リスクと内部統制の関係を説明すると内部監査のイメージがしやすいかもしれない(前回記事のアンケート結果から)

こんばんは。内部監査という言葉のイメージがあまりにもないのではないかとふと不安に思って、内部監査のイメージについてのアンケートをとりました。

５名の方にご回答いただきました！本当にありがとうございます。匿名なので、どなたが回答してくれたのか全くわからないのですが、ここに深く感謝申し上げます！ここに中間結果を発表しまして、そこから見えた課題に回答していきます。

内部監査について鮮明なイメージがありますか?

５が最もイメージがある人です。１は全くない人。結構イメージがある人が多い結果でした。

内容はこんな感じでした。皆さん、業務の中で内部監査を受ける側としてのイメージがあるようですね。

私が、これを見てなるほどとなったのは、「全貌がいまいちわからない」。そして、内部監査を実行する側から見ても、「これが合っているのかは手探り状態」という回答でした。そして「答えがない感じがする」しかも「無駄なこともあるのではという疑念」これですよね！ありがとうございます。匿名なのでどなたなのかはわからないのですが。

内部監査は、会社が直面するリスクに対応して、そのリスクに対する対処方法全体を検討し、リスクが十分適切にコントロールされているかを検証します。その範囲が広すぎて、まさに「全貌がわからない」ところがあります。そのことを、図にしました。

内部監査はこういうゲームのプレイヤーが動かしている板みたいな感じ

この図の一番下の「コントロール3」が内部監査や監査役の人、監査法人です。「リスク」がゲームの敵キャラクターです。この敵キャラクターは、会社の状況によって変幻自在に形を変えてきます。

「コントロール１」は、現場で実際に業務として行われているすごく細かい一つ一つの工夫を指しています。仕事がうまく進むように、皆さんが定めているすべての工夫・ルール・マニュアル・口頭伝承・個人の技や記憶・とっさの機転、全てが、「コントロール」です。これがあるからほとんどのリスクはブロックされています。(ちなみにこういう全ての工夫を「コントロール」と呼びます。別名が内部統制です。)

「コントロール２」は、そうした現場での工夫を支え、見落としを防ぐ役割です。経理部や法務部・総務部などの管理部門や、品質管理部が担当している仕事です。現場だけでは気づいたり考えたりするのが非効率だったり、難しい仕事をまとめて請け負っています。

「コントロール３」は、ゲーム画面に配置されている「コントロール１」と「コントロール２」を細かな業務単位で見渡した上で、会社がどんどん形を変えてとっていくリスクに対して、染み出しくるリスクがないかを見極めて、盤面上を素早く移動して受け止める役割です。カバー範囲が広がりすぎると盤面の端から落ちていくリスクに気づくことができません。また、常にリスクそのものが形を変えるので、正解は常に変動し続けていますし、現場が行う工夫も日々変わってしまうので、昨日効いていたコントロールが明日は有効なのかはわかりません。

そうすると、このゲームの形にはちょっと無理があるなという話になります。なので、本当にやるのは以下のような形になると思います。

どうも、コントロールが弱そうなところを見つけたら、その部署と一緒に「コントロール3」的な考え方を身につけてもらいます。そうすると、その部署は自分でリスクを見つけて、ふさぐという動作をしてくれるようになります。図ではそれぞれのコントロールから「コントロール3」的なものを生やしてくれるようになりました。

それぞれのリスクが形を変えていくように、それぞれの部署から見たリスクやその対処法も、その部署の人たちの適性も全然違います。なので、どの立場から見ても万能のコントロール方法はありません。

ただ、「リスク」と「コントロール」というフレームで整理し、しかも、個々の業務単位でそのコントロールの効果を調べていく、という考え方を編み出したのが、内部監査や監査法人のすごいところだと思います。

どうしても個別の監査作業から考えると、全体感がわかりにくくなるかもしれないなと思って、考えました。