内部監査の必要性と実効性を改めて考える

東京証券取引所は2022年から市場区分の変更を柱とする市場改革を行う予定です。現行の東証1部に代わる存在となる「プライム市場」に残るためには、より強固なガバナンスが求められ、内部監査機能も、強化する必要があります。また、これまでも企業改革法と呼ばれる法律や各種制度等の整備を通じ、投資家保護を強化しています。しかし、実態として世間を震撼させる企業不祥事が起こっており、その中には内部監査部門が十分に機能していなかったとされるケースも少なくありません。今回のコラムでは、ガバナンスの強化に不可欠な機能である内部監査の目的、役割等の必要性を再認識すると共に、実効性を伴う内部監査のあり方について、考察したいと思います。

監査の起源

そもそも監査という行為そのものは、はるか昔から存在していたことをご存知でしょうか？聖書のマタイによる福音書第25章のタラントのたとえ話には、今日でいう「外部委託先」に対する監査に関する記述があります。またルカによる福音書第16章の不正な支配人のたとえ話には、主人が代理人に対して、口頭による「会計報告」を要求する記述があります。
今日の監査も会計監査が中心ですが、古代ギリシアでは公会計監査について制度が整備されていたといわれています。古代ギリシアでは執政官が非常に大きな権限を有していましたが、退任時には例外なく監査担当者に会計書類を提出する必要があり、今日の説明責任（アカウンタビリティ）が浸透しました。

内部監査の背景

但し、監査が制度化するのは、かなり後のことになります。18世紀の産業革命を契機に大規模な株式会社が生まれ、会社、組織の業務活動のレビューが行われるようになったのが、内部監査の始まりとされています。この当時、イギリス、アメリカは未曾有の好景気でした。
しかしながら、不正会計、粉飾決算等が続出し、経営破綻に至った会社が続出した結果、1933年証券法、1934年証券取引法が制定され、外部監査が制度として確立されます。そして太平洋戦争開戦の年となる1941年に内部監査人協会（IIA）が設立され、1947年にIIAより内部監査人の責任（The Statement　of　Responsibilities　of　the　Internal Auditor）が発行されました。
1978年、内部監査制度は転機を迎えます。内部監査に関し、専門職的実施基準がIIAより明示されました。この実施基準がシステム内部監査の概念が誕生した契機といわれています。
1978年は、1972年のウォーターゲート事件、1976年のロッキード事件を受け、海外腐敗行為防止法が成立した年になります。
海外腐敗行為防止法成立以降も、外部監査人による無限定意見提出後の経営破綻が続出しました。ガバナンスの大前提として内部統制機能の強化が叫ばれるようになり、1985年にトレッドウェイ委員会（COSO）が発足されました。1992年には内部統制の統合的なフレームワーク（COSOレポート）が発表され、今日の内部統制、内部監査の原理原則的な位置づけとなっています。
2001年巨額粉飾決算事件としてエンロン・ワールドコム事件が起こります。この事件は企業だけでなく監査法人も加担していたことが明らかになり、企業改革法（SOX法）が成立、監査法人に内部監査のアウトソーシングすることに制限が加わります。
このように、企業不祥事を始めとする経済事件と共に、内部監査は制度化、強化されていることが分かります。

内部監査の目的と必要性

上述から、より一層厳格化された内部監査手続きが求められることがお分かりいただけたかと思います。しかし、やみくもに手続きを厳格化しただけでは、内部監査を組織内に浸透させることはできません。筆者は外部監査人としても内部監査人しても携わったことがありますが、内部監査の目的が内部監査部門内での共有に留まり、組織全体で共有されていないケースに多々遭遇しました。
内部監査の目的が組織内で共有されないことの弊害として例えば以下が挙げられます。監査側からすれば、被監査側の十分な協力が得られず発見リスク*が増大する可能性があり、被監査側からすれば、監査対応の負担感から監査を回避、隠微するインセンティブが働きます。

*発見リスクとは、監査人が不備を見落とすリスクを示します。発見リスクは被監査側が不備を回避、隠微することで高くなることもあれば、監査人のスキル不足により高まることもあります。

