内部監査の在り方 Part. 05 - モニタリング -
今回は、内部監査の業務としての「モニタリング」について考えてみたいと思っております。
「モニタリング」について
内部監査の皆さんは「モニタリング」と聞くと、内部統制の6つの基本的要素にあるモニタリングのイメージが強いと思います。(参照:2023改訂版「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(企業会計審議会・金融庁)(*以下「J-SOX2023改訂版」といいます))
今回みていくのは、この内部統制で示すモニタリングを内部監査の監査方法として行うものです。もうすでに取り入れている内部監査の皆さんもいらっしゃるかと思いますが、改めてこのモニタリングを有効的かつ効果的に活用することを考えてみたいと思った次第です。
J-SOX2023改訂版ではこのモニタリングを、次のように説明しています。
(5) モニタリング
モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいう。モニタリングにより、内部統制は常に監視、評価及び是正されることになる。モニタリングには、業務に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的評価がある。両者は個別に又は組み合わせて行われる場合がある。
(以下省略)
上の引用にあるモニタリングの実施に関する具体的な説明については、J-SOX2023改訂版の実施基準46〜48ページをご参照ください。内部統制のモニタリングでは、内部監査が登場するのは「独立的評価」の方です。「日常的モニタリング」は「業務に組み込まれて行われる」ものとしていますので、本来はその業務が行われている部門内の上長又は管理機能を持つ部署、もしくは当該部門以外で管理機能を持つ部門(例:管理系部門)が日常的モニタリングを行い、内部監査はこれを独立した立場から評価するというかたちになります。
制度としては良いかたちですし、このかたちが有効的・効果的に運用されていれば問題無いのですが、いつしか形式的になる恐れもあります。それを防ぎつつ内部統制の4つの目的を達成したい。さらには有効的・効果的に運用することで企業価値の向上に貢献できるモニタリングを行いたいということを考えている次第です。
では、どのようにしたら良いでしょうか。押さえるポイントを今回は2点挙げて、皆さんと一緒に考えてみましょう。押さえるポイントはアイデア次第でいくつも挙げられると思いますので、今後も継続してご紹介したいと思っております。
【ポイント1】モニタリングの目的を考える
内部監査が監査方法としてモニタリングを採用する場合、その対象は個々の業務又は業務の流れに定めることが多いと思います。さきほどご紹介したように、内部統制の日常的モニタリングは普段の業務に組み込まれているものですから、業務を行う部門はリスクのある/不正行為が発生しやすいポイントに対してモニタリングを行なっていると思います。その日常的モニタリングのポイントですが、的確なポイントであるかを内部監査の立場で検証したことがありますか?モニタリングするポイントを検証・見直す際には、次の点を見ることをお勧めします。
<検証・見直し点>
リスク低減できるポイントか?
不正行為等を未然防止できるポイントか?
実際に不備・不適合を検出した場合でも、リカバリできるポイントか?
業務を行う部門が日常的モニタリングのポイントは、その業務の流れから見て重要なポイントだからモニタリングするという考えはとても良いと思います。しかし、同様のポイントを内部監査が監査方法としてモニタリングを行うとしたら、内部統制評価監査でも同一のポイントをキーコントロールに設定していることが多いので、同一のポイントを内部監査と名前を変えただけで評価・監査することになってしまいます。これは有効的・効果的ではないばかりかとても効率的ではありません。内部監査は「ガバナンス・プロセス、リスク・マネジメントおよびコントロールの妥当性と有効性とを評価し、改善に貢献する」(引用:一般社団法人日本内部監査協会「内部監査基準」平成26(2014)年改訂・1ページ)ことが内部統制で行うこととなっています。もし内部監査が監査方法としてモニタリングを採用するのであれば、内部監査基準にある内部統制の目的を元に、内部統制のモニタリングと重複せず、かつこの内部監査の目的から大きく外れないようにすることををお勧めします。
【ポイント2】どのようにモニタリングするか?
