#50 内部監査 実務ハンドブック

"内部監査 実務ハンドブック"を読了。
最近はデザインや街づくりに関するインプットが多めだったけど、自身の事業経営力を更に鍛えていくために内部監査について学びたくなり内部監査の実務についてまとまっていそうな本書をチョイス。
一連の業務内容や注意したほうが良い点が丁寧に書かれていたので内部監査を体系的に把握したい初学者にはオススメできる本。
特に印象に残っているのは下記の3点。

• 内部監査基準は、米国型ガバナンスモデルを日本型に置き換えたものを前提としており、肝心なのは宛先を誰にするのかではなく、経営執行・経営監督双方へのレポートラインとフル・ディスクローズを確保することである

• 経営者は、内部監査報告書及びアクションプランを検討した上で、リスクを受容するか否かの判断を下す責任がある

• IIAの3ラインモデル（2020年7月に公表）

事業経営者側が内部監査の意識を高めていることでその後の監査工数が下がり、経営目標の健全な達成が実現できるようになるからIIAの3ラインモデルについて今後強く意識していきたい。

以下、学びメモ。

ーーーーー
・★内部監査部門が実施する業務は保証業務（アシュアランス業務）と助言業務（アドバイザリー業務）の2種類がある。★
→保証業務とは、監査対象について内部監査人が独立した第三者の立場から客観的な評価を実施し、その結果について一定の結論（ないしは意見）を表明するものである。いわゆる「お墨付き」を与える機能である。
→助言業務とは、監査対象部門に対して内部監査人が経営管理上有用な助言を行うことである。内部監査人は企業内の様々な部門及び業務プロセスを監査対象として内部監査を実施することで、企業組織および内部統制に関する理解や洞察が、業務ラインの担当者に比較して精通している場合が多く、保証業務の延長線上で実施される場合が多い。
・具体的なリスク識別の手法として、例えば全社を対象としたリスクインテリジェンスマップを作成することによって、現時点によってリスクが識別されるところ、すなわち内部監査対象とすべき領域を識別する。
→リスクインテリジェンスマップの大項目として「ガバナンス」「戦略と計画」「業務運営と経営インフラ」「コンプライアンス」「開示と報告」がある。
・★内部監査人としての5つの専門能力★：
①内部監査対象とする事業の理解→監査対象の業務の理解、問題点を識別する能力（特に会計や法律周り）など
②内部統制・内部監査に関する理解→内部監査の専門職的実施の国際基準の理解など
③改善提案能力→内部統制上の指摘事項の影響を識別する能力など
④コミュニケーション能力→経営者の意図を考慮した上で、かつ監査対象にとって現実的な解決策を立案し双方を調整する能力など
⑤プロジェクト管理能力→適切な計画を策定、実施し、関係部署と調整をしつつ、適切に進捗管理をした上でプロジェクトを成功させる能力など
・監査の業務の流れ（概要）は以下の通り：
- 中長期監査計画の策定→概ね3~5年あるいは5年以上を対象とした、内部監査部門の業務活動計画を指す。
- 年度監査計画の策定→通常1年間の内部監査部門んの活動計画であり、監査対象部門、事業内容やテーマ等をリスク評価した結果に基づいて、監査対象（業務、テーマ）実施時期、監査手続き等を決める。
- 個別監査計画の策定→年度監査計画と構成する個別の内部監査に関する計画であり、個別の監査対象ごとに監査場所、監査時期、監査実施者、監査手続き、監査報告書提出時期等の具体的な事項を計画として策定する。
- 事前調査→内部監査を実施する前に、監査対象部門の業務を調査・理解するとともに監査対象部門に関連するリスクを把握・評価する。
- 本調査→往査先で、個別監査計画にて決定された監査手続きを実施し、監査意見形成の基礎となる監査証拠を収集し、その結果を監査調書としてまとめる。
- 監査報告書作成→監査の結果から監査意見を形成し、報告書作成をして経営者に提出する。
- 内部監査活動の調査→監査業務が当初の目的通りに実施されていることを管理監督する。
- 内部監査の品質評価→監査業務が、品質評価の評価基準に照らして一定の水準を満たしていることを保証する。
・従来の監査計画の立案方法で利用された監査リスクモデルを利用して往査モデルを説明すると次の通り
→内部監査にて利用できる人的資源と、監査対象に適合した監査手続きの種類、時期および範囲から、発見リスクを決定し、既に評価されている固有リスクと統制リスクとともに、監査リスクを決定する。
・★監査証拠とは、内部監査人が監査目標を達成するために入手すべき情報のこと。監査証拠は「監査所見や改善提案に正当な根拠を提供するため、十分で、信頼性、関連性があり、かつ有効な情報」でなければならない。★
