不正リスクの評価

 

不正リスクの評価 不正リスクの評価とは、不正リスクが特定し、評価することをいい、低減したい不正リスクが存在する潜在的手口(スキーム)や事象を特定できるように、企業等は不正リスクを定期的に評価するべきでしょう。


 不正リスクの評価とは、不正リスクが特定し、評価することをいい、低減したい不正リスクが存在する潜在的手口(スキーム)や事象を特定できるように、企業等は不正リスクを定期的に評価するべきでしょう。
企業等は、自身および利害関係者を有効的に不正から守るためには、不正リスク及び企業等固有の直接的な・間接的なリスクを把握するべきです。不正リスクの評価では、分析対象と主要な部門やプロセス等の範囲を特定し、現状の不正リスク管理体制の状況を把握します。そして、改善目標を設定し、現状とのギャップを埋めるために必要なステップの特定を行うため、企業等の固有の直接的又は間接的な不正リスクを把握する必要があります。
 企業等の規模・複雑性・業界・業績目標を勘案して、不正リスク評価方法を作成し、不正リスク評価は定期的に実施し、更新する必要があります。そのため、少なくとも企業等の不正リスクの特定、不正リスクの評価頻度や重要性の判断基準、不正リスクへの対応方法を含めて作成すべきでしょう。
 不正リスクの評価なお、不正リスクを特定するためには、規制機関、業界他社、主な指針の提供団体等における不正発生事例の外部情報の収集、業界に精通している人材へのインタビュー、内部通報内容のレビュー及び分析的手続を実施し、整理された情報を不正のトライアングル(不正の動機・プレッシャー、機会及び姿勢・正当化)を用いて分析します。また、従業員の報酬制度やその評価指標を理解することで不正が最も行われやすい状況を把握することができ、不正リスク評価には、潜在的な経営層による内部統制の無効化(マネジメント・オーバーライド)及び職務の分離を含む内部統制の欠陥を考慮します。情報時代においての利点となったスピード、機能性、アクセスのしやすさは、企業等の不正リスクを増大させています。そのため、不正リスク評価にはシステム制御へのアクセスやオーバーライドの他にも、データ完全性・システム安全性・財務データや機密情報の流出に対する内外の脅威を考慮する必要があるでしょう。
 潜在的な不正リスクの可能性や重要性の評価プロセスは主観に基づくものにならざるを得ません。よって、金額的重要性だけでなく、企業等の財務諸表・業務・レピュテーション・法規制の遵守性へのインパクトを考慮することになります。また、リスク許容度は企業等によって異なりますが、経営層は無計画であるよりは計画的なアプローチを採用する必要があるでしょう。不正リスクが存在する部分については企業等の継続的モニタリング活動等に反映することで、経営層は、不正リスクを低減することができるような内部統制を構築し、それらが適切で客観性のある人材により実施され、有効に機能している状態を確認することができます。

出典:松澤公貴著「「事業上の不正リスク管理のための実務指針」の概説」(2008年11月)より引用

不正リスクのガバナンス不正リスクのガバナンス 不正の予防と発見不正の予防と発見 不正調査と是正措置不正調査と是正措置