この記事は2023年4月14日に「The Finance」で公開された「【連載】金融×内部監査② 知らなかった! そうだったのか……内部監査!! ~金融機関の経営陣、監査対象組織などの目線で「内部監査」を紐解いていこう!~」を一部編集し、転載したものです。
「内部監査」は監査部門以外から見えづらく、わかりにくい面がある。【連載】金融×内部監査①※では、金融機関の経営陣、監査対象組織の所属員からの目線で「内部監査」を考え、なぜ、「内部監査」が必要なのかを解説した。
本稿では、内部監査部門が実際にどのような仕事をしているか、前半と後半にわけてわかりやすく解説する。
※参照:【連載】金融×内部監査①
第2回 「内部監査」は、どのような仕事をしているのか? (前半)
※ 本稿は筆者の個人的な見解に基づくものである。筆者の勤務先における事例ではなく、公式な見解を示すものではない。
監査プロセス展開の全体構造(前半)
内部監査における個別監査のプロセスは、計画段階・実施段階・報告段階の3つに分類できる。第2回はその前半部分(図1)について解説する。計画段階では、年度始のリスク評価 → 年度監査計画 → (仮の個別監査の目標設定) → 個別監査にかかるリスク評価 → 個別監査の対象範囲 → 個別監査計画(正式な目標設定を含む)を踏まえて、予備調査の実施、監査プログラム等を策定する。
経営陣にとっては、懸念するリスク、検証を要請したい事象などを監査部門との意見交換により、第3線である監査部門を活用できる機会となる。例えば、「経営陣としての懸念リスクや問題事象を対象に内部監査を実施するにとどまらず、経営陣が認識、把握できていないリスクに対して、監査実施を通して問題がないことを検証してほしい」という期待、要請がありうる。
一方、監査対象組織にとっては、監査対象組織にとって、自組織の業務をアシュアランスしてもらうことがメリットとなる。例えば、プロジェクトが完了してから検証するのではなく、監査部門がプロアクティブ(proactive)に、つまり、将来を見越して統制(コントロール)が十分であるかを見極めるなどの予兆を捉えることにより、監査対象組織は事前に対策を講じることができる。
計画段階[1] 目標設定
内部監査の果たすべき役割とは、アシュアランス、アドバイスおよび洞察提供により、組織体(所属する金融機関等)の価値を高めることである。その手段として、「リスクベース監査」が有効となり得る。なぜなら、リスクが高いと評価した領域(分野・領域・業務、組織等)を特定し、そこに監査資源(時間、要員、予算)を重点的に投入して、リスクの発生、低減を図ることができるからである。
経営陣にとっては、監査部門との意見交換、コミュニケーションを取りながら、監査部が監査目標の調整を図っていくことが大切である。また、監査対象組織にとっては、公式、非公式に関わらず、日常的に監査部門とのコミュニケーションの機会を持つことは有効である。自組織を含めた全社的なリスク、コントロール、マネジメントについて理解を得る機会となる。監査部門によるオフサイトモニタリングにおいて、監査対象組織と監査部門との意見交換等は有益な機会となる。
監査対象・監査目標設定 ~ 目的・範囲・結果
計画段階における目標設定のポイント(図2)は、①目的(なぜ、この個別監査を実施するのか、監査の目標水準をどうするのか)、②範囲(監査対象組織・業務領域等はどこまでの範囲とするのか)、③結果(仮説・論点、意見交換等の監査結果に向けてのプロセスを設定)等となる。また、テーマ監査のタイトル(例)等と整合するように、整備状況を監査するのか、運用状況を監査するのかを検討していく。こうして、「リスクベース監査」にかかる目的・範囲・結果が明確になっていくことになる。
リスク評価
リスクアセスメントとは、組織体におけるリスクを認識し、リスクの大きさを評価し、コントロールの結果としての残存リスクを把握する、そのリスクが許容できるかどうかを判断するプロセスである。リスクアセスメントは、①リスク特定(リスクの洗い出し)、②リスク分析(リスクの大きさ等を分析)、③リスク評価のプロセスに分類する。監査部門がリスクの高い領域にアプローチする手段として有効である。
リスク評価には、リスクの領域別、テーマ監査等の項目別、組織体における所属別の評価など内部監査の目的に応じたアプローチができる。本稿では、「固有リスク-コントロール=残存リスク」の仕組みで解説する。このリスク評価の結果を可視化したのが「リスクマップ」(図3)となる。リスクマップは、縦軸をリスクの影響・規模、横軸をリスクの発生可能性として、評価をH(高い、High)・M(中程度、Medium)・L(低い、Low)に分類する。
