【金融×内部監査シリーズ①】知らなかった!! そうだったのか・・・内部監査!!　～金融機関の経営陣、監査対象組織などの目線で「内部監査」を紐解いていこう!!～

2023/02/27 # リスクマネジメント・監査印刷用ページ

新型コロナウイルス感染症(COVID‑19)の影響により、内部監査実務にも変化が求められるフェーズに入った。また、リモートによる監査が増え、監査プロセスにおける課題（①Withコロナにおける効率的・効果的な内部監査の要請、②現行監査メソドロジー＜監査品質・監査資源・所要時間等＞の見直し）も浮き彫りになってきた。
ただ、「内部監査」は監査部門以外から見えづらく、わかりにくい面がある。そこで、金融機関の経営陣、監査対象組織の所属員からの目線で「内部監査」を考えていきたい。監査部門は、多くの場合、経営陣と監査委員会等への報告ラインを持つ。そのうえで「第3線」として独立的な立場で、客観的な評価を実施している。また、監査部門とのコミュニケーションや個別監査における監査結果等が、経営陣、監査対象組織への付加価値の提供となるよう取り組んでいる。
第1回では、なぜ、「内部監査」が必要なのか・・・を解説する。

なお、金融機関における内部監査は、多種多様な形態があり、金融庁「金融機関の内部監査の高度化に向けた現状と課題（以下、高度化ペーパー）(*1)」をもとに、本稿の取扱範囲は図1の囲みとするのでご了承いただきたい。また、用語の解釈やフレームワークも金融機関によって異なるため、以下の整理とする。
　・経営陣：金融機関の経営に関わる役員の総称
　・監査対象組織：被監査部署とも呼ばれる、内部監査の対象となる組織
　・組織体：所属する金融機関等

※ 本稿は筆者の個人的な見解に基づくものである。筆者の勤務先における事例ではなく、公式な見解を示すものではない。

脚注
(*1)金融庁「金融機関の内部監査の高度化に向けた現状と課題」（令和元年6月28日）

第1回　なぜ、「内部監査」が必要なのか?

「内部監査」への想定される期待と意見

内部監査にかかるプロセス（計画・実施・結果報告）については、監査部門以外からの意見（アンケート等）として、感謝や賛同のポジティブなものがある一方、監査部門への要請、ネガティブな意見などもある。

筆者は、セミナー講演での受講者との質疑応答、金融機関等の内部監査人との情報交換、日本内部監査協会 CIAフォーラム研究会等での個別相談を含む研究活動を通じて、監査部門・内部監査人の悩み、課題解決に向けて取り組んでいる。これらの悩み、課題には、経営陣、監査対象組織と監査部門との関係が背景、要因となっているケースが少なくない。
監査部門は、組織体への付加価値提供に向けて取り組んでいるものの、経営陣、監査対象組織から理解を得られなかったり、不満を表明されたりする場合がある。つまり、両者における情報等の非対称性、認識のギャップが生じているのではないだろうか。
こうしたなか、多くの金融機関において、監査部門以外からは、どのような期待等があるのだろうか。以下、「内部監査」への期待と意見を一例として挙げている。

※「内部監査」への想定される期待と意見と監査部門の考え方、対応

【A.経営陣の視点・立場からのポジティブな意見】
分類	経営陣の期待と意見	監査部門の考え方、対応（例）
付加価値	もっと付加価値がある、洞察を提供する、経営に資する内部監査を期待している。	個別監査を含め内部監査全体を俯瞰して、事象の背景、根本原因分析、改善提案などを実施している。これらを分析・評価して経営陣へのレポーティング、意見交換に臨んでいる。
浸透、カルチャー	経営戦略が全社に浸透して、適切に業務遂行しているかどうかを検証していただきたい。全社、組織、集団のカルチャーを分析して、その改革に資する提言をしてほしい。	フィールド調査、インタビュー、データ分析等を駆使して実態解明およびその解決策に向けて取り組んでいる。
示唆、気づき	真の「顧客本位の業務運営」になっているのか検証してほしい。コンダクトリスク、サイバーセキュリティ、DX（デジタルトランスフォーメーション）など内外環境変化にスピーディに対応してほしい。経営陣にとって耳障りなことも遠慮することなく伝えてほしい。そうしたことが重要である。	社内・社外における環境の変化、グローバルな視点等について、日常的に情報収集している。「職業的懐疑心」をもって、内部監査のプロフェッショナルとして経営目線で取り組んでいる。報告内容は事実を報告している。（忖度、遠慮はしていない）

