見出し画像

経営に貢献する内部監査のあり方

Dirbato公式

年度末を迎えました。時節柄、異動のご挨拶をいただくことが多くなりました。その中で、知人より内部監査部門への異動が決まったとの連絡がありました。私自身も内部監査部門に所属していた時期もあれば、コンサルタントの立場として、内部監査部門の立ち上げ支援や、その後の運用支援に携わった経験を有することから、是非今後も情報交換をと、やや前のめりになっていたのですが、どうやら知人にとっては不本意な異動であったようです。
色々、話を聞いてみましたが、内部監査部門に求められている役割や位置づけが不明確であることに起因しているようでした。
今回のコラムでは、今、内部監査部門が抱えている課題を前提に、経営に貢献する内部監査のあり方について考察してみます。

1.今日の内部監査における課題

現在、内部監査は岐路に立っているといっても過言ではないと考えます。その要因として、やはり新型コロナの影響があります。
内部監査実施にあたり、やはり監査側と被監査側のコミュニケーションは不可欠です。しかし、テレワークに切り替わることで、監査におけるコミュニケーションもリモートに移行せざるを得なくなりました。対面であれば、例えば1名がインタビューをする、もう1名が関連資料を閲覧するといった役割分担も容易でした。
リモートにより、インタビューをする→関連資料の該当部分を確認するという流れがスムーズにいかず、当初は随分時間を要したようです。また、リモートにおけるインタビューは対面とは異なる緊張感があり、インタラクティブなコミュニケーションが促進されない部分もあったとのことです。
 
コロナ禍の影響はコミュニケーションだけではありません。監査予算、リソースの削減という課題も産み出しています。特にコロナ禍当初は企業業績への影響懸念もあり、コストセンターを対象とした予算削減が顕著でした。内部監査部門も例外ではなく、限られたリソースの中での業務に悩む企業も多かったようです。

2.そもそもの内部監査の目的

リソースが削減、加えてリモート前提の監査業務と、これまでにない制約を受けた内部監査ですが、筆者はだからこそ、今一度、本来の内部監査の目的に立ち返るべきだと考えています。内部監査においては、通常重要なリスクを対象に適切なコントロールがなされているかいう観点で実施します。
監査の過程においては、そのコントロールが不十分といったことも検出され、それらは「指摘事項」としてまとめられ、「是正・改善」が要求されます。一定期間をおいて、是正・改善がされたか、再度モニタリングする、詳細なプロセスに差異はあっても、概ねそのサイクルで実施されます。
 
しかし、その一連のプロセスは、あくまで監査「方法」であって「目的」ではありません。
一般社団法人日本内部監査協会が発行する「内部監査基準」の第1章として「内部監査の本質」が定められています。その冒頭に「内部監査とは、組織体の経営目標の効果的な達成に役立つことを目的として」と明記されています。(「内部監査基準」は1960年に制定され、複数回改訂を経ていますが、内部監査が体系的に理解できます。是非、ご一読ください。)

リスクを網羅的に洗い出したり、コントロールの適切性を見定めたり、指摘事項を列挙し、是正・改善を促すことは「手段」に過ぎないことを再認識すべきです。如何に数多くの指摘事項を検出したとしても、経営目標達成を前提にしたものでなければ、それは内部監査を実施したことにはならないのです。

図:一般的な内部監査プロセス

 3.目的に沿ったアプローチの導入

「経営目標達成に役立つ」ことを前提とした監査を考えれば、自ずとアプローチも変わってきます。まずは監査テーマと経営目標達成の繋がりと考えることです。
例えば、監査テーマが「業務プロセス監査」とします。各部門の業務は当然、何らかの経営目標と関連しているはずです。
そこで、まずは業務プロセスの理解から着手するわけですが、ここに相当の時間を割くべきと筆者は強く考えます。
過去、監査実績がある場合、業務記述書やフローチャートを用いることになるかと思います。その際に関連の業務マニュアルや、帳票類を突き合わせて、対象の業務の理解を深めることに時間をかけた方がよいと考えます。これは監査の大前提という重要な活動でもありますが、被監査側のためでもあると考えることができます。筆者が知る限り、日本企業の多くはマニュアル類、手順書類等で業務を可視化することを不得手としています。業務プロセスに時間をかけることで、可視化が不足しているものを補う、被監査側と可視化の必要性の気づきを共有することが、ここでは重要となります。もちろん、客観性、独立性の観点からマニュアル類の作成を監査人が行うことは避けるべきですが、被監査側が自主的に作成、修正する気づきのきっかけ作りにして欲しいとは思います。
逆に、この段階で、被監査側の説明と関連資料類との矛盾点を探すようなアプローチは避けるべきと考えます。被監査側が気づき、自主的に可視化する、修正するようなアプローチが必要でしょう。

