日本版SOX法のリスクの範囲

今回は、リスクマネジメントのステップ1のリスクの調査、分析について扱います。しかし、内部統制に絡むリスクをどの程度の範囲で扱うのか、という疑問をずっと抱いています。
業務に絡むリスクだけでよいのか、それとも、企業価値を損ねるようなリスクまでも取り扱うのか、果たして、クライシスマネジメントまで含めるのか?
疑問はつきません。
通常、リスクマネジメントといえば、これら両方が含まれます。しかし、ここまでリスクの範囲を大きくしたのでは、日本版SOX法の範囲を超えているのではないかと考えます。
どこまで含めるのかという問題は、企業に委ねられていると解釈します。


日本版SOX法対応のみに限定するのか、業務改革まで実行するのか、全社的なリスクマネジメントを実行するのか、実施する企業の目的によって取り扱うリスクの範囲を明確にしなければなりません。
従って、大まかに範囲を規定すると以下のようになると思われます。
日本版SOX法対応のみ:財務リスクのみを扱う(財務諸表の正確性を保証する)
業務改革も実施する:業務遂行リスクまで扱う
全社リスクマネジメント:クライシスマネジメントまで扱う
さて、内部統制におけるリスクの調査、分析とは、業務フローを作成することから始まります。業務フローについては、過去何度も取り上げてきたので、省略します。
業務フローを見て、そこにどのようなリスクが存在するか洗い出すわけですが、財務リスクがどこに存在するかを見つけなければなりません。
日本版SOX法成立の背景と趣旨が、企業が公表する財務諸表の信頼性を確保し、投資家を保護するということですから、内部統制におけるリスクとは、「不正」が行われる可能性と解釈せざるを得ません。
「不正」という言葉自体も一義的な定義はありません。言葉から正しくないことだと解釈しても、では、何が正しいことなのか、正義とは何かなど、考えが広がってしまいます。行き着くところは、倫理観になってしまいます。
倫理観を元にすると、非常にややこしくなりますので、内部統制におけるリスクとは、法律、社内規定を基準にして、そのとおりに処理が行われない可能性、事実と異なる処理がされる可能性と定義すると、ぐっと範囲が狭くなり、扱いやすくなります。
財務リスクを考える上では、業務遂行時の
インプット:内容の正確性(過大・架空入力、過少・入力漏れ)
処理内容:処理の正確性(ロジックエラー)
アウトプット:内容正確性
を検討します。
こう考えると、具体的には、
・売上の架空計上、過小計上
・経費の架空計上、過小計上
・仕入れ、外部からの購入品の架空計上、過小計上
・在庫操作
・資産評価
などがあたります。これは、まさしく、粉飾決算の方法と同じものといえるでしょう。
また、投資家保護の観点から考えると、財務諸表に表れてこないものもあります。
例えば、先物取引、スワップ、デリバティブのようなものです。これらは、オフバランス取引といいます。
輸出企業が先物通貨取引をすることは、ある種、リスクヘッジのためにするのですが、これ自体がリスクであると考えなければなりません。これらは、業務フローには表れてこないものですので、注意が必要です。
このようなカテゴリからリスクを洗い出し、それを分析します。
分析には、まず、そのリスクの発生確率を考えます。そして、そのリスクが発生した場合の損害を金額換算し、影響度を考えます。そして、これらの指標を元に、リスクマトリックスを作成します。
しかし、内部統制におけるリスク分析を解説している資料は、私が見た限り、リスクマトリックスを書くようなことを解説していません。リスクを洗い出し、すぐに、リスクコントロールマトリックスを書くような解説をしています。
発生確率を横軸に、影響度を縦軸にしてリスクマトリックスを作成し、洗い出したリスクを4つの象限にマッピングします。象限により、取り得る処理手法が異なります。
例えば、発生確率が低く、また影響度も小さい象限は、リスク対策を何もしなくても良いかもしれません。逆に、発生確率が高く、影響度も大きいリスクは、すぐに対策を講じなければなりません。
リスクが発生した場合の損害が1億円と見積もられても、売上高1兆円の企業と100億円の企業とでは、影響度は異なります。
従って、例えば損害が売上高対比1%以上と見積もられるリスクに対策を講じると先に方針を決めておかなければなりません。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*