内部監査は、法令や社内規程類等に則って業務が行われているかどうか、証拠に基づき検証する活動です。内部監査部門は、経営者に代わって、業務の遂行状況を検証します。内部監査業務の基礎となるのが、内部監査計画書です。内部監査計画書は、監査の基本方針・目標・対象拠点・対象項目(重点監査項目)・実施時期や監査資源等を文書化したものとなります。
今回の記事では、内部監査計画書の策定について、全体的な考え方から始まり、リスクの識別、評価、監査対象拠点および監査対象項目の選定基準、個別論点に関しての留意事項までを解説します。
内部監査計画の策定における考え方
内部監査計画書は、監査方針・目標・対象拠点・監査項目・実施時期・監査資源等を文書化したものです。内部監査計画書を策定するうえで特に重要なポイントは、「対象拠点」「監査項目」を決めることです。監査対象拠点、監査対象項目を決める際に考慮しなければならないのが「リスク」です。リスクをレビューするために、以下のような事項を検証する必要があります。
①経営者の関心事:内部監査部門の役割は、忙しい経営者に代わって、業務の遂行状況を検証することです。例えば、コンプライアンスに関する違反があった拠点等、コンプライアンス違反を繰り返さないようコントロール手段が選定されているか等、経営者が「そこにリスクがある」と考えている拠点や項目が該当します。
②内部監査部門によるリスク評価:どのような領域にリスクがあるのかを洗い出し、「影響度の大きさ」と「発生する確率」を考慮して、リスクを評価します。リスクの識別とリスク評価については、目次2、目次3で説明します。
③過去の監査報告書:過去の監査における指摘事項は、ルールに則って業務が行われていなかった項目です。再発防止策が立案、実行されていない場合、同じ不備事象が繰り返し発生するリスクがあります。過去の監査報告書をレビューすることは、監査対象拠点、監査対象項目を決めるうえで欠かせません。
いずれも、リスクを識別するための手がかりになります。内部監査計画書策定の最初のステップは、「どこの拠点」「どの項目」にリスクがあるのか具体的に識別することです。
リスクの識別
内部監査計画書策定の最初のステップは、リスクを識別することです。企業運営において、リスクは避けて通れません。大きく分けると、全社的に影響を与えるリスク、特定の業務や手続きに影響を与えるリスクがあります。
リスクは、企業にとって損失を与える要因として捉えられがちです。しかし、リスクは、事業発展の機会にもなり得ます。事業目標を達成するために、企業は、リスクをコントロールする手段を設定します。内部監査人は、まず、リスクとコントロール手段を識別します。
リスクを識別するために用いられる代表的なツールとして、過去の監査調書や監査報告書があります。監査手続や監査結果から、リスクやコントロールを把握することができます。また、3点セットも有効なツールです。ここで、3点セットからのリスクの識別について、簡単に触れてみたいと思います。
①業務フロー:業務の流れと、そこに潜むリスク、設定されたコントロール手段を図示したもの
②業務記述書:業務を進めるに当たっての具体的な手続きを詳細に記したもの
③リスクコントロールマトリクス:業務の流れ、具体的手続きの詳細、リスクとコントロール手段の全てを記載したもの
過去の監査時と比較し、業務の流れやリスク、リスクに対するコントロール手段が変わっている場合も、3点セットで確認できます。特に、リスクコントロールマトリクスは、リスク、コントロール手段を識別するのに必要な情報を一目で確認することができる有効なツールです。リスクコントロールマトリクスをレビューすることは、内部監査人が、レビュー対象領域に潜むリスクとコントロール手段を識別するための有効な手段の一つです。ただし、J-SOXにおける3点セットは、財務報告に関わるリスクに限定されるものになりますので、その点留意が必要です。
リスクを識別する目的は、リスクとコントロール手段をより分かり易く把握し、リスク評価の実効性を高めることにあります。
リスクの評価
リスクの識別を終えた後、リスクを評価する作業に進みます。リスク評価は、監査対象拠点、監査対象項目の優先順位付けのために行います。リスクの大きな拠点、項目ほど、優先して監査する必要があるからです。リスクの評価に使う考え方として、「影響度の大きさ」と「発生する確率」があります。ここで、「影響度の大きさ」と「発生する確率」について、簡単に触れてみたいと思います。
①「影響度の大きさ」:その事象が発生した場合、会社が被る損失額
②「発生する確率」:どのくらいの頻度で発生するかの確率
「影響度の大きさ」が比較的小さなものでも、頻繁に発生する事象であれば、一概にリスクが小さいとは言えません。逆に、「影響度の大きさ」が大きいものでも、「発生する確率」が百年に一度程度のものなら、リスクが大きいとも言い切れません。リスクの評価は、「影響度が小さい」「影響度が大きい」として評価するのではなく、「影響度の大きさ」と「発生する確率」をかけ合わせて、できる限り数値化することが重要です。