監査部門としてリスク評価にかかる留意事項は以下のとおりである。
①固有リスク-コントロール=残存リスクの評価基準、つまり、具体的なリスクのH(High)・M(Medium)・L(Low)の基準を定めておく。
②定期的なリスク評価は、リスク変化に柔軟に対応できるように活用する。
③定量的、定性的な評価に取り組む。特に、内部監査人の個人的見解から判断せず、根拠に基づいた評価として複数のレビューを行なうよう留意する。また、評価区分を細分化・精緻化しすぎないようにする。例えば、細部のオペレーション単位で評価すると、全体の統制(コントロール)が評価できない場合があるからである。
④リスクマップは、監査対象組織と監査部門とのコミュニケーションツールとしても有効であり、情報の非対称の解消につながる。
⑤リスクマップ対象領域の周辺・派生・関係領域にも着目する。
個別監査にかかるバイアスと情報の非対称性
内部監査人におけるバイアス(思い込み、偏向など人間の思考や行動の偏り)と監査対象組織との情報の非対称性は、早めの解消が有効である。(図4 ご参照)
個別監査にかかるバイアスについては、「認知バイアス」(問題事象等の把握、判断が、経験値や直感による先入観が働き、合理的でないこと)、「確証バイアス」(内部監査人にとって、都合のよい情報ばかり収集して、反証する情報を軽視、収集しない傾向)に陥らないよう努めている。
また、監査対象組織と内部監査人とでは、その機能・役割や立場の違いから、双方が有している情報に非対称性が存在する。お互いに見えている部分が異なるため、リスク認識の相違やコンフリクト(意見対立、軋轢等)が生じやすい。そのため、意見交換、コミュニケーションの場面では、その解消に取り組んでいる。
監査対象組織と内部監査人との情報・価値観の非対称性(図4)とは、例えば、ある問題事象のリスク評価について、監査対象組織は重要な問題ではないと評価、一方、内部監査人は重要な問題事象と評価した場合である。このような展開となる原因として、お互いの情報・価値観の非対称性が考えられる。個別監査のテーマなど主要な領域については、お互いの積極的なコミュニケーション、意見交換で確認する必要がある。
計画段階[2] 予備調査
予備調査とは、具体的な検証作業を実施する前段階として情報収集、監査対象組織とのコミュニケーション(良好な関係、監査環境づくり)を図るプロセスである。
経営陣にとっては、予備調査段階で、法令・コンプライアンスにかかる重大な事象(懸念を含む)が発見された場合は、速やかに報告を受ける仕組みを整えておく。また、監査対象組織にとっては、個別監査に関係する資料・データの提出、プレインタビューの実施など業務負荷がかかるときがある。物理的、時間的な負担が大きい場合は、監査チームに確認する必要がある。結果として、代替手段、目的に沿った資料提出などにより、監査業務の効率化につながる場合がある。
予備調査にかかるマネジメント
監査チームにおいては、監査主任(リーダー、チーフなど)によるマネジメントが重要となる。
①監査対象組織からの資料・データによる分析・評価
②監査対象領域にかかる専門知識等の監査チームにおける理解
③ソフトスキル(マネジメント、リーダーシップ、コミュニケーション)の醸成
④監査対象組織とのコミュニケーション(総務的な事項等を含む)
⑤監査プロセスにかかるスケジュール、進捗管理、仮説・論点の整備
などをチームミーティング、個別ミーティングで展開していく。内部監査人個人レベルでは、得意な分野・苦手な分野、経験がある分野・経験がない分野などがあり、チーム全体で一定の品質が保てない場合がある。また、内部監査は経験、キャリアの延長線上で判断すると視野が狭くなりがちになる。監査チームは、バイアスを回避し、監査品質の高い、客観的な分析・評価により監査品質を高めていくよう進めていく。
監査項目の策定
予備調査を踏まえて、監査項目の策定に着手する。監査項目は、テーマ監査におけるリスクの高い領域(固有リスク-コントロール=残存リスク)を考慮して策定していく。なお、残存リスクに着目する場合は、1線(第一義的なリスクの責任部署としてコントロールを行なう)、2線(リスクに対するモニタリング、指導等を行なう)が機能していることが前提となる。
計画段階[3] 監査プログラム(整備評価)
