- 更新日 : 2024年7月12日
内部統制とリスクマネジメントの関係は?違いや手順をわかりやすく説明
内部統制とリスクマネジメントは同じプロセスだと思われがちですが、実は異なる点も多々あります。あらかじめ違いを押さえておかないと、いざ進めるとなった際にスムーズに遂行ができなくなるかもしれません。
本記事では、内部統制とリスクマネジメントの違いや、どのようにリスクマネジメントを進めていくべきか、など具体的に説明します。内部統制を進めていくにあたって、記事の内容は理解しておくようにしましょう。
目次
内部統制とリスクマネジメントの共通点
内部統制とリスクマネジメントの共通点は、会社に対するリスクを適切にコントロールするために行われることです。しかし、内部統制=リスクマネジメントではありません。内部統制の実行プロセスのなかに、リスクマネジメントが含まれるイメージです。
内部統制におけるリスクは、リスクマネジメントと同じように、適切に処理する必要があります。うまく対応できなければ、会社にとって悪い影響をおよぼしかねません。
内部統制とリスクマネジメントの違い
先に説明したとおり、内部統制とリスクマネジメントには共通している部分もありますが、一方で違いもあります。なぜなら、内部統制は会社内部のルールを統制するための仕組みだからです。
内部統制とリスクマネジメントの主な違いは、以下になります。
- コントロールする範囲
- リスクの意味
それぞれの違いについて、詳しく見ていきましょう。
コントロールする範囲
内部統制とリスクマネジメントにおける大きな違いは、「リスクコントロールする範囲」です。内部統制でコントロールするのは、会社内のリスク、いわゆる内部要因です。内部要因とは、組織の中で生じる情報システムの故障や不具合、会計処理の誤処理や不正行為の発生、個人情報や経営情報の流出などが主に挙げられます。
一方、リスクマネジメントでコントロールする範囲は、会社内だけでなく会社外のリスクも含まれます。会社外のリスク、いわゆる外部要因とは、天災や市場競争の激化、資源相場の変動などです。リスクマネジメントには、内部統制でコントロールすべきリスクも含みます。
リスクの意味
もうひとつ、内部統制とリスクマネジメントの違いには、「リスクの意味」があります。内部統制におけるリスクとは、確実性の高いリスクです。簡単にいうと、滅多に起きない天災のようなリスクではなく、情報システムの故障のように、恒久的ルールを作っておいたほうがよいリスクをコントロールします。
一方、リスクマネジメントにおけるリスクとは、不確実性という意味合いが強いです。いつ起こるかわからない天災や、新しい競合の出現、盗難など、不確実な事象をコントロールします。さらに、リスクマネジメントでは不確実な負の事象だけでなく、正の事象つまり会社にとってプラスとなる事象も含まれます。
そもそも内部統制とは
内部統制とは、会社法では以下のように定義されています。
一見難しく感じるかもしれませんが、要約すると「内部統制の整備をするときは、子会社や関連会社も含めて倫理規範や定款、法令に照らし合わせて業務遂行できるような体制の確保を図るように務める」ということを示しています。
繰り返しになりますが、内部統制は経営者が効率的かつ健全に会社を運営する仕組みです。そのため、内部統制でいうところの「リスク」とは、基本的には会社内に限定されるのです。
内部統制における内部監査の手順
そもそも内部監査とは、内部統制がきちんと機能しているかを確認すること、不正防止や経営目標の達成、業務の効率化を目的として実施されます。ここでは、内部統制における内部監査の手順を紹介します。
- 監査計画を立てる
監査計画では、監査する人・日程・場所・目的を決めます。監査の進め方についても、監査計画を立てる時点で作成しましょう。 - 予備調査を行う
予備調査とは、監査対象の部門へ通知し、事前に情報収集することです。予備調査することで、本調査をスムーズに実行できます。 - 本調査を行う
本調査では、予備調査で得た情報と監査マニュアルに沿って調査していきます。責任者や従業員へのヒアリングも行われます。 - 調査結果の評価・報告を行う
本調査での監査結果をまとめ、報告書類を作成、評価します。 - 監査手続き後の改善を行う
監査結果をもとに、監査対象の部門へ回答書や改善計画書を作成して提案します。部門だけで対処できない課題が見つかった場合は、他部署も含めて改善していきましょう。
内部監査については、こちらの記事で詳しく説明しています。
Money Forwardクラウド「内部監査とは?その目的やチェック項目を分かりやすく解説」
リスクマネジメントの手順
では、リスクマネジメントはどのように進めていくのでしょうか。リスクマネジメントの手順は、以下のとおりです。
- リスクの発見
- リスクの分析
- リスクの評価
- リスクへ対応
- モニタリング
各手順を詳しく見ていきましょう。
①リスクの発見
まずは、組織目標を達成する際、どのようなリスクが問題となるかを検討します。検討の際は各部門1名以上が参加し、全社的に網羅していくと、見落としが少なくなるでしょう。検討したリスクはリスト化し、目に見える形で記録しておきます。またリスト化の際は、各部門の業務フローの順に挙げていくと漏れが少なくなります。
②リスクの分析
次に、洗い出したリスクを分析します。リスクの分析とは、リスト化したリスクを会社への影響度と発生頻度などで分類していくフェーズです。
リスク分析で一般的に用いられるのが、PIマトリックスです。PIマトリックスを日本語でいうと、「発生確率・影響度マトリックス」。つまり、リスクを発生確率と影響度で分類することで、等級づけしていくプロセスです。
③リスクの評価
リスク分析が終わったら、次は分類したリスクを評価していきます。一般的には、発生確率と影響度をグラフ化し、目に見える形にして評価します。