J-SOX2023改訂版によれば、モニタリングは「内部統制の有効性を監視するために、経営管理や業務改善等の通常の業務に組み込まれて行われる活動をいう」(参照:J-SOX2023改訂版・監査基準13ページ)とあります。皆さんの会社でもこの活動を行うため、業務の流れの中にダブル・チェックの業務や、業務フローに上長・部門長による確認・承認を入れていると思います。また大会社であれば、各業務を担う事業部門等の部門内の管理業務を担う部署(例:営業管理、品質管理など)において管理業務の一つとしてモニタリングの要素を持つ業務を行なっていると思います。
それでは、内部監査が行うモニタリングはどのようにしたらよいでしょうか。J-SOX2023改訂版ではこのように示しています。
(5)モニタリング
②独立的評価
独立的評価は、日常的モニタリングとは別個に、通常の業務から独立した視点で、定期的又は随時に行われる内部統制の評価であり、経営者、取締役会、監査役等、内部監査等を通じて実施されるものである。
これらを具体的に行なっている例として、各プロセスのチェックリストやRCMを使い統制頻度(年次・四半期次・月次・日次)に応じて内部統制の評価を行なっているものになります。ただ、ここで注目したい点があります。それは上記引用のうち「定期的又は随時に行われる内部統制の評価」の部分です。内部統制の評価は、事業年度中に整備・運用評価を各1回ずつ行い、期末時にロールフォワード評価を行うものという固定概念がありますが、J-SOXには「随時」とあります。この点を皆さんの会社でどのように理解し、実施するかが大きなカギとなると考えます。
独立的評価を随時行うということは、内部統制評価者が整備・運用評価のような評価を随時行うのかといえばそれは現実的ではないでしょう。ポイントはこの独立的評価が「モニタリング」項に記載されている点です。そうするといろいろなやり方が想像できます。例えば通常の業務に日常的モニタリングが組み込まれているので、内部監査はその日常的モニタリングの実施状況を観測(評価)又は監視する方法があります。これがJ-SOX2023年改訂版で求めているものと推察しますが、今回お勧めする方法は、日常的モニタリングで行なっているモニタリングとは違う、内部監査独自の視点・観点でモニタリングを行う方法です。ただし、内部監査がモニタリングを行うと言っても自らがチェック機能になるわけではありません。内部監査が直接事業に関する業務に携わることはできませんので、あくまで業務実施状況を観測又は監視するものです。とはいうものの、社内の業務はたくさんありますので、それらの業務のどこをどのように観測・監視するのかというのが難しいところです。一つの例としては、皆さんの会社のリスク管理委員会等で挙げているリスクに対応した業務状況を観測・監視する方法です。リスク管理委員会等で挙げているリスクは、内部統制上のリスクに留まりません。もし皆さんの会社で内部統制・業務プロセス(PLC)において重要な勘定科目に広告宣伝費を挙げている場合、内部統制では発注・広告実施・実績評価の各業務において業務の有効性及び効率性や法令遵守等の状況を評価すると思います。内部監査が行うモニタリングとしては、広告代理店の選定方法や実施評価の評価方法の妥当性、社内ルール遵守状況など、内部統制の評価では踏みこめていない深さまで踏み込んでモニタリングするのも良いでしょう。それに会社によってはこの広告宣伝費と販売促進費が正しく区別されていない場合や混在していることも考えられます。社内ルールに基づいて正しく区別されているのか。広告宣伝として開催したイベントで制作したオリジナルグッズ・ノベルティを普段の営業活動にも流用しているのであれば、経理処理は正しく行われているのか。これらを内部統制の評価の一環で行うのは難しいので、このようなポイントを内部監査のモニタリングで観測・監視することも考えられます。
内部監査が行うモニタリングをどのように行うのか。それは皆さんの会社の事業活動状況、リスク管理状況等によって様々考えられますが、逆に皆さんの会社の事業活動状況、リスク管理状況等を元にすれば、皆さんの会社の内部監査がモニタリングすべきポイントが自ずと決まってくるのではないでしょうか。また、内部監査のモニタリングで抑えるべきポイントを観測・監視していることを社内に周知することで、リスクの低減や不正行為等の抑止ひいては業務の有効性を保つこともできます。モニタリングをどのように行うのかを十分に検討することをお勧めします。
内部監査が業務監査又は内部統制の独立的評価を行うことの一環として、日常的モニタリングとは別にモニタリングを行うことはとても有効だと考えます。やり方次第では、リスクの低減や不正行為等の抑止ひいては業務の有効性を保つこともできるのですが、これが内部監査の皆さんの最大目的ではありません。最大目的は、皆さんの会社の企業価値の向上です。皆さんの会社でこのような積極的な姿勢を持った内部監査として、とても心強い存在になっていただくことをお勧めします。
この記事が気に入ったらサポートをしてみませんか?