【B.監査対象組織の視点・立場からのネガティブな意見】
分類	監査対象組織の期待と意見	監査部門の考え方、対応（例）
役割、目的	指摘することが内部監査の目的なのか・・・と疑問を感じることがある。業務の不備、できていないこと、考えていないことの発見が目的なのかと疑問に思う。また、どこまでできていて、できていない部分は何なのか、こうした検証が明確でなく、結果だけで物を言うのはいかがなものかと考えてしまう。	内部監査は、部分最適ではなく全体最適を目指している。個別監査にかかる目的、リスク等を事前説明して、監査対象組織との意見交換を実施している。業務の不備等にとどまらず、その背景等の解明、根本原因分析に努めている。
業務の負荷、コンフリクト等	個別監査に際しての資料準備、監査への対応する時間を割かれること、監査対象組織と監査部門とのコンフリクト（意見相違、対立）が生じた場合など、とても負担が大きい、何とかしてほしい。個別監査の実施時期は、業務多忙な時期と重なり、業務が逼迫するときがある。私たち（監査対象組織）が「リスクがない」と説明しても、監査部門からは「リスクがある」という平行線となってしまう。	監査部門への提出資料、インタビュー等の所要時間、監査実施時期は、考慮して対応している。リスクの評価、発生事象に対する見解の相違は、監査部門として積極的に意見交換を実施している。内部監査チームだけで判断することなく、監査部長を含めた監査部内の協議、手続きを行なっている。監査部の見解、判断について丁寧な説明に努めている。
専門知識	内部監査人は、もっと監査領域にかかる専門知識を得てから、個別監査を実施してほしい。内部監査人の専門知識が不十分で、形式的な確認にとどまり、アウトプットが表面的である。これでいいのだろうかとがっかりする。提言は感謝しつつも、どうすれば改善・高度化するのか、具体的な提言になってない。抽象的な「あるべき論」を示されても困惑してしまう。	日常的なオフサイトモニタリング、予備調査、関係する会議体への陪席などで、監査対象領域にかかる専門知識の理解、分析等に取り組んでいる。監査部門で対応できない専門知識が必要な場合は、外部の専門機関へのアウトソーシング、コソース（共同実施）を行なう場合がある。
分析・評価	私たち（監査対象組織）が検討している、スタートした段階で、個別監査の通知があり、指摘・改善を促してくる印象がある。限られた要員と予算で業務を進めているのに、どうすればよいのか? 業務全体の優先順位があることを理解してほしい。比較的リスクの小さな問題事象を過大に評価されて、問題視されるのは賛同できない。全体評価と部分評価をきっちり評価しているのか・・・と疑問に思う。	リスクベース監査の実施により、適切な分析・評価にもとづいた監査結果を目指している。内部監査は、部分最適ではなく全体最適を目指している。分析評価、提言、改善提案等は監査部長を含めた監査部内の協議、手続きを経て、最適なアウトプットに努めている。

監査部門は、監査対象組織と同じ組織体の一つであり、内部監査人も同じ金融機関の所属員である。したがって、経営陣、監査対象組織と同様に、経営戦略等を踏まえて、目指すべきベクトルは一致しているはずである。よって、金融機関の経営陣、監査対象組織などの目線で「内部監査」を紐解くことで、両者における情報等の非対称性、認識のギャップ解消につながり、内部監査の理解が深まると考えている。

なぜ、「内部監査」が必要なのか?

