を作成、評価します。
5. 監査手続き後の改善を行う
   監査結果をもとに、監査対象の部門へ回答書や改善計画書を作成して提案します。部門だけで対処できない課題が見つかった場合は、他部署も含めて改善していきましょう。

内部監査については、こちらの記事で詳しく説明しています。
Money Forwardクラウド「内部監査とは？その目的やチェック項目を分かりやすく解説」

リスクマネジメントの手順

では、リスクマネジメントはどのように進めていくのでしょうか。リスクマネジメントの手順は、以下のとおりです。

1. リスクの発見
2. リスクの分析
3. リスクの評価
4. リスクへ対応
5. モニタリング

各手順を詳しく見ていきましょう。

①リスクの発見

まずは、組織目標を達成する際、どのようなリスクが問題となるかを検討します。検討の際は各部門1名以上が参加し、全社的に網羅していくと、見落としが少なくなるでしょう。検討したリスクはリスト化し、目に見える形で記録しておきます。またリスト化の際は、各部門の業務フローの順に挙げていくと漏れが少なくなります。

②リスクの分析

次に、洗い出したリスクを分析します。リスクの分析とは、リスト化したリスクを会社への影響度と発生頻度などで分類していくフェーズです。

リスク分析で一般的に用いられるのが、PIマトリックスです。PIマトリックスを日本語でいうと、「発生確率・影響度マトリックス」。つまり、リスクを発生確率と影響度で分類することで、等級づけしていくプロセスです。

③リスクの評価

リスク分析が終わったら、次は分類したリスクを評価していきます。一般的には、発生確率と影響度をグラフ化し、目に見える形にして評価します。

グラフ化することで、影響度が大きく、発生する頻度も高いリスクが見えくるでしょう。しかし、影響度が低くても、早期対応できるのなら、そちらを優先すべきときもあります。必ずしも影響度と発生頻度の高いものを優先するのではなく、早期対応できるリスクに着目するのも忘れないようにしましょう。

④リスクへ対応

リスクの分析・評価により、当該リスクへの適切な対処を選択するフェーズです。評価したリスクを以下の対処法4つから選択します。

• 回避：リスク管理できない場合は回避を選択する
• 低減：リスクを回避できない場合、リスクをできるだけ低く管理する
• 移転：リスクの全部、または一部を組織の外部に転嫁する
• 受容：リスクを受け入れ、実際に影響があった場合に対処する

リスクの回避の例として、利益が見込めない場合のM＆Aの中止や、赤字拡大の見込みが大きい事業からの撤退などがあります。

⑤モニタリング

リスクへの対応を徹底したら終わりではありません。忘れがちなのがモニタリングで、対応した事例をモニタリングして本当に対処できたのかを確認するフェーズです。モニタリングは定期的に実施し、リスクマネジメントが正しく行われているかを確認しましょう。

まとめ

リスクマネジメントとは、不確実性をコントロールする目的で実行されるプロセスです。内部統制とは異なり、外部要因もコントロール範囲に含まれます。基本的な手順は、リスクの発見・分析・評価・対応・モニタリングです。分析したリスクへ対応するだけでなく、定期的なモニタリングもしましょう。

よくある質問

内部統制・リスクマネジメントとは？

内部統制とは、子会社や関連会社も含めて倫理規範や定款、法令に照らし合わせて業務遂行できるような体制の確保を図るように務めることです。リスクマネジメントの意味は、不確実性をコントロールする目的で実行されるプロセスです。

内部統制とリスクマネジメントの違いとは？

内部統制とリスクマネジメントの違いは、コントロールの範囲とリスクの意味です。内部統制でコントロールするのは、会社内のリスク、いわゆる内部要因です。 一方、リスクマネジメントでコントロールする範囲は、会社内だけでなく会社外のリスクも含まれます。内部統制におけるリスクとは、確実性の高いリスクです。一方、リスクマネジメントにおけるリスクとは、不確実性という意味合いが強いです。

• 監修：中川崇

  田園調布坂上事務所代表。広島県出身。大学院博士前期課程修了後、ソフトウェア開発会社入社。退職後、公認会計士試験を受験して2006年合格。2010年公認会計士登録、2016年税理士登録。監査法人2社、金融機関などを経て2018年4月大田区に会計事務所である田園調布坂上事務所を設立。現在、クラウド会計に強みを持つ会計事務所として、ITを駆使した会計を武器に、東京都内を中心に活動を行っている。