３：予備調査の実施④ リスク評価（20180314）

情報収集が終われば、次は「リスク評価」の段階に入ります。

基本とするのは、内部統制で実施している「リスクマネジメント」の結果である「重点リスク」です。
私のいた生協では、「リスク管理規程」に基づき、年次でリスクアセスメントを行い、重点リスクを抽出し、コントロール強化計画を策定することになっており、概ね3月には重点リスクが決定します。
重点リスクは、組織全体と事業部門ごとの区分があり、10～15程度が重点リスクとされ、コントロール強化策(目標）を四半期ごとの進捗評価を行います。(リスクマネジメントについては別のところで解説します）

予備調査では、まず、この「リスク評価」を用います。監査対象部署によっては、該当しないリスクもありますので、一旦、監査対象における重点リスクをチェックするに留めます。

その上で、監査対象部署の固有リスクについて検討します。
例えば、管理体制の変更（管理者の異動・役割変更等）に伴うマネジメントリスクはないかという点もリスクの一つです。
私のいた生協では、宅配事業センターでのマネジメントは、センター長・副センター長・エリアマネジャーという運営体制が基本になります。そして、供給管理や経理・物流等の事業に関わる実務の主要部分は、副センター長が担っています。ですから、センター長の異動よりも副センター長の異動のほうがマネジメント上のリスクは高いと考えられます。また、その異動についても、エリアマネジャーから副センター長へ昇格する場合と、横異動とではかなり違ってきます。
数年前、センター長の若返りのため15センター中13のセンター長が一斉に異動したことがありました。大半は副センター長からの昇格でしたが、同時に副センター長も大幅に異動することになり、ほとんどのセンターのマネジメントラインが一新することになりました。これはかなりのリスクです。もちろん、それぞれセンター長や副センターに任命された方は力量もありますから、それ自体重要な問題と考えるべきではないかもしれませんが、やはり、力量差はありますし、センター長・副長・エリアマネジャーの連携・意思疎通なども微妙に違ってくるため、マネジメント上の不具合が生じるのは避けられません。これをリスクと認識するかしないかで監査内容はかなり違ってくると思います。

前年度発生した事故や不適合事象はどうかという点も重要です。
事故や不適合事象の発生は、リスクの顕在化に他なりませんから、統制（コントロール）の改善が必要です。その措置がしっかりできているかは監査の重要なポイントになるわけです。
同様に、前年度の内部監査の指摘事項もリスクの一つに入れておきます。監査による指摘事項は、是正改善措置が取られるはずですが、意図した通りにできているかは重要なポイントです。

この作業は、監査計画策定の際、監査対象を選定する際にすでに実施していますので、前もっての情報はまとまっているため、あまり時間はかかりません。
それでも、見落としや軽重評価の変更はありますし、代表理事や常勤監事からの示唆も踏まえていくことでより実態に即したリスク評価に仕上げることを目指します。

書面調査・経営情報・ＫＰＩデータ分析・内部統制自己評価・リスク評価等が終了すると、いよいよ、監査ワークシートの作成に入ります。