グラフ化することで、影響度が大きく、発生する頻度も高いリスクが見えくるでしょう。しかし、影響度が低くても、早期対応できるのなら、そちらを優先すべきときもあります。必ずしも影響度と発生頻度の高いものを優先するのではなく、早期対応できるリスクに着目するのも忘れないようにしましょう。
④リスクへ対応
リスクの分析・評価により、当該リスクへの適切な対処を選択するフェーズです。評価したリスクを以下の対処法4つから選択します。
- 回避:リスク管理できない場合は回避を選択する
- 低減:リスクを回避できない場合、リスクをできるだけ低く管理する
- 移転:リスクの全部、または一部を組織の外部に転嫁する
- 受容:リスクを受け入れ、実際に影響があった場合に対処する
リスクの回避の例として、利益が見込めない場合のM&Aの中止や、赤字拡大の見込みが大きい事業からの撤退などがあります。
⑤モニタリング
リスクへの対応を徹底したら終わりではありません。忘れがちなのがモニタリングで、対応した事例をモニタリングして本当に対処できたのかを確認するフェーズです。モニタリングは定期的に実施し、リスクマネジメントが正しく行われているかを確認しましょう。
まとめ
リスクマネジメントとは、不確実性をコントロールする目的で実行されるプロセスです。内部統制とは異なり、外部要因もコントロール範囲に含まれます。基本的な手順は、リスクの発見・分析・評価・対応・モニタリングです。分析したリスクへ対応するだけでなく、定期的なモニタリングもしましょう。
この記事をお読みの方におすすめのガイド4選
最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
やることリスト付き!内部統制構築ガイド
内部統制を基礎から知りたい方・内部統制の導入を検討している担当の方・形式だけになっている内部統制を見直したい方におすすめの人気ガイドです。
内部統制の基本と内部統制構築のポイントをギュッとまとめています。
J-SOX 3点セット攻略ガイド
すべての上場企業が対象となるJ-SOX(内部統制報告制度)。
本資料では、IPO準備などでこれからはじめてJ-SOXに対応する企業向けにJ-SOXの基本からその対応方法までをまとめた、役立つガイドです。
経理担当者向け!Chat GPTの活用アイデア・プロンプトまとめ12選
経理担当者がChat GPTをどのように活用できるか、主なアイデアを12選まとめた人気のガイドです。
プロンプトと出力内容も掲載しており、コピペで簡単に試すことも可能です。
マネーフォワード クラウド会計Plus サービス資料
マネーフォワード クラウド会計Plusは、IPO準備・中堅〜上場企業向けの業務効率化と内部統制強化を実現するクラウド会計ソフトです。
銀行やクレジットカード連携で取引データを自動取得、AIによる自動仕訳で会計業務を効率化。周辺システムと連携することで、二重入力や確認工数を削減します。また、仕訳承認機能やユーザーごとの権限・ログ管理機能を搭載しており、内部統制にも対応。SOC報告書も提供しています。
よくある質問
内部統制・リスクマネジメントとは?
内部統制とは、子会社や関連会社も含めて倫理規範や定款、法令に照らし合わせて業務遂行できるような体制の確保を図るように務めることです。リスクマネジメントの意味は、不確実性をコントロールする目的で実行されるプロセスです。
内部統制とリスクマネジメントの違いとは?
内部統制とリスクマネジメントの違いは、コントロールの範囲とリスクの意味です。内部統制でコントロールするのは、会社内のリスク、いわゆる内部要因です。 一方、リスクマネジメントでコントロールする範囲は、会社内だけでなく会社外のリスクも含まれます。内部統制におけるリスクとは、確実性の高いリスクです。一方、リスクマネジメントにおけるリスクとは、不確実性という意味合いが強いです。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
株式上場(IPO)にかかる費用を段階別に解説
株式上場(IPO)を目指す際、まず気になるのは「どれくらいの費用がかかるか」という点ではないでしょうか。上場審査には当然費用がかかります。また、上場後も新株の発行などで継続的に費用が発生します。そしてもちろん、準備段階でもさまざまな費用が必…
詳しくみる財務報告に係る内部統制報告制度が改訂される理由は?ポイントも解説
内部統制とは、事業の目標を達成するために、正しいルールや方法を作り、運用することです。内部統制は、企業のリスクを管理する目的で、不正が起きにくい環境を作ることを目指しています。 2008年に導入された制度ですが、仕組みに限界がきており問題に…
詳しくみる内部通報制度の問題点とは?主な課題と改善策を解説
内部通報制度(公益通報制度)は、企業内の不正行為を従業員が匿名または記名で通報できる仕組みです。日本では2006年の公益通報者保護法施行以降、多くの企業がこの制度を導入し、2022年改正法で従業員301人以上の事業者には制度整備が義務化され…
詳しくみるISMSとは?認証を取得するメリットや流れ、費用までわかりやすく解説
近年、企業や組織における情報セキュリティの重要性はますます高まっています。サイバー攻撃の巧妙化、内部不正による情報漏洩など、情報資産に対する脅威は後を絶ちません。 このような状況下で注目されているのが「ISMS」です。この記事では、ISMS…
詳しくみる企業の牽制機能とは?定義、導入例、課題と解決策を解説
企業にとって健全な経営は、顧客、取引先、投資家、社員などのステークホルダーからの信頼を得ることや法律を遵守する上で重要です。健全な経営のためには、企業内で牽制機能が正しく機能している必要があります。 牽制機能とは、組織内部や取引先などの不正…
詳しくみる内部統制とは?目的ややるべきことリストを公開、徹底解説します!
IPOを実現するためには、避けては通れない内部統制の構築・運用。証券市場で認められるために「正しい会社運営を担保する仕組み」として不可欠のものとなります。 内部統制を整えることは上場要件を満たすだけではなく、会社内部の運営上のメリットも多く…
詳しくみる