リスク範囲の特定とリスク評価

　内部統制において「リスク」の一言は重く、多くを含みます。内部統制では、事業目的遂行を妨げるおそれのある全ての不確定な事象をリスクと考えます。「不確定」「予知できない」リスクに企業はさらされ、日々成長していきます。そのリスクを把握・評価し、適切な対応を取り、ステークスホルダーに対し責任を果たしていくことが企業として求められます。

　リスクの内容は、時代とともに環境が変わると変化していきます。よって、起こり得るリスクを洗い出し、分析・評価することが重要になります。つまり、行き当たりばったりの対応ではなく、あらかじめ起こり得るリスクを予測し、十分に対応をシミュレーションしておくことが不可欠となります。昨今の企業の不祥事でもお分かりの通り、対応の仕方を間違うと、企業の存続に大きな影響を与えてしまう時代です。そうならないために、まずは、業務上の起こり得るリスクを、まずは洗い出ししなければなりません。企業の不正献金、不正会計事件、従業員の不正取引、個人情報漏えいなどがないか調査し、万が一不祥事が起きてしまった場合、ステークホルダーがどんな影響を受け、どれくらいの規模で損失を被ったかなど加味し分析・評価を行わなければなりません。また、リスクを回避するには、対策を立て、それを文書化、マニュアル化することで全社的に徹底的に浸透させることが必須になります。不祥事が起きれば、経営者が不祥事を起こした責任、従業員の不祥事を防止できなかった責任を厳しく問われることになります。

　リスクマネジメントは損失を回避するだけでなく、企業価値を向上する効果もあります。市場は収益性が高く、収益変動の低い企業を評価するため、リスクマネジメントが損失防止・軽減、収益変動抑制に有効に働けば企業価値を高めることができます。
リスクを許容できるレベルまで引き下げることが肝要
　規制緩和が進み、自己責任に基づく事後規制へと社会的枠組みが変化していく中で、企業がそれぞれの判断でリスク軽減し、収益を上げていくことが必要となってきています。急激な技術進歩や事業の国際化、スピーディーな事業展開、環境問題などの新たな社会規制がリスクを拡大させる要素となっていることから、従来のような従業員間の暗黙の了解や、なんとなくある信頼関係に頼った管理体勢では、時代に遅れをとります。したがって、市場経済が急激に進展していく中、リスクの特定・評価や対応を怠れば、多くのステークホルダーに損失を与え、市場の信頼を失い、企業自らも厳しいペナルティを受けることになってしまいます。

　内部統制のリスクの考え方は、すべてのリスクをゼロにするのではなく、リスクを、許容できるレベルまで引き下げることが大切になります。「リスク対策のどこに問題があったか」「事後処理に問題はなかったか」「マニュアル通りにいかなかったことは何か」「損失発生は速やかに経営幹部に報告したか」「マニュアルは改善したか」などの観点で随時見直しを行うことが必要となります。リスクは時代や環境によって変化し、特にIT時代の今、技術進歩が著しいことから、1年前にはリスクでなかったことが、今ではリスクになっているということも十分考えられます。OSのモジュールに、パッチがついていないセキュリティ・ホールが見つかったということもあるでしょう。リスクマネジメントのプロセスを定期的に細かくチェックすることが重要となります。

　問題が発生した場合、外部にできるだけ漏らしたくないという心理が働くのが人間です。しかし、その時に問題点を隠蔽してしまうと、さらに新たなリスクを発生させてしまうことになるため、迅速で正しい判断と対応が必要となります。