- 更新日 : 2024年7月12日
内部統制とリスクマネジメントの関係は?違いや手順をわかりやすく説明
内部統制とリスクマネジメントは同じプロセスだと思われがちですが、実は異なる点も多々あります。あらかじめ違いを押さえておかないと、いざ進めるとなった際にスムーズに遂行ができなくなるかもしれません。
本記事では、内部統制とリスクマネジメントの違いや、どのようにリスクマネジメントを進めていくべきか、など具体的に説明します。内部統制を進めていくにあたって、記事の内容は理解しておくようにしましょう。
目次
内部統制とリスクマネジメントの共通点
内部統制とリスクマネジメントの共通点は、会社に対するリスクを適切にコントロールするために行われることです。しかし、内部統制=リスクマネジメントではありません。内部統制の実行プロセスのなかに、リスクマネジメントが含まれるイメージです。
内部統制におけるリスクは、リスクマネジメントと同じように、適切に処理する必要があります。うまく対応できなければ、会社にとって悪い影響をおよぼしかねません。
内部統制とリスクマネジメントの違い
先に説明したとおり、内部統制とリスクマネジメントには共通している部分もありますが、一方で違いもあります。なぜなら、内部統制は会社内部のルールを統制するための仕組みだからです。
内部統制とリスクマネジメントの主な違いは、以下になります。
- コントロールする範囲
- リスクの意味
それぞれの違いについて、詳しく見ていきましょう。
コントロールする範囲
内部統制とリスクマネジメントにおける大きな違いは、「リスクコントロールする範囲」です。内部統制でコントロールするのは、会社内のリスク、いわゆる内部要因です。内部要因とは、組織の中で生じる情報システムの故障や不具合、会計処理の誤処理や不正行為の発生、個人情報や経営情報の流出などが主に挙げられます。
一方、リスクマネジメントでコントロールする範囲は、会社内だけでなく会社外のリスクも含まれます。会社外のリスク、いわゆる外部要因とは、天災や市場競争の激化、資源相場の変動などです。リスクマネジメントには、内部統制でコントロールすべきリスクも含みます。
リスクの意味
もうひとつ、内部統制とリスクマネジメントの違いには、「リスクの意味」があります。内部統制におけるリスクとは、確実性の高いリスクです。簡単にいうと、滅多に起きない天災のようなリスクではなく、情報システムの故障のように、恒久的ルールを作っておいたほうがよいリスクをコントロールします。
一方、リスクマネジメントにおけるリスクとは、不確実性という意味合いが強いです。いつ起こるかわからない天災や、新しい競合の出現、盗難など、不確実な事象をコントロールします。さらに、リスクマネジメントでは不確実な負の事象だけでなく、正の事象つまり会社にとってプラスとなる事象も含まれます。
そもそも内部統制とは
内部統制とは、会社法では以下のように定義されています。
一見難しく感じるかもしれませんが、要約すると「内部統制の整備をするときは、子会社や関連会社も含めて倫理規範や定款、法令に照らし合わせて業務遂行できるような体制の確保を図るように務める」ということを示しています。
繰り返しになりますが、内部統制は経営者が効率的かつ健全に会社を運営する仕組みです。そのため、内部統制でいうところの「リスク」とは、基本的には会社内に限定されるのです。
内部統制における内部監査の手順
そもそも内部監査とは、内部統制がきちんと機能しているかを確認すること、不正防止や経営目標の達成、業務の効率化を目的として実施されます。ここでは、内部統制における内部監査の手順を紹介します。
- 監査計画を立てる
監査計画では、監査する人・日程・場所・目的を決めます。監査の進め方についても、監査計画を立てる時点で作成しましょう。 - 予備調査を行う
予備調査とは、監査対象の部門へ通知し、事前に情報収集することです。予備調査することで、本調査をスムーズに実行できます。 - 本調査を行う
本調査では、予備調査で得た情報と監査マニュアルに沿って調査していきます。責任者や従業員へのヒアリングも行われます。 - 調査結果の評価・報告を行う
本調査での監査結果をまとめ、報告書類を作成、評価します。 - 監査手続き後の改善を行う
監査結果をもとに、監査対象の部門へ回答書や改善計画書を作成して提案します。部門だけで対処できない課題が見つかった場合は、他部署も含めて改善していきましょう。
内部監査については、こちらの記事で詳しく説明しています。