また、監査対象候補になっている拠点に対して、インタビューを行うこともリスクを評価する有効な手段の一つです。質問状を送付し、業務の遂行状況を回答してもらいます。回答と規程類・3点セット等を比較して、ルールに則った業務が行われていなかった場合、リスクが高いものとして、監査対象項目になり得ます。リスクの大きさを可視化することも有効な手段の一つです。その一つが、リスクマップの作成です。リスクマップは、縦軸を「影響度の大きさ」、横軸を「発生する確率」として、リスクを図示したものです。図示した結果、リスクが大きいと判断された拠点や項目は、監査対象になり得ます。
リスク評価の目的は、リスクを優先順位付けして、監査対象拠点、監査対象項目の選定における判断をしやすくすることです。
監査対象拠点、監査対象項目の選定基準
リスク評価を終えた後、監査対象拠点と監査対象項目の選定を行います。リスク評価の結果、リスクが高いと判断された拠点、項目は監査対象になり得ます。また、以下のような事項も、リスクが高いと考えられるため、考慮する必要があります。
(1)監査対象拠点
①前回指摘事項が多かった拠点:再発防止策が立案、実行され、是正されているか、繰り返し発生させないコントロール手段が設定されているか監査します。
②大きな組織変更が行われた拠点:組織変更で、各部門の担当業務の変更、規程類等や業務フローの見直し、変更が考えられます。ルールに則って業務が行われているか監査します。
③事業改廃や統合が行われた拠点:事業改廃や統合で、事業内容が変わることが考えられます。それに伴い、規程類等や業務フローの見直し、変更が考えられます。ルールに則って業務が行われているか監査します。
(2)監査対象項目
①コンプライアンスに関する項目:コンプライアンス違反や不正の発覚は、大きなイメージダウンにつながるだけでなく、行政罰等の損失を被るリスクがあります。不正やコンプライアンス違反を防止するためのコントロール手段が設定されているか監査します。
②新規事業:新しく始まった事業では、まだフローが確立、浸透していないことが考えられます。ルールに則って業務が行われているか監査します。
③経営者の関心事:経営者が関心を持っている項目は、「そこにリスクがある」と考えている領域です。内部監査計画書策定において、重要な要素になります。
リスクが高い領域に対して、どのようなコントロール手段が設定されているかを考慮し、選定することが重要です。
内部監査計画の策定における留意事項
ここまで、内部監査計画策定の全体的な考え方、リスクの識別、リスクの評価、監査対象拠点、監査対象項目の選定基準について説明してきましたが、これまで説明してきたもの以外で、留意するべきことをいくつか紹介したいと思います。
①経営者との協議:監査報告会や監査計画書策定のための会議等を通じて、経営者がどの領域に関心を持っているかを把握し、内部監査計画書に反映させます。経営者の関心事は、経営者が「そこにリスクがある」と考えている領域です。
②監査役との協議:定期的に行う監査役との会議等を通じて、監査役がどの領域に関心を持っているかを把握し、内部監査計画書に反映させます。ただし、監査役の役割は、経営陣の監視です。監査役による監査と内部監査部門による監査とでは視点が違ってきます。その点は注意が必要です。
③監査法人との協議:監査法人が行う財務諸表監査、内部統制監査の対象範囲を確認し、内部監査の対象範囲と重複しないように配慮するべきです。また、財務諸表監査や内部統制監査がカバーしていない範囲を内部監査の対象範囲として考慮し、内部監査計画書に反映させます。
④監査対象拠点候補の予備調査:拠点によって、業務は異なります。業務が違えば、リスクもリスクに対するコントロール手段も異なります。また、前回指摘事項もそれぞれ異なります。各拠点が現在抱えるリスクやコントロール手段を考慮して、内部監査計画書に反映させます。
内部監査計画書において重要なことは、リスクの高い領域に対して、どのようなコントロール手段が設定されているかを考慮することです。
まとめ
内部監査部門の役割は、リスクに対して、設定された通りのコントロールで業務が行われているのか、証拠に基づいて監査することです。内部監査が成功するかは、リスクとコントロールを考慮した内部監査計画書の策定ができるかが大きなポイントになります。内部監査計画書策定の各段階のポイントは以下の通りです。
■全体的な考え方
☑経営者の関心事、内部監査部門のリスク評価、過去の監査報告書等をレビューし、リスクの識別を行う。
☑識別したリスクに対するコントロール手段を反映させる。
■リスクの識別
☑過去の監査報告書、業務フロー3点セット等を使って具体的にリスクを識別する。
☑リスクコントロールマトリクスで、業務の流れ、具体的な作業、リスクとコントロール手段を把握する。
■リスクの評価
☑リスク評価は、監査対象の優先順位付けのために行う。
☑リスクの重要度を「影響度の大きさ」と「発生する確率」をかけ合わせて数値化する。
■監査対象拠点、監査対象項目の選定
☑リスク評価の結果を踏まえ、監査対象拠点や監査対象項目を選定する。
☑コンプライアンスや前回指摘事項、経営者の関心事もリスクの一つとして考慮する。