監査プログラムは、監査計画、監査項目を具体的にタスク管理するためのプログラム(ツールとして専用のアプリケーション、シート、テンプレート等を使用)である。
経営陣にとっては、監査項目の選定、監査プログラム(整備評価)は、テーマ監査領域に内在するどのようなリスクに着目し、どのようにアプローチしていくか、具体的な内容が把握できる。もし、懸念が生じる場合は監査チームに確認する必要がある。また、監査対象組織にとっても、不明な点があれば、監査チームに確認するなど積極的にコミュニケーションをとることが望ましい。
経営陣、監査対象組織ともに関心が高いのは、テーマ監査領域として、適切であったのか、問題があったのかという最終結論であろう。そのため、監査部門として、適切なアシュアランスができるように、監査プログラムについて十分な検討を重ねている。
監査プログラムの基本構造
監査プログラムの基本構造は図5、具体的なイメージは図6のとおりである。
以下に、監査プログラムの基本構造の分類とポイント(例)を整理した。①着眼点、②仮説・論点(監査要点)、③評価基準、④分析・評価・検証等、⑤エビデンス(監査証拠等、強度含む)、⑥留意事項等に基づきプログラムを策定している。
なお、仮説・論点とは、
①仮説は、事前準備段階の「見立て」、これから検証であるものの、確からしい事項
②論点は、明確にすべき課題、その結果、課題解決が容易になる重要な事項
とする。
着眼点
監査領域を分析・評価するのが着眼点である。一例ではあるものの、資源配賦、計画の十分性・整合性、デメリット・懸念事象、縦割り構造・サイロ化、ベストプラクティス事例、モニタリング・報告、外部情報活用による意見表明、カルチャー(企業文化等)の視点で整理した。
| カテゴリー | 着眼点(例) |
|---|---|
| A.資源配賦 | 効果的な経営資源の配賦ができているか。 |
| B.計画の十分性・整合性 | 計画策定、運用等にかかる十分性・整合性に課題がないか。 |
| C.デメリット・懸念事象 | デメリット・懸念事象にかかるコントロールが十分に機能しているか。 |
| D.縦割り構造・サイロ化 | 組織におけるサイロ化(silos)の兆候など、カルチャー(企業文化、組織風土、不文律等)にも関係する着眼点である。 |
| E.ベストプラクティス事例 | 経営戦略等に寄与していること、業務において高く評価できることを確認する。 |
| F.モニタリング・報告 | 重要事項のモニタリングが機能しているか、形骸化していないか。 |
| G.外部情報活用による意見表明 | 国内、海外の外部情報、各種ガイドライン等に適切に対応しているか。 |
| H.カルチャー(企業文化等) | 組織体のカルチャー(企業文化等)に着目する。 |
仮説・論点(監査要点)
仮説・論点(監査要点)は、
・仮説・論点から結論に至るまでのプロセスを考慮する。
・予備調査等で準備された分析(定量的・定性的)を基礎とする。
・カテゴリー・リスク別は優先順位を考慮して記載する。
などがポイントとなる。
これらを踏まえて、仮説は、予備調査をもとに仮説を立案し検証していくこと、論点は、オンサイト(往査)で監査対象組織と意見交換する事項として整理してみた。
| カテゴリー | 仮説・論点(監査要点)(例) |
|---|---|
| A.資源配賦 | ①計画・開発・運用・効果等の乖離がないか。 ②計画から効果検証まで一貫性・連続性は保たれているか。 ③計画(年度・フェーズ)等について、追加、修正対応が多発している原因は何か。 ④計画段階における要員・スキル、予算策定、システム・オペレーション等の不整合、弊害、不足・過剰はないか。 |
| B.計画の十分性・整合性 | ①全体最適とすべき事項が部分最適にとどまっていないか。 ②内容が明確でなく、「検討予定」、「今後検討」、「さらなる検討」、「高度化」等のあいまいな表現に終始していないか、計画は実態を伴っているか。 ③組織、態勢、ロードマップ、フェーズ管理等が全体俯瞰の立場から実現可能性は評価できるか。 ④計画策定に重複や漏れ(MECE)、予算・要員・時間等に過不足、責任・役割・統括機能が不明確等の懸念はないか。 ⑤実務担当者のスキル、専門知識等に欠如、懸念はないか。 ⑥目標数値は適切か、根拠に基づかない計算をしていないか。 ⑦経営陣に対する忖度、上位職制への迎合、同調圧力(peer pressure)、形式だけの合意形成等の判断、意思決定はないか。 |
