筆者:公認会計士 高橋雄一
内部監査は一般的に下記のように定義され、その定義は「目的」「要件」「機能」の各視点から説明することが可能です。内部監査では、独立性と客観性が求められます。その結果、内部監査結果を歪めず、内部監査の信頼性を維持することができます。
(目的)価値を付加し、また改善するために行われる、
(要件)独立にして、客観的な、
(機能)アシュアランスおよびコンサルティング活動
内部監査の活動は、「価値を付加し改善すること(=経営管理の最適化に貢献すること)」を目的としたものであることから、内部監査とは、企業の現状を把握し、経営管理の最適化に役立て、経営陣のために、経営陣が気付かなかった問題点を早期に発見するための機能と言えます。
内部監査の要件としては、精神的独立性・外観的独立性、専門的知識・専門家としての正当な注意・品質改善活動があげられ、経営陣が気付かなかった問題点を早期に発見するための機能という点では、会社の悪くなったところを発見する健康診断というよりも、「現在の体の状態を見える化」する体力測定をイメージするとわかりやすいかもしれません。
内部監査には4つの種類あります。
金融商品取引法が求める財務報告に係る内部統制監査です。
主に決算数値の監査となります。上場企業であれば公認会計士による外部監査を受けるため、内部監査部門は実施しない場合が大半ですが、グループ企業の会計監査等を内部監査部門が行うことがあります。なお、上場会社の場合には、当該監査は必須となります。
内部統制監査・会計監査以外に、組織が任意に行う業務リスクの監査を指します。業務監査は細分化することができ、「部門監査」(単独部門を対象に日常業務の管理を重点監査するもの)、「テーマ監査」(特定のテーマ・リスクについて組織横断的に監査するもの)などに分類することができます。これらについては、どのように制度設計するかにより進め方も異なってきますが、経営上存在する種々のリスクに対応するためには、適時適切なテーマについて行う必要があります。
上記1.から3.と少し区分が異なりますが、社⾧等の指示により、年間監査計画以外に臨時に行う監査です。どの内部監査の種類を中心に構築するかについては、会社が内部監査の結果に何を求めるかによります。
内部監査は、有効で効率的な監査内容であることが求められます。そのためには、リスクの大きさや重要度に応じて、監査対象の範囲や監査内容の深度を勘案しなければなりません。監査・被監査部門の限られたリソース、コストを考慮して重要なリスクに重点的に効率的な監査を行うことが求められます。
リスク評価は優先順位や重要度を決定するためのものですが、その定義は、「目的の達成に影響を与える事象発生の可能性。影響の大きさと発生可能性とに基づいて測定される。」とされています。つまり、これから起こるかもしれないことを指しており、リスク評価は未来の評価であることを認識する必要があります。
リスクアセスメントの軸としては、影響度と発生可能性のマトリックスをイメージすると対応しやすいと言えます。リーマンショックや東日本大震災は、発生可能性は著しく低いが、その対応についての脆弱性は高いため、補完要素として検討することで未来の事業継続に対する備えの必要性の評価、検討の手助けになります。リスクは未来の事象であり、その評価をすることは「予防」のためと言えます。ただ、過去・現在の事象の評価とは明確に分別しがたく、また、過去・現在の事象の評価を参考にする必要もあることから、過去・現在の評価は未来の評価の参考のためと考え、無視することはできません。
内部監査の目的は、「組織として目標の達成に役立つこと」であることから、組織の価値観そのものであると言えます。その意味では、現実に生じている事象と組織の価値観である目的をつないでいくのが内部監査の機能であるとも言えます。
内部監査の活動は、「経営陣のために」という位置付けからすると、経営者目線のトップダウン・アプローチとの適合性が高いと言えます。しかし、トップダウン・アプローチだけに依拠した場合は、組織の価値観が組織に浸透しているかどうかが判断できません。したがって、事実からアプローチする、現場活動を重要視するボトムアップ・アプローチとの併用が望ましいと考えられます。
