2026/07/11
解説
リスクベース監査とは。網羅型との違い・実務ステップ・不正リスクへの適用を解説
リスクベース監査(リスクアプローチ)とは、発生可能性や影響度に加え、既存の統制状況を踏まえて残存リスクの高い領域を見極め、限られた監査資源を重点的に配分する監査手法です。内部監査計画を策定する際に、すべての領域を同じ深度で点検するのではなく、リスク評価に基づいて優先順位を決める考え方です。
この記事では、リスクベース監査の定義、網羅型監査との違い、準拠性監査・実証性監査との関係、実務での進め方(5つのステップ)、不正リスクへの適用と継続的モニタリングの必要性までを解説します。
目次
リスクベース監査とは(定義と網羅型との違い)
リスクベース監査の出発点は、監査対象を「リスクの大きさ」で重み付けするという発想です。ここでいうリスクは、一般に「発生可能性(起こりやすさ)」と「影響度(起きたときの大きさ)」を基礎に評価されます。内部監査の実務では、これに統制の有効性(既存のコントロールがどの程度効いているか)や残存リスクの観点を加えて、監査上の優先順位を判断します。こうした考え方はリスクベースアプローチと呼ばれます。
すべての業務を等しく点検するのではなく、限られた人員と時間を「起きたら困る」ところへ傾斜配分します。これがリスクベース監査(リスクアプローチ)の核となる思想です。
網羅型監査との違い
リスクベース監査と対比されるのが、網羅型監査です。網羅型は、監査対象領域の中でリスクの高低によって大きく優先順位をつけるのではなく、対象範囲を広く、比較的均一に点検していく考え方を指します。両者の違いは、次の観点で整理できます。
| 観点 | 網羅型監査 | リスクベース監査 (リスクアプローチ) |
|---|---|---|
| 監査対象の選び方 | 対象範囲を広く取り、均一に点検する | リスク評価に基づき高リスク領域を選ぶ |
| 資源配分 | 対象へおおむね均等に配分する | 高リスク領域へ傾斜配分する |
| 主な限界 | 対象が膨らむと資源が不足しやすい | リスク評価を誤ると重要領域を見落とす |
網羅型は「対象範囲を広く確認する」という安心感がある一方、対象範囲を広く取っても個別の手続はサンプリングや重点確認になることが多く、監査対象が膨大になると、限られた監査部門の資源では点検が浅くなりがちです。ただし、対象の性質や規制上の要件によって使い分けや併用が検討されます。
準拠性監査・実証性監査との関係
「準拠性監査 リスクベース監査」という組み合わせで検索されることも多いため、関係を整理しておきます。準拠性監査は「ルールや手続きが定められたとおりに守られているか」を確かめる監査です。一方、実証手続・実証性テスト(実証性監査とも呼ばれます)は、取引や残高などの事実そのものが正しいかを直接確かめる手続を指します。
これらは「何を確かめるか」という監査の目的による分類です。一方、リスクベースアプローチは「どこに重点を置くか」という資源配分の軸を示す考え方です。両者は排他的ではなく、「高リスクな対象から優先的に確かめる」という形で組み合わせて用いられます。
なお、内部監査の国際的な枠組みとしては、IIA(内部監査人協会)の「グローバル内部監査基準」が2025年1月9日に発効しており、限られた監査資源を組織の重要リスクへ集中させるリスクベースの内部監査計画を維持・更新する考え方が引き続き重視されています。本記事では、日本の実務で広く参照される日本内部監査協会の実務指針も踏まえて解説します。
なぜリスクベース監査が求められるのか
近年の内部監査では、限られた監査資源を組織の重要リスクに集中させるリスクベースの監査計画がいっそう重視されています。事業の多角化、海外拠点や取引先の増加、システムやデータの複雑化によって点検対象は増え続ける一方、多くの組織では監査部門の人員や予算を同じペースで増やすことは容易ではなく、「すべてを均一に見る」という前提が崩れつつあるためです。
さらに、リスクの「質」も変化しています。従来の会計・業務プロセス上のリスクに加え、次のような領域が高度化・不可視化しています。
- IT・サイバー領域のリスク(システム障害、情報漏えい、サイバー攻撃など)