| C.デメリット・懸念事象 | ①判断基準(criteria)は明確になっているか。 ②優先順位づけの根拠、判断が合理的であるか。 ③「検討中・継続検討」等に隠れた事実上の先延ばし・停滞はないか。 ④異常値、逸脱等への対応措置は適切か。 ⑤他の業務が多忙、スキル不足、管理不在等により問題事象を放置していないか。 ⑥コントロール(予防的・発見的・是正的・指揮的)の対応は適切か。 ⑦再発防止策等、懸念事象への措置が形骸化、無力化していないか。 ⑧「マニュアル」が存在するにとどまり、実効性のない現実、形骸化・無力化していないか。 ⑨組織・チームの業務工程、プロセス等について、定期的に「ふりかえり」(レトロスペクティブ、Retrospective)を実施しているか。 ⑩特定のオペレーション・対策・工程の前後・派生的・関連・上流から下流までの組織を検証して問題はないか。(本社と拠点・現場、関連組織等) |
| D.縦割り構造・サイロ化 | ①組織におけるサイロ化(silos)になっていないか。 ②組織(計画立案)と組織(実施・運用)とに齟齬、誤謬の実態はないか。 ③「三遊間」、「火中の栗(ラ‐フォンテーヌの寓話 )」のような事象に対して、見て見ぬふり、責任逃れ、釈明の繰り返し等の懸念はないか。 ④業務に関係する組織は、良好な双方向コミュニケーション(例 綿密なミーティングの実施)、問題事象に対する解決行動等の協力関係を築いているか。 ⑤「連携」、「さらなる高度化」等の抽象的な記載で、実態を伴っていないものはないか。 ⑥経営陣の役割を代替する「統括機能」(例 モニタリング、全体を統括する部署)が存在しているか。 ⑦業務・オペレーション等の引継ぎ・伝達等は適切か。 |
| E.ベストプラクティス事例 | ①業務の生産性向上、効率化、働き方改革、リスクの許容、システム化できない業務にかかる対応等、新たな発想で業務改革に取り組んでいるか。 ②DX(Digital Transformation)、RPA(Robotic Process Automation)等にかかる特筆した取組みと効果はあるか。 ③部分最適にとどまらず全体最適になっているか。 ④ウォーターフォール型からアジャイル型のマインドセット・発想等で敏捷性(Agility)による効果があるか。 |
| F.モニタリング・報告 | ①モニタリングの実施は適切か、また、その結果を所定の委員会等に報告しているか。 ②KPI(重要業績評価指標)、KGI(重要目標達成指標)について「数値操作」 (見かけがよい報告をするため)の懸念はないか。 ③アセスメント(Assessment)等のデータ・数値の解釈に、バイアス(確証バイアスや認知バイアス)、恣意性はないか。 ④担当者任せとなり、管理者等による検証は実態としてあるか。 ⑤非効率、生産性が期待できない、効果検証が正確にできない等のモニタリング結果に対応せず、静観、放置していないか。 ⑥定性評価のみに偏り、定量評価が十分になされない状態が続いていないか。 ⑦「注視していく」、「適宜見直し」、「状況に応じて」等の表現の場合、モニタリングの深度、予測等は適切か。また、「数字の取りまとめ、ウォッチしているだけ」にとどまり、問題事象を看過していないか。 |
| G.外部情報活用による意見表明 | ①外部情報を入手しているか。有効な情報であれば、関係者との意見交換や意見表明を行なっているか。 |
| H.カルチャー(企業文化等) | ①コンダクトリスクにかかる問題事象、予兆管理・将来予測を分析・評価しているか。 ②カルチャー・企業文化・組織文化にかかる問題事象、予兆管理・将来予測を分析・評価、サブカルチャー(副次的、下位の部分)にも着目しているか。 ③改善を要する事項について根本原因分析(Root Cause Analysis)は実施しているか。また、高く評価できる事項について成功要因を分析しているか。 |
第3回に向けて
上記に続く、評価基準、分析・評価・検証等、エビデンス(監査証拠等、強度含む)、留意事項等は第3回で解説する。
監査部 上席監査品質指導役
保険金部、契約部等を経て、監査部にて内部監査を14年間従事。かつて、保険金部在任時「不適切な保険金等の不払い」による行政処分を受け、未曽有の事態に対応、その際、内部監査の重要性を痛感した。現在は内部監査のスーパーバイザー業務を専任。内部監査にかかるセミナー講演、日本内部監査協会 CIAフォーラム研究会座長として、内部監査部門・内部監査人の悩み、課題解決に向けて研究活動を取りまとめている。
