見出し画像
Photo by isshi_projects

内部監査の在り方 Part. 01 - 内部監査とリスク管理との連携の重要性

長嶋邦英_Raise Value LLC.

 先般「 " 発生事実(不祥事) " が発生しない上場会社の内部監査 Part. 04 - 内部監査とリスク管理は「静かな人」 -」についてご紹介しましたが、世間の状況として内部監査の立ち位置と重要性がだいぶ上がってきているように感じ改めて内部監査とリスク管理との連携と重要性についてご紹介したいと考えております。
 今回はこの内部監査・リスク管理の連携を内部監査の目線から見ていき、内部監査本来の働きと世間における認識のズレが無いかについて説明します。



内部監査とリスク管理の “ 住み分け ” が大切

 先般「 " 発生事実(不祥事) " が発生しない上場会社の内部監査 Part. 04 - 内部監査とリスク管理は「静かな人」 -」では、内部監査とリスク管理は車輪の両輪として双方向で情報共有し、抜け漏れのないようにすることが重要だと説明しました。これは、内部監査とリスク管理それぞれの目線と価値観、リスクへの考え方がまったく違うものの、この2つが会社全体および社外からのリスク、脅威、不正等に対して検出と低減、防衛、抑止・防止を目的として社内に目配せをすることが主な業務だからです。そのため、内部監査とリスク管理それぞれは単体として有効な働きができ、実績を残すことができます。
 しかし、ここで誤解していただきたくない点があります。それは、内部監査はリスク管理を兼務することはできません。またリスク管理は内部監査の主業務である「監査」つまりチェック機能ではありません。ですから、この2つを合体または兼務するようなことは、お勧めしません。合体・兼務は、相乗効果というものは無く、それぞれの個性を無にしてしましますので、効果は半減どころではなくマイナスになります。

 上記の理由は、次のようにみていくと理解しやすいでしょう。

 内部監査は、社内で発生した/発生しうる行為、言動が社内にどのように作用し、その結果社内にどのような影響をもたらした/もたらすか。また、社内で発生した/発生しうる出来事等に対して社内にどのように作用し、その結果社内にどのような影響をもたらした/もたらすか。これを第3線いわゆる最終防衛線として、監査の目線で保証(アシュアランス・Assurance)と助言(アドバイス・advice)を行うこととされています。これはIIA(The Institute of Internal Auditors:内部監査人協会)が2020年7月20日に発表した " The IIA’s Three Lines Model " でもそのように記されています。

 これに対してリスク管理は、社外で発生した/発生しうる行為、言動が社外にどのように作用し、その結果社内にどのような影響をもたらした/もたらすか。また社外で発生した/発生しうる行為、言動が社内にどのように作用し、その結果社内にどのような影響をもたらした/もたらすか。また、社外で社内で発生した/発生しうる出来事等に対して社内にどのように作用し、その結果社内にどのような影響をもたらした/もたらすか。内部監査が「社内・社内」がメインであったのに対し、リスク管理は「社外・社内」がメインです。つまり、内部監査とリスク管理は、その見渡す先の方向と見渡す先の環境等がまったく違うのです。この点を見るだけでも、内部監査とリスク管理を合体・兼務することは合理的・物理的にみてもだいぶ無理があるといえます。内部監査とリスク管理の両方が、結果的に「社内にどのような影響をもたらした/もたらすか」を目的としてしているので、合体・兼務可能かと思われることも理解できますが、先のようにその見渡す先の方向と見渡す先の環境等の上流部分が内部監査とリスク管理とではまったく違いますので、この点を十分ご注意ください。

 このように見ていくと、あくまで内部監査とリスク管理は車輪の両輪であって、双方向で情報共有し、抜け漏れのないよう相互に連携して業務にあたること。内部監査とリスク管理はちゃんと住み分けてそれぞれの業務にあたることが、本来の姿であると考えられます。



内部監査とリスク管理の連携の方法は?

 内部監査とリスク管理は、それぞれ別の目的と業務を行っていることを説明しました。そのうえで連携する方法は、どのようなものがあるでしょうか。例として次のようなことが考えられます。

  1. リスク管理で洗い出しされたリスクを、内部監査は内部監査の視点で業務監査、会計に関する監査(*会計監査ではありません)を実施する。

  2. 内部監査が行なった監査の結果をリスク管理にフィードバックし、さらにリスク管理はその監査結果を踏まえたリスクの洗い出しを行う。

  3. 内部監査は業務監査等を実施した過程で、新たにリスクと思われる点を検出した場合、その内容をリスク管理に共有する。

  4. リスク管理は社外におけるリスク情報を元に、社内においてもリスクと思われる情報を内部監査に共有する。

 上記の内容は、内部監査とリスク管理の間を、監査結果やリスク情報が循環し、相互にそれらをもとにそれぞれ計画・行動・評価/検証・対策/改善を行ういわゆるPDCAサイクルのかたちを取りながら相乗効果を上げていくイメージです。単に監査結果とリスク情報が一方通行で報告されるものではありません。また、単に相互にキャッチボールをしているだけでなく、内部監査はリスク管理からのリスク情報を受けて業務監査等の監査項目の見直しや監査の精度を向上させ、リスク管理はリスク洗い出しの際の精度やリスクの観点の見直しを図ることが求められます。つまり相乗効果を期待するものです。ただし、内部監査は皆さんの会社の内部監査規程において「内部監査は監査を行った際に知り得た情報を、他の者に漏洩してはならない」など、いわゆる機密保持の定めがあると思います。内部監査がリスク管理と情報共有する際は、これに抵触しないように十分に注意してください。

 内部監査とリスク管理が連携する大きな目的は、会社内で発生しうるリスクを未然に防止すること、または発生したリスクをコントロールして会社の損害を低減させ、再発防止策を講ずること。ひいてはこれらの対応・対策を行って会社の価値を低減させないことです。この目的を会社として達成するために、どのような業務戦略を立てるかは皆さんの会社(代表取締役)次第ですし、どのように業務を遂行する(戦術)かは内部監査とリスク管理の皆さん次第です。他社のその内容を参考にするのは構いませんが、同一・同様にする必要はありません。それぞれの会社で、たとえ同業界であっても置かれている立場や事業規模等の環境は違います。この業務戦略と業務遂行戦術を検討する際に、内部監査とリスク管理が一緒に検討するのも良い方法かと考えます。



内部監査とリスク管理とJ-SOX

 先般私の記事「J-SOX2023年改訂で内部統制がやるべきこと Part.01 - 改訂の概要から - 」と「Part.05 - 内部監査の専門性が重要 - 」でご紹介しましたように、2023年のJ-SOX改訂(2023改訂版「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(企業会計審議会・金融庁)(*以下「J-SOX2023改訂版」といいます))では、会社の会社によるリスク管理を、内部統制の基本的枠組みのうち「内部統制とガバナンス及び全組織的なリスク管理」を新設するかたちで重要課題として取り上げています。これは、上場会社はその会社自らの力で自らを守る体制と対応策を講ずることが義務付けられたものです。また、このことは会社の組織上、リスク管理を行う部門・部署や内部監査だけの責任範囲ではなく、2023J-SOX改訂版に明示している「(会社の)内部統制に関係を有する者」、つまり会社にいる者全員(役員、従業員を問わず)の責任なのです。


 内部監査もリスク管理も、その業務を行ううえで必要な情報をもたらしてくれるのは会社にいる者です。社内活動や普段の何気ないコミュニケーション・深く聞く力を活かして業務を遂行していただきたいと考えます。。



この記事が気に入ったらサポートをしてみませんか?