Money Forwardクラウド「内部監査とは?その目的やチェック項目を分かりやすく解説」
リスクマネジメントの手順
では、リスクマネジメントはどのように進めていくのでしょうか。リスクマネジメントの手順は、以下のとおりです。
- リスクの発見
- リスクの分析
- リスクの評価
- リスクへ対応
- モニタリング
各手順を詳しく見ていきましょう。
①リスクの発見
まずは、組織目標を達成する際、どのようなリスクが問題となるかを検討します。検討の際は各部門1名以上が参加し、全社的に網羅していくと、見落としが少なくなるでしょう。検討したリスクはリスト化し、目に見える形で記録しておきます。またリスト化の際は、各部門の業務フローの順に挙げていくと漏れが少なくなります。
②リスクの分析
次に、洗い出したリスクを分析します。リスクの分析とは、リスト化したリスクを会社への影響度と発生頻度などで分類していくフェーズです。
リスク分析で一般的に用いられるのが、PIマトリックスです。PIマトリックスを日本語でいうと、「発生確率・影響度マトリックス」。つまり、リスクを発生確率と影響度で分類することで、等級づけしていくプロセスです。
③リスクの評価
リスク分析が終わったら、次は分類したリスクを評価していきます。一般的には、発生確率と影響度をグラフ化し、目に見える形にして評価します。
グラフ化することで、影響度が大きく、発生する頻度も高いリスクが見えくるでしょう。しかし、影響度が低くても、早期対応できるのなら、そちらを優先すべきときもあります。必ずしも影響度と発生頻度の高いものを優先するのではなく、早期対応できるリスクに着目するのも忘れないようにしましょう。
④リスクへ対応
リスクの分析・評価により、当該リスクへの適切な対処を選択するフェーズです。評価したリスクを以下の対処法4つから選択します。
- 回避:リスク管理できない場合は回避を選択する
- 低減:リスクを回避できない場合、リスクをできるだけ低く管理する
- 移転:リスクの全部、または一部を組織の外部に転嫁する
- 受容:リスクを受け入れ、実際に影響があった場合に対処する
リスクの回避の例として、利益が見込めない場合のM&Aの中止や、赤字拡大の見込みが大きい事業からの撤退などがあります。
⑤モニタリング
リスクへの対応を徹底したら終わりではありません。忘れがちなのがモニタリングで、対応した事例をモニタリングして本当に対処できたのかを確認するフェーズです。モニタリングは定期的に実施し、リスクマネジメントが正しく行われているかを確認しましょう。
まとめ
リスクマネジメントとは、不確実性をコントロールする目的で実行されるプロセスです。内部統制とは異なり、外部要因もコントロール範囲に含まれます。基本的な手順は、リスクの発見・分析・評価・対応・モニタリングです。分析したリスクへ対応するだけでなく、定期的なモニタリングもしましょう。
この記事をお読みの方におすすめのガイド4選
最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
やることリスト付き!内部統制構築ガイド
内部統制を基礎から知りたい方・内部統制の導入を検討している担当の方・形式だけになっている内部統制を見直したい方におすすめの人気ガイドです。
内部統制の基本と内部統制構築のポイントをギュッとまとめています。
J-SOX 3点セット攻略ガイド
すべての上場企業が対象となるJ-SOX(内部統制報告制度)。
本資料では、IPO準備などでこれからはじめてJ-SOXに対応する企業向けにJ-SOXの基本からその対応方法までをまとめた、役立つガイドです。
経理担当者向け!Chat GPTの活用アイデア・プロンプトまとめ12選
経理担当者がChat GPTをどのように活用できるか、主なアイデアを12選まとめた人気のガイドです。
プロンプトと出力内容も掲載しており、コピペで簡単に試すことも可能です。
マネーフォワード クラウド会計Plus サービス資料
マネーフォワード クラウド会計Plusは、IPO準備・中堅〜上場企業向けの業務効率化と内部統制強化を実現するクラウド会計ソフトです。
銀行やクレジットカード連携で取引データを自動取得、AIによる自動仕訳で会計業務を効率化。周辺システムと連携することで、二重入力や確認工数を削減します。また、仕訳承認機能やユーザーごとの権限・ログ管理機能を搭載しており、内部統制にも対応。SOC報告書も提供しています。
よくある質問
内部統制・リスクマネジメントとは?