もちろん、内部監査において発見された指摘事項は明示し、是正を求める必要がありますが、それは内部監査の目的とはいえません。内部監査の目的は被監査側の組織や業務に密着すべきであり、かつ改善に向けた支援にあると考えます。従って、組織や業務の目標達成を独立的、客観的な立場で遂行状況を評価することが大前提となります。また、それによって取引先や監督官庁等ステークホルダーの信頼性向上にもつながることを組織全体に展開することも内部監査部門の務めと思います。
その上で、内部監査の必要性を認識共有することになりますが、たとえば以下のような認識共有が必要性を喚起する一例となります。

・リスクが十分に認識されず放置された業務やシステムは、重大なインシデント発生等、リスクの顕在化を招き、ステークホルダーに多大な損失を与える可能性がある。
・客観的な視点における監査は、リスク低減のために有効なアプローチである。
・リスクの顕在化を防止する姿勢を整備していることをステークホルダーとも共有することで、一定の信頼感を確保することができる。
・ 契約書や覚書等で監査権が盛り込まれることが増えており、内部監査の信頼性はステークホルダーからの監査工数削減につながる。

実効性のある内部監査に必要なこと

詳細な監査計画を立案する
内部監査の目的と必要性に関し、組織内において十分な認識共有を経ると共に、重要なことは監査計画です。一般的に監査対象、実施時期、体制、監査手順が監査計画には盛り込まれますが、監査対象先の業務および環境を理解するプロセス（Understanding the entity and its environment）を十分に確保する必要があります。最低限、以下の情報は抑えておくべきです。

こういった理解のプロセスは以下のような効果を生み出します。

・ 組織の状況を十分に理解することで、被監査側の協力が得られる。
・ 事前に「固有リスク」および「統制リスク」*を識別することで精度の高い監査資源・工数を見積もることができる。
・ 万一、不適合が発生したとしても、組織の状況に沿った指摘事項、改善提案を明示することができる。

*固有リスクとは組織や環境の性質に起因するリスクです。例えば、技術革新サイクルが短い製品を販売している場合、取り扱い製品がすぐに陳腐化する可能性が高いため、固有リスクは高いといえます。統制リスクとは組織内のチェックが有効に機能せず、重大なインシデントを引き起こしてしまうリスクです。例えば、組織内のチェック体制が存在しない、存在していても形式的チェックに留まっている場合、統制リスクは高いといえます。

内部監査のデジタル化推進
2020年、新型コロナウィルス感染症（COVID-19）の拡大により、勤務形態はテレワーク勤務中心になる等、働き方が大きく変わりました。内部監査部門もその例外ではなく、リモート監査への移行が進んでいます。通常の監査と異なり実査・往査のプロセスがリモートになることから、より効果的・効率的なコミュニケーションが必須となります。合わせて生産性の向上も求められることになります。そのためには、監査業務のイノベーションを目的としたテクノロジー導入によるデジタル化が不可欠となります。しかしながら、内部監査部門のデジタル化は決して進んでいるとはいえません。内部監査部門のデジタル化推進は部門の規模に比例しています。GRC（ガバナンス・リスク・コンプライアンス）ツールと呼ばれる監査管理ツール類は、50人超の規模では導入が進んでいますが、10名以下の規模だと、半数近くが導入されていません。また、GRCツールを導入している企業も、リソース計画やリスクアセスメントで活用しているものの、課題管理やエビデンス等の文書管理では活用されておらず、網羅的・効果的に使いこなせていない実態があります。（出典：「内部監査部門テクノロジー導入に対する2020年の影響の分析」内部監査財団：オーディットボード社）

これは大きく２つの要因があると考えます。

① 景況感が不透明のまま、テレワークに移行せざるを得なかったため、損益に直接的な影響を及ぼす販売やサプライチェーンを中心にデジタル化を推進し、コンプライアンス部門や内部監査部門は後回しにされた。
② 内部監査部門が業務に必要なテクノロジーやツールを把握しておらず、活用可能なテクノロジー導入計画が立てられない。