4.業務プロセスと想定リスクの理解と共有

業務プロセスの理解や可視化後、対象業務に潜むリスクを洗い出すことになります。このリスクの洗い出しにも、被監査側との共有が必要と考えます。被監査側の立場に立てば、想定とはいえ、リスクが洗い出されれば、「いや、こんな対策をしている。」という説明になりがちです。従って、まずは対策(コントロール)の前に、考えられるリスクを洗い出すプロセスが必要であること、またリスクの洗い出されることは悪いことでないことを被監査側と共有しておくことがポイントと考えます。
リスクの洗い出しは被監査側とも共有しつつ、例えば、以下のような多方面の観点で実施しましょう。

  • 人為的な要因で起きうるリスク

  • システムエラー要因で起きうるリスク

  • 不注意やミス等で起きうるリスク

  • 意図的、故意等で起きうるリスク   等

ここでも、「起きうるリスク」を洗い出す、共有することに注力すべきと考えます。筆者も経験しているのですが、こういった様々な観点でリスクを洗い出していると、「いや、そんなリスクは滅多に起こるものではない、事実これまでも1度もなかった。」、「そもそも、それがリスクなら、手の打ちようがない。」といった被監査側の反応があります。この段階で発生可能性の話や、そもそも論まで踏み込んでしまうと、話が拡散し、収集がつかなくなってしまいます。

5.アウトプットと振り返りの重要性

ここまでは主に、「経営目標の効果的な達成に役立つ」という内部監査の目的に沿って、被監査側の業務やリスクを十分理解プロセスが重要であること、そのためにはアプローチ、コミュニケーションの取り方に留意する必要があることをお伝えしました。
コミュニケーションと並んで重要なものがアウトプットです。内部監査におけるアウトプットには以下のようなものが挙げられるかと思います。

  • インタビューシート、チェックシート

  • 監査調書

  • 指摘・是正一覧

  • 監査報告書

これらのアウトプットは、既にこれまで作成したものを参考に作成されるケースが多いと思います。
しかし、本コラムをきっかけに、全面的に見直しすることも一考です。見直しのポイントは、先述した「内部監査の目的に沿っているかどうか」です。
各業務プロセスや、プロセスに潜むリスクは経営目標にどう関連しているのでしょうか?リスクに対するコントロールが適切か不十分かの判断だけでなく、経営目標に及ぼす影響はどういったものがあるのでしょうか?指摘事項や是正対応一覧に関し、対応することや放置することで経営目標の達成度は変わってくるのでしょうか?
上記を踏まえたドキュメントは経営者による有効な意思決定材料となり、まさに「経営に貢献する内部監査」として位置づけられることになります。
合わせて、経営層や被監査側を対象にアンケートを取り、フィードバックを得ることは、内部監査の目的に整合しているかを振り返る機会にもなります。

参考文献
内部監査基準 一般社団法人日本内部監査協会

執筆者 中司 年哉
株式会社Dirbato(ディルバート)
コンサルティンググループ シニアマネージャー
パブリックセクター(地方公共団体、独立行政法人など)、金融/製造/サービス業を中心に事業継続計画(BCP)、システム監査、情報セキュリティ監査、認証局監査、内部監査体制構築支援、導入支援、内部統制構築支援、ISO(9001、20000、27011)認証取得支援などのプロジェクトに従事。そのほか、個人情報保護対策構築支援、脆弱性検査、調査研究などについても複数経験。
趣味は、空手、シーナリーセクション作成



この記事が気に入ったらサポートをしてみませんか?