内部監査におけるリスク評価基準の作り方
- 敏行 鎌田
- 9月9日
- 読了時間: 5分
リスク評価基準とは(定義・ねらい)
リスク評価基準は、組織がリスクを一貫した物差しで測るための「評価軸・尺度・算式・閾値(しきい値)」を定めたルールセットです。内部監査・内部統制(J‑SOX)・ERM(全社的リスク管理)で共通利用できるように設計し、比較可能性・説明可能性・再現性を担保します。
主な効用
監査計画をリスクベースで優先順位付け(高リスクプロセスの抽出)
監査所見の重要性判断を標準化(重大な欠陥/重要な不備 等)
経営会議・監査委員会での意思決定スピード向上(基準が明瞭)
設計プロセス(10ステップ)
目的と適用範囲:財務報告/業務運用/IT/法令順守 等
評価軸の選定:最低限「発生可能性(Likelihood)×影響度(Impact)」。必要に応じて発現速度(Velocity)、**検知可能性(Detectability)**を追加。
尺度(1–5など)の定義:各レベルの**アンカー(定義文・数値閾値)**を明記。
スコアリング方式:L×Iの積(5×5)を基本に、補正(V・D)や重み付けを規定。
固有リスク/残存リスク:統制効果を反映する計算式を定義。
閾値(高・中・低):色分けとエスカレーション基準を確定。
金額基準のキャリブレーション:**全社重要性(マテリアリティ)**や売上・利益比率で階層化。
KRI・データ源:更新頻度・参照台帳(インシデント、監査ログ、KPI 等)を指定。
運用ガバナンス:版数管理、改定責任者、承認フロー、教育計画。
パイロット→全社展開:2~3プロセスで試行し、言葉のズレを潰してから展開。
評価軸と尺度(1~5の例:そのまま流用可)
1 発生可能性(Likelihood)
レベル | 定義(年あたりの見込み) | 例 |
1 極めて低い | 5年に1回未満(≲20%) | 稀な例外条件のみ |
2 低い | 3~5年に1回(20–40%) | 特殊案件で発生 |
3 中程度 | 年1回程度(40–60%) | 毎期いくつか発生 |
4 高い | 年数回(60–80%) | 繰り返し観測 |
5 非常に高い | ほぼ確実(≳80%) | 常態化/構造的 |
2 影響度(Impact:複合軸で評価)
財務・法令順守・業務継続・風評の4分野で最も重い評価を採用(Max法)。
財務影響(例)
1:全社重要性(OM)の0.25×未満
2:OMの0.25~0.5×
3:OM相当
4:OMの1~2×
5:OMの2×以上※ OMは貴社のマテリアリティ(例:売上×0.5%や利益×5%等)を採用。社内ポリシーで定義。
法令・規制:行政指導/課徴金/許認可・上場レピュテーションへの影響度で1~5。業務継続:停止時間(例:<1h、<1日、<3日、<1週、≥1週)。風評:SNS炎上・全国紙・TV報道・顧客離脱率 などの段階で1~5。
3 補助軸(任意)
発現速度(Velocity):影響が即時~短期で顕在化するほど高評価(1~5)。
検知可能性(Detectability):検知しにくいほど高リスクとして扱う(1=容易/5=困難)。
スコアリング方式(推奨2パターン)
パターンA:シンプル&汎用(推奨)
固有リスク点=L×I(1~25)
補正:Vが4–5なら+1、Dが4–5なら+1(上限5×5=25は維持)
残存リスク点=固有リスク点×統制減衰係数k
k=0.6(強)/0.8(中)/1.0(弱) ※デザイン+運用の総合評価で決定
パターンB:重み付け合算(分析向け)
総合点(1.0~5.0)=0.45×L+0.45×I+0.05×V+0.05×(6−D)
残存リスク=総合点×k(上記同様)
役員報告はA、内部監査部内の詳細分析はBなど、二層運用が現実的。
閾値とエスカレーション(例)
固有リスク(L×I)