- グローバル展開に伴う各国法規制・贈収賄規制への対応リスク
- 内部者による不正リスク(資産の流用、不正な会計処理、情報の持ち出しなど)
なお、こうした複雑化に監査部門がどう対応するかという効率化・デジタル化の論点は、内部監査のDXで別途詳しく解説しています。本記事では深追いせず、「どこに重点を置くか」という配分の問題に絞ります。
ここで重要なのは、高リスク領域の見極めが領域ごとに難しさを異にする点です。とりわけ不正リスクは、後述するように見極めが難しく、リスクベース監査の実効性が問われる領域です。
リスクベース監査の進め方(実務ステップ)
以下の5つのステップは、日本内部監査協会「実務指針5.2 リスク評価に基づく計画の策定」(2017年、PDF)が示すリスクの識別・分析・評価、監査計画の策定・更新という考え方を、実務で使いやすい流れに整理したものです。
- オーディット・ユニバースの把握 — ガバナンス・プロセス、リスク・マネジメント、コントロールに関連する経営諸活動を起点に、監査対象になり得る領域の全体像を洗い出します(日本内部監査協会「実務指針6.0 内部監査の対象範囲」2017年3月公表、PDF)。部門・業務プロセス・拠点・システムなどを一覧化し、「どこが監査の候補か」を可視化する起点です。
- リスクの識別 — 各領域にどのようなリスクが潜んでいるかを洗い出します。過去の指摘事項、外部環境の変化、内部通報や現場からの情報などを手がかりにします。
- リスク評価(発生可能性・影響度・統制状況) — 識別したリスクを、発生可能性と影響度に加え、既存の統制の有効性(残存リスク)も踏まえてスコアリングし、相対的な優先順位をつけます。ここで残存リスクが高いと評価された領域が、次の監査計画の中心になります。
- 監査計画への反映 — 評価結果に基づき、高リスク領域へ監査資源(人員・日数・深度)を傾斜配分した年度監査計画を策定します。必要に応じて、中・長期の監査計画にも反映します。
- 実施・モニタリング — 計画に沿って監査を実施し、その結果や新たに把握した情報を次期のリスク評価へフィードバックします。
このステップで見落とせないのは、リスク評価が一度きりの作業ではないという点です。リスク評価は少なくとも年次で実施することが基本ですが、組織内外の環境に重大な変化が生じた場合には、必要に応じて評価を見直し、監査計画の変更を検討することが求められます。こうして評価と計画を回し続ける「サイクル」の「谷間」で何が起きるかが、次に述べる不正リスクへの適用で問われることになります。
リスクベース監査を”不正リスク”に適用する
リスクベース監査の実効性が特に問われやすい領域の一つが、不正リスクへの適用です。ここには、標準的な進め方だけでは埋めきれない実務上の落とし穴があります。あらかじめ要点を整理すると、次の3点です。
- 年次のリスク評価だけに依存すると、評価結果が特定時点の”スナップショット”にとどまりやすく、評価した瞬間から状況が動き始めます。
- 「機会」は評価時点の”あと”に生じやすく、年に一度の評価では捉えきれないことがあります。
- レッドフラグは”監査の谷間”で立ち上がりやすく、次の監査まで把握が遅れるおそれがあります。
年次のリスク評価は”スナップショット”になりやすい
多くの組織では、リスク評価は年度計画の策定時に集中して行われるため、ある時点で切り取った”スナップショット”になりやすいのです。ところが不正リスクは静的ではありません。人の動機や統制の状態は絶えず変化し、評価した瞬間から状況は動き始めます。不正リスクを一枚の静止画ではなく動き続けるプロセスとして捉える視点については、不正リスクを”結果”ではなく”プロセス”で捉えるで論じています。
「機会」は評価時点の”あと”に生まれる
不正の背景を説明する代表的な枠組みに、クレッシーの研究を基礎とする不正のトライアングル(動機・機会・正当化)があります。このうち、内部統制や内部監査によって比較的コントロールしやすいのが「機会」、すなわち不正を実行できてしまう環境です。問題は、この「機会」がリスク評価の時点に存在しているとは限らず、評価の”あと”に生じることがある点です。