内部統制とは、子会社や関連会社も含めて倫理規範や定款、法令に照らし合わせて業務遂行できるような体制の確保を図るように務めることです。リスクマネジメントの意味は、不確実性をコントロールする目的で実行されるプロセスです。
内部統制とリスクマネジメントの違いとは?
内部統制とリスクマネジメントの違いは、コントロールの範囲とリスクの意味です。内部統制でコントロールするのは、会社内のリスク、いわゆる内部要因です。 一方、リスクマネジメントでコントロールする範囲は、会社内だけでなく会社外のリスクも含まれます。内部統制におけるリスクとは、確実性の高いリスクです。一方、リスクマネジメントにおけるリスクとは、不確実性という意味合いが強いです。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
IPO株を上場後に購入するメリット・デメリットは?手順や確認事項も紹介
これから投資を始めたいという人の中には、IPO株を上場後に購入する「セカンダリー投資」に興味がある人もいるのではないでしょうか。セカンダリー投資はリスクの高い投資手法といわれていますが、短期間で大きな利益が狙える投資でもあります。損失を減ら…
詳しくみるIPOにおける管理部門の役割とは?強化の重要性や課題・対策を解説
IPOの際、管理部門は、IPOを実現するための体制作りや、利害関係者への対応などの役割を担います。通常時よりも業務の負担が増えるため、外部コンサルタントの起用などの対策が必要です。 本記事では、IPOにおける管理部門強化の重要性や直面する課…
詳しくみるISMSの構成管理とは?重要性や進め方のポイントなどを解説|ISO 27001:2022対応
ISMSを効果的に運用し、これらの規格要求に応える上で、構成管理は極めて重要な役割を担います。しかし、構成管理と聞いても、何をどのように管理するのか具体的なイメージが湧かない方も多いのではないでしょうか。 本記事では、ISMSにおける構成管…
詳しくみるELC(全社的内部統制)とは?評価項目例や構築のポイントも説明
内部統制において、ELC(全社的内部統制)を整備しておくことは重要です。まだELCについての知識が少なかったり、これから学ぼうと思っていたりする方も少なくないでしょう。 本記事ではELCとはどのような内部統制なのか、その評価項目や構築のポイ…
詳しくみるISMSの種類とは?ISO27001:2022から関連規格、ISMAPまで初心者向けに徹底解説
情報セキュリティ対策の重要性が増す中、「ISMS」という言葉を耳にする機会も増えたのではないでしょうか?ISMSにはさまざまな種類の規格があり、どれが自社に必要なのか迷うこともあるかもしれません。 この記事では、ISMSの基本的な考え方から…
詳しくみる上場企業における関連会社とは?上場審査の項目や整理する時期・方法を説明
自社の上場を予定している場合、関連会社の取り扱いに困ることがあるかもしれません。状況によっては、関連会社が上場審査に悪い影響を与える可能性があるためです。 この記事では、関連会社の定義や子会社との違い、関連会社がある場合の上場審査項目、関連…
詳しくみる