高(赤):15–25 → 監査必須/経営報告/是正計画
中(黄):8–14 → 監査対象候補/モニタリング強化
低(緑):1–7 → 監視継続/自律改善
残存リスクも同じ閾値で判定し、高が残る場合は統制再設計を優先。
固有リスクと残存リスク(統制反映の型)
固有リスク:統制が無い前提のL×I(+補助軸)
統制評価:デザイン有効性/運用有効性を強・中・弱で判定
残存リスク:固有×k
例:固有20点、統制「中」→k=0.8 → 残存16点(高) → 監査計画で最優先
統制の有効性は、ウォークスルー/サンプリングテスト/ログ分析等で裏付け。
ヒートマップ(5×5:運用ルール)
縦:影響度 1→5、横:発生可能性 1→5
15以上(赤)=四半期ごとレビュー+経営報告
8–14(黄)=半年レビュー+監視指標(KRI)設定
1–7(緑)=年次レビュー
監査委員会資料には、**前期比の点移動(↗︎↘︎)**も併記。
金額基準のキャリブレーション(実務の勘所)
Step1:全社重要性(OM)を確定(会計方針)
Step2:影響レベルの中心(3)をOMに合わせ、1=0.25×、5=2×など比率階層で定義
Step3:小規模部門には下限額、大口案件には上限額も併記
Step4:非金額影響(法令・風評・停止時間)も同じ5段階で整合
例題(2ケース)
1 期末の売上計上誤り(カットオフ)
L=3(年1回程度)、I=4(OM~2×OMの範囲)、V=4(決算短期で影響)、D=3(検知は普通)
固有:L×I=12(中)+V補正で13
統制:キー統制はあるが運用ばらつき → k=0.8
残存:13×0.8=10.4(中) → 監査対象、是正計画で運用徹底
2 サイバー攻撃による業務停止(生産)
L=2、I=5(≥1週停止で重大)、V=5(即時)、D=4(検知困難)
固有:L×I=10(中)+V/D補正で12
統制:DRサイト・演習あり(強) → k=0.6
残存:12×0.6=7.2(低~中) → モニタリング継続、演習頻度は維持
リスク登録簿(Risk Register)テンプレ
項目 | 記入例 |
リスクID / 名称 | FR‑001 期末の売上カットオフ誤り |
リスク記述 | 出荷基準と検収基準の混在により期間帰属がずれる |
発生要因 | マスタ設定不備、手動調整の横行 |
影響カテゴリ | 財務/法令/業務継続/風評(Max評価を採用) |
指標(KRI) | 期末直前の手動仕訳件数、差戻し率 |
発生可能性 L | 3 |
影響度 I | 4 |
発現速度 V/検知 D | 4/3 |
固有リスク点 | 13 |
既存統制 | 二者承認、承認ログ、カットオフチェック |
統制評価(k) | 中(0.8) |
残存リスク点 | 10.4(中) |
対応方針 | 低減(承認ワークフロー改修・教育) |
期限/責任者 | 2026‑03‑31/経理部長 |
Excel式(例):固有 = L*I + IF(V>=4,1,0) + IF(D>=4,1,0)残存 = 固有 * k
ガバナンス運用(最低限の約束事)
版数管理:評価基準は年度版+臨時改定。台帳(更新履歴)を監査調書で管理。
用語集(リスク辞書):各レベルの用例を記載し、解釈ズレを防止。
教育:新任管理者に2時間のハンズオン(ケース演習+採点合わせ)。
見直し:半期でKRI・インシデントをレビューし、閾値を調整。
整合:監査計画・内部統制評価・ERMの3文書で基準を共通化。
よくある落とし穴と回避策
金額だけで判定:法令・風評・停止時間を複合軸で評価。
極端な主観:アンカー文&数値でレベル定義を固定。
過度な精緻化:現場が運用できない。まず5段階×簡易補正から。
統制反映の恣意:kの基準表(強0.6/中0.8/弱1.0)を文書化。
見直し欠如:KRIの実績に合わせて年1回は再キャリブレーション。