筆者は②の要因がより深刻と考えています。というのも内部監査部門に求められる独立性、客観性が他部門、特に情報システム部門とのコミュニケーションが希薄となり、有益な情報を共有しづらくなっている可能性が高いからです。というのも、内部監査の業務の一環にシステム監査があり、被監査側は情報システム部門となるケースがほとんどです。その場合、情報システム部門が導入検討するテクノロジーやツールが監査対象となり、その結果、導入に「待った」がかかるケースも少なくありません。もちろん導入時における客観的視点でのチェックは重要ですが、こういった関係性が続く限り、情報システム部門から積極的に情報提供がなされることはないでしょう。
前項で述べたように、業務および環境を理解するプロセスの重要性はそこにあります。今後推進が不可欠な監査業務デジタル化に際し、情報システム部門の支援は大前提です。情報システム部門の業務の理解に加え、監査業務に専門家的見地から支援を仰ぐ等、監査品質向上の観点でも協力関係を模索すべきです。

リモート監査初年度ともいえる2020年の内部監査部門の課題に対し、デジタル化推進により以下の効果が期待されています。

図：デジタル化推進による内部監査業務の実効性
出典：「内部監査部門テクノロジー導入に対する2020年の影響の分析」内部監査財団：オーディットボード社

終わりに

現在、各企業でリモート監査が導入されていますが、従来の監査実施方法をリモート監査に置き換えた「緊急避難」的な取り組みが中心となっています。しかしながら、筆者はリモート監査を契機に、以下の観点で実効性を伴う監査の高度化を実現する必要があると考えます。

・ 監査業務の標準化：これまでも「内部監査基準」や「内部監査実施手順」等の整備により、標準化が試みられています。しかし、監査計画段階における業務および環境の理解や、実査によって収集したエビデンスの分析に監査品質に影響を及ぼすことが少なくありません。網羅的かつ詳細な情報収集および高度な仮説検証が可能な環境整備が求められます。
・ 監査手続の変革：従来の監査は、事後監査が主体でした。しかし、この場合、発見された不備の重要度・難易度によっては、是正に非常に時間がかかること、内容によってはステークホルダーにも開示する必要があり、さらに長期化、複雑化する可能性があります。
しかしながら、予防監査を実施、問題の予兆をタイムリーに発見し、その芽を摘み取る方が遥かに効果的であり、是正対応工数削減にもつながることから、被監査側にもメリットが大きい監査といえます。
・ 監査の高度化：テクノロジーの導入により、より実効性のある予防監査が可能になります。例えば、AI等を駆使することで「リアルタイムモニタリング」が実施できます。これによりベテランの監査人の観点やこれまでの指摘事項を教師データとしてAIに与えることにより、相当精度の高い「疑わしい事象」がリアルタイムで抽出できます。結果として問題発見までの短縮化につながります。
・ 監査人の業務改革：テクノロジーの導入、デジタル化推進により、監査業務すべてが自動化するわけではありません。しかし、監査人の業務が「疑わしい事象」の分析に注力できるようになると考えます。また、これまでベテラン監査人に依拠せざるを得なかった主観的判断（検出された事象に対し「何かおかしい」「何か引っかかる」）に対して、客観的判断、エビデンス等の補完が加わることが期待できます。結果として、被監査側への指摘事項はより納得できるものにつながります。

このように、実効性のある監査の実現には、監査技法だけでなく、組織の業務・環境を理解する能力およびデジタルが分かる、駆使することができることが必要です。また、冒頭に触れた2022年の市場改革を契機に、財務情報関連主体の監査からESG（環境・社会・ガバナンス）を始めとする非財務情報の監査ニーズへの対応も求められます。監査人としての専門領域の拡大と共に、人材育成、外部からのアドバイザリー支援等、複数の選択肢を検討することも重要です。弊社では、監査業務支援、監査人教育、リスクアセスメントツール等GRC導入支援を含め、監査の実効性、高度化を目的としたサービスを提供しております。随時ご相談ください。

執筆者 中司 年哉 株式会社 Dirbato（ディルバート）
コンサルティンググループ シニアマネージャー CIA,CISA,CGEIT
パブリックセクター（地⽅公共団体、独⽴⾏政法 ⼈など）、⾦融／製造／サービス業を中⼼に事 業継続計画（BCP）、システム監査、情報セキ ュリティ監査、認証局監査、内部監査体制構築 ⽀援、導⼊⽀援、内部統制構築⽀援、ISO （9001、20000、27001）認証取得⽀援などのプロジェクトに従事。そのほか、個⼈情報保護 対策構築⽀援、脆弱性検査、調査研究などについても複数経験。
趣味は空手、居合