人間は、悪意がなくともミスや不正を隠そうとしたり、見て見ぬふりをしたり、あるいは不正を働いたりすることもあるため、性善説・性悪説の二元論で考えるのではなく、性弱説を取り入れ、人間は弱いものであると認識することも肝要であると言えます。ボトムアップ・アプローチにより、内部監査を行う場合は、その事実の認識が組織の目的に沿っているものかどうかという視点から点検するようにする必要があります。
企業が実効性ある内部監査を通じて業務の適切性や財務の健全性を確保し、企業価値を向上させるためには、経営陣が、グループ全体の業務運営の的確な把握と、内外環境変化へ適時に対応できる内部監査態勢を整備することが求められます。
その際には、主に以下の論点に基づいて深度あるモニタリングを進めるとともに、モニタリングを通じて内部監査の高度化を促していく必要があります。
経営陣や監査委員・監査役は、①自社の経営基盤・規模・特性・経営戦略等を踏まえた内部監査の在り方を検討しているか、②内部監査の高度化を支援しているか、③内部監査機能を活用しているか、という点を確認する必要があります。
内部監査部門は、①経営陣や監査委員・監査役との意見・情報交換をしているか、②内部監査部門の独立性を確保しているか、③リスクを洗い出し、監査領域を絞り込んでいるか、④リスクの変化に機動的に対応しているか、⑤真因分析を踏まえた改善提案を行う等の深度のある監査を実施しているか、⑥IT やデータ分析を監査へ活用しているか、⑦継続的に監査品質の向上に取り組んでいるか、⑧グループ・グローバルでの監査態勢の整備に取り組んでいるか、という点を確認する必要があります。
また、内部監査部門は、①どのように人材確保・育成に取り組んでいるか、②どのような監査システム・ツールを導入しているか、という点にも留意が必要です。どの企業においても、専門領域や新たな領域の監査要員の確保は大きな課題であり、一部の大手企業グループでは、外部専門機関を活用した、いわゆるコソーシング(共同業務実施)が行われています。専門領域や新たな領域において、それらを監査する人材が不足する場合は、コソーシングの活用も一つの選択肢として考えられます。その場合には、内部監査部門は、①コソーシングの活用方針を定めているか、②コソーシングによる監査の最終評価に責任を有しているか、③コソーシングによる知見やノウハウを吸収しているか、という点がポイントになります。
経営陣や監査委員・監査役、内部監査部門は、①被監査部門に対する内部監査への理解・浸透を図っているか、②被監査部門のリスクオーナーシップの評価や醸成、被監査部門とのコミュニケーションを図っているか、③被監査部門がリスクオーナーであるという自覚を持って、自律的にリスクコントロールする意識付けができているか、という点を確認する必要があります。
内部監査の機能は、低位のものから順に、「保証⇒問題解決⇒課題発見⇒アドバイザー」の4段階となります。その意味では、現実に生じている事象と組織の価値観である目的をつないでいくのが内部監査の機能であるとも言えます。
問題解決とは、内部監査の発見事項について、根本原因を分析し、是正措置が構築できるようにすることであり、課題発見とは、経営目的に対して意義のある改善提案について主体的な役割を果たすことです。アドバイザーとは、内部監査にとどまらず、経営に付加価値のあるサービスや戦略的助言を提供することを意味します。「内部監査部門だから、経営には関係ない。手続きを淡々としていればいい。」という感覚では内部監査は経営者の要望に応えるものにはならないため、どのようにして内部監査部門に経営者の要望を伝えていくかということも重要です。
内部監査に従事するメンバーは、単なる保証をし続けるのではなく、問題解決や課題発見、アドバイザー機能を提供できる存在であるとの意識を持ち、能力を高めていくことが求められます。その観点からすると、将来の経営幹部候補者にキャリアパスの一環として内部監査を経験するようにすることも、一つの施策と言えるかもしれません。
経営管理 プラクティスグループ(business-admin@aiwa-tax.or.jp)