・監査手続きで行われる監査の手法は監査技術といい、下記の6つがある。
①質問
②確認
③立会
④観察
⑤分析的手続き（趨勢分析、指数平滑法、比率分析）
⑥実査
・★分析的手続きで異常値を発見した場合、その背後に潜んでいる原因（運用上の不備や定期的な業務見直しの未実施など）の問題点が生じていないのかについて、監査の焦点を当てる必要がある。★
・統計的サンプリングにおけるサンプル数は、信頼水準、許容逸脱額（率）および予想逸脱額（率）に基づいて決定する。
→信頼水準とは、サンプル抽出の隔たりに関連する蓋然性の尺度であり、サンプリングリスクの程度の補数（信頼水準＝1-サンプリングリスク）として表される。
→許容逸脱額（率）とは、監査目的が達成されたとの結論に達することのできる母集団におけるエラーの最大値であり、許容逸脱額とは、準拠性テストにおいて、内部監査人が受け入れることのできる、所定の内部統制手続からの最大逸脱率である。通常、許容逸脱率は5%から10%の間で設定されることが多い。
→予想逸脱額（率）とは、サンプリング計画を立案するにあたって、母集団に存在すると予想されるエラーの額（率）である。
・監査調書を作成する際の留意事項：
①監査目標との整合性
②結論の明確さ
③資料源泉
④作成者以外が理解できるか
⑤監査手続き書で指示された監査手続きが実施されているか
⑥指摘事項の明確さ
⑦監査調書は早急に作成する
⑧いつまで記録として残すのかを決める
・内部監査報告書の作成要件
→正確、簡潔、完全、客観的、明確、建設的、適時性
・★内部監査基準は、米国型ガバナンスモデルを日本型に置き換えたものを前提としており、肝心なのは宛先を誰にするのかではなく、経営執行・経営監督双方へのレポートラインとフル・ディスクローズを確保することである。★
・アクションプラン管理表は、進捗状況が一目でわかり、監査対象部門による実施、内部監査人の評価の終了状況が確認できるものが望ましい。
・リスク・アクセプタンスを明確に意識して運用している企業はまだ少ないと思われる。内部統制の構築においては、リスクに対応するコントロールを特定し、リスクを軽減させるという作業を実施するが、常にリスクに対応するコントロールが存在するとは限らないし、また、敢えてコントロールを設定しない場合もある。このようにリスクを受容することを、リスク・アクセプタンスという。
→★経営者は、内部監査報告書及びアクションプランを検討した上で、リスクを受容するか否かの判断を下す責任がある。★
・内部監査を実施するそもそもの理由は、大きな問題点があればそれを改善することにあるため、内部監査の締めくくりは、この改善活動を確認する作業となる。このような改善活動の確認作業をフォローアップ監査と呼ぶ。
・担当者自身による自己評価活動であるコントロール・アセスメント（CSA：Control Self Assessment：統制自己評価）は重要な活動である。
→CSA実施方式はワークショップ方式とチェックリスト方式がある。
・不正を発見する内部統制とは、たとえば以下のようなことである：
- 財務会計に係る統制の職務を担当する従業員に対する定期的な人事ローテーション
- 適切な職務分掌
- 異常取引、期末に発生する取引、翌期の反対仕分け等のリスクの高い取引に関する継続的な監査
- Eメールモニタリング
- Webモニタリング
- 類似した企業が被害を受けやすい不正スキームを類型化したデータ分析
・★属人的な組織になっていないかどうかのチェックポイント例★：
- 人々は、常に会社の上司のみを見て仕事をしているように思える
- 上司からの評価が「誰が」やったかによって異なることがある
- 新しい提案については、解決策ではなく問題点に焦点が当てられる
- 管理職に提案しても、提案した人によって提案の受け入れられ方が異なる
- 従業員は積極的に自己研鑽を行おうとしない
- 上司から指示されたことに自分達を委ねるだけで、背景について考えたり、創意工夫をしようとしない
- リーダーとしてではなく追随者であろうとする人が多い
- 会議では、声の大きい人の発言が優先される傾向にある
- 会議では十分に議論を重ねるのではなく、適当なところで鶴の一声で決まる
- 会議の議事録は作成されず、後から議論の過程が振り返られることはない
・被評価組織のサイバーセキュリティに関する対策を評価する際に一般的に用いられるフレームワーク
→情報セキュリティ監査基準、情報セキュリティ管理基準、ISO/IEC27000ファミリー、NIST Cybersecurity Framework、CIS Controls、FFIEC Cybersecurity Assessment Tool
・★個人情報保護法（改正法）の主なポイント★：