不正調査の実務では、退職や異動でチェック役が抜けたまま権限が残る、繁忙期に承認が形骸化する、システム更改の過渡期に一時的な例外運用が生じる——こうした職務分掌の綻びや統制の隙は、年度当初の評価では想定されていなかった場所に期中に突然開き、年に一度の評価ではこの「あとから開いた穴」を捉えきれません。
レッドフラグは”監査の谷間”で立つ
不正の予兆となる異常兆候、いわゆるレッドフラグも同様です。不正調査やフォレンジック(不正・不祥事の事後調査)の実務では、取引の異常な集中、特定の相手先への不自然な発注、承認フローを迂回する処理といった兆候が、往々にして定期監査と定期監査の「谷間」で立ち上がります。年に一度の抽出的な点検だけでは、次の監査まで把握が遅れ、その間に被害が拡大するおそれがあります。
実効性を担保するのは「継続的モニタリング」
リスクベース監査の実効性を高めるには、年次のリスク評価に加え、異常兆候を平時から拾い続ける継続的なモニタリング(常時のセンサー)を組み合わせることが有効です。重点配分によって「どこを重く見るか」を定め、継続的モニタリングによって「その領域で何が起きているか」を絶えず観測します。この二段構えが揃って初めて、リスクベース監査は不正リスクに対して機能します。
なお、継続的モニタリングの運用実務の詳細は、内部統制の継続的モニタリングに譲ります。本記事で確認したいのは、不正リスクの変化をタイムリーに捉えるには、リスクの高い領域について常時検知や定期的なモニタリングの仕組みを検討することが望ましい、という点です。
AIによるリスクベース監査の高度化
継続的モニタリングの必要性を認めても、それを人手だけで回すには限界があります。膨大な情報を常時観測し続けるには、監査部門の資源制約という最初の問題に立ち返ってしまうからです。
そこで選択肢の一つとなるのが、AIやデータ分析を用いた異常兆候の継続的な把握です。次のような形で、高リスク領域を継続的に特定する取り組みが行われています。
- メール・チャットのテキストから、不正の予兆となる表現や不自然なやり取りを検知する
- 音声をテキスト化して解析し、対面・電話でのやり取りに潜むリスクを拾う
- こうした継続的な把握の結果を、リスク評価や監査計画の見直しに還元する
ただし、メール・チャット・音声などを対象にする場合は、モニタリングの目的の正当性、対象範囲の相当性、利用目的の明示や社内規程の整備、アクセス権限の管理などに十分配慮する必要があります。
AIを不正検知にどう活用するかの全体像は、AIによる不正検知で解説しています。
NaLaLys では、メール・チャット・音声をAIで継続的に解析し、不正リスクの高い領域を平時から特定するコンプライアンス監視の取り組みを提供しています。常時検知を組み込みたい場合は、NaLaLys のサービスもあわせて参照できます。
よくある質問
Q. リスクベース監査とリスクアプローチ監査は違うものですか。
A. 実務上は近い意味で使われることが多いです。「リスクベース監査」「リスクアプローチ監査」「リスクベースアプローチ監査」はいずれも、リスクの高い領域へ監査資源を重点配分する呼称の揺れです。ただし「リスクアプローチ」は、監査対象の選定だけでなく、個別監査でどの手続を重点化するかという文脈で使われることもあります。
Q. 網羅型監査はもう使われないのですか。
A. そうとは限りません。対象の性質や規制上の要件によっては、対象を広く均一に点検する網羅型の考え方が適する場面もあり、リスクベースアプローチと併用されることがあります。どちらが常に優れているというものではなく、目的に応じた使い分けが検討されます。
Q. リスクベース監査のデメリットはありますか。
A. リスク評価を誤ると、重要な領域を監査対象から外してしまう可能性があります。そのため、リスク評価の根拠を明確にし、経営層や監査役等との意見交換、期中の環境変化に応じた見直しをあわせて行うことが重要です。
Q. 小規模な組織でもリスクベース監査は必要ですか。
A. 中小企業、IPO準備企業、スタートアップのように監査資源が限られる組織ほど、重点配分の意義は大きくなると考えられます。すべてを均一に点検する余力がない場合こそ、リスクの高い領域を見極めて、限られた人員・時間を集中させる発想が有効に働きます。