• 個人の権利への対応

  • ①利用停止・消去を請求する権利の拡充（個人の権利や正当な利益の侵害がある場合に、保有個人データの利用停止、消去の請求が対応されるよう緩和する）

  • ②電磁的形式での開示の推進（原則として、電磁的記録を含めて本人が指示した方法により開示するよう義務付ける）

  • ③取得元情報も開示（第三者への提供時、第三者からの受領時の記録も、開示請求の対象とする）

  • ④保有個人データの範囲の拡大（現在除外されている6ヶ月以内に消去する短期保存データを「保有個人データ」に含めるため、開示や利用停止などの対象とする）

• 事業者の守るべき責務

  • ⑤漏洩等報告の義務化（一定の類型に該当する場合に限定して、速やかに委員会への報告をすることと、原則として本人に事故の事実を通知することを義務付ける）

• データ利活用に関する施策

  • ⑥仮名加工情報の導入（個人情報の類型として仮名加工情報を導入し、内部分析等に限定すること等と条件に、開示・利用停止請求への対応等の義務を緩和する）

  • ⑦提供元で個人データになる情報の取り扱いを規定（提供元では該当しないが、提供元に置いて個人データになることが明らかな情報について、本人同意が得られていることの確認等を義務付ける）

・ロイヤルティ監査とは、ライセンシーがライセンス契約に従い、適切にロイヤルティを算定し、適宜に報告を行なっているかを検証する手続きである。
・★サードパーティリスクドメインは以下のようなものがある★：
→安全衛生面、犯罪・金融犯罪、財務健全性、集中化リスク、データプライバシー、事業継続性、労働者の権利、地政学、コンタクト、情報・サイバーセキュリティ、制裁措置・輸出、4thパーティリスク（二次請リスク）
・リスクマネジメントのフレームワークとしては、COSO ERM（Enterprise Risk Management）がよく知られている。COSO ERMは経営トップの視点で企業内外に存在するリスクを俯瞰した企業全般にわたるリスクを識別、管理することを目指している
・★ERMに含まれる活動★：
①組織の目的を明確に伝達する
②組織のリスク選好を決定する
③リスクマネジメントのフレームワークを含む適切な内部環境を構築する
④組織の目的達成を阻害する潜在的な脅威を特定する
⑤リスクアセスメントを行う
⑥リスクへの対応策を選定し実施する
⑦管理策やその他の対応策に取り組む
⑧リスクに対する情報を組織のあらゆる階層に継続的に伝達する
⑨リスクマネジメント・プロセスとその結果を一元管理しモニタリングする
➓リスク管理の有効性について保証を与える
・★米国の主要な企業の経営者が参加しており米国ガバナンス実務に強い影響力を持っていると言われているThe Business Roundtableが2002年に公表したBRT報告書によると、取締役会の役割は下記である。★：

• CEO及びその他の上級役員の選任解任・報酬の決定、評価

• 以下の項目を含めた、CEOによる業務執行の監督

  • CEO後継者育成計画の立案

  • 企業戦略計画の理解、レビュー、監視

  • 年間予算等の理解とレビュー

  • 財務報告の完全性、透明性への注視

  • 重要な企業活動のレビューと承認

  • CEOや委員会委員の氏名及びガバナンスの有効性の監督

・★IIAの3ラインモデル（2020年7月に公表）★
→「統治機関」「経営管理者」「内部監査」の3つの役割を設けることで、強力なガバナンスとリスク・マネジメントを支援しながら目標達成を可能とする効果的な構造とプロセスを特定するためのモデルである。
・★アジャイル内部監査と従前の内部監査の比較★

• 個別、相互に検討対応する⇔固定されたプロセス、手続きで実施

• ソフトウェア、テクノロジーの活用⇔手作業によるドキュメント作成

• ステークホルダーとの協調⇔ステークホルダーとの交渉

• 機敏かつフレキシブルな対応⇔決定した計画への盲従