「VUCA」（V:Volatility変動性、U:Uncertainty不確実性、C:Complexity複雑性、A:Ambiguity曖昧性）の時代、「将来を予測するのが困難な状態」が続いている。すでに、過去の実績や成功体験は価値が低下して、結果として曖昧性が高い状態が進んでいくだろう。予兆管理や将来予測が難しいなかで、金融機関におけるビジネスは難しい判断を迫られる場面が予想される。こうしたなか、日常的に全社を俯瞰してモニタリングしている組織が一つある。それが「監査部門」である。監査部門は、「独立性」、「客観性」の観点から、「第3線」として機能発揮、付加価値提供にチャレンジしている。それゆえ、「内部監査」は経営陣、監査対象組織にとって、活用する価値が十分にある機能と考えられる。
また、内部監査は実施することにとどまらず、経営戦略やリスクの変化に応じて、常にそのレベルを高度化している。
高度化ペーパー(*1)には「金融機関が持続可能なビジネスモデルを構築することにより、業務の適切性や財務の健全性を確保し、金融システムの安定に寄与していくためには、ガバナンスが有効に機能していることが重要である。そのためには、内部監査部門が、リスクベースかつフォワードルッキングな観点から、組織活動の有効性等についての客観的・独立的な保証（アシュアランス）、助言（アドバイス）、見識を提供することにより、組織体の価値を高め、保全するという内部監査の使命を適切に果たすことが必要であり、急激な環境の変化に応じて、内部監査を高度化していくこと」が求められている。
このように、金融機関における「第3線」として機能発揮、付加価値提供、また、常にその高度化をめざす「内部監査」は必要な存在といえよう。

内部監査のプロセス

前述した通り、金融機関における内部監査は多種多様な形態があり、ここでは標準的な「内部監査のプロセス」について解説する。プロセスは、主に、①計画段階、②実施段階、③報告段階の３つから形成される。（図2）

計画段階
監査対象・監査目標の設定、リスク評価などを踏まえて、予備調査、監査プログラム、監査要点を策定する。
経営陣にとっては、懸念するリスク、検証を要請したい事象などを監査部門と意見交換する機会となり、第3線である監査部門を活用できる機会となる。監査対象組織にとっては、監査部門へ事前提出する資料、データ、説明の機会を通して、自らの業務について理解を深めてもらう機会となる。

実施段階
監査証拠（エビデンス）の収集、分析と評価等ともに、発見事項、改善提案等のプロセスを展開する。
経営陣にとっては、重要なリスク、コンプライアンス懸念事象などの発見があれば、速やかに報告を受けることができる。監査対象組織にとっては、監査を受けるという感情的な心理が働くものの、気づき、示唆を得る機会となる。また、逆に、内部監査を理解するよい機会となり、内部監査の手法を取り入れて、マネジメント、コントロール、自己点検などに活用することができる。

報告段階
個別監査の結果は、監査調書の整備、監査結果報告書の作成、今後の改善フォローアップ・プロセスの準備を整えたうえで、監査部長に報告となる。その後、所定の手続きを経て、経営陣および監査対象組織へのレポーティングとなる。
経営陣にとっては、個別監査の結果にとどまらず、発生事象の背景、根本原因、組織のカルチャーなどを知ることができる。監査対象組織にとっては、顕在化したリスクの対応、潜在的リスクへの未然対応が可能となる。また、改善フォローアップ・プロセスで監査部門と共有しながら改善を図ることができる。

なお、内部監査のプロセスにかかる詳細は、
第2回　「内部監査」は、どのような仕事をしているのか? （前半）
第3回　「内部監査」は、どのような仕事をしているのか? （後半）
で解説する。

※ご参考　内部監査にかかる基本的用語

ガバナンス
この用語に曖昧な印象を持つ読者も多いのではないだろうか。一般的には、「統治」、「支配」、「管理」、そのための構造、組織、手段である。とりわけ、組織体では、健全な企業経営に求められる管理体制の構築などを指す。内部監査の立場では、取締役会等が、組織体の目標達成に向けて、組織体の活動について、情報を提供し、指揮し、管理し、および監視するために、プロセスと組織構造を融合する機関、機能と考える。ガバナンスにおける内部監査の役割は重要である。
リスクベース監査
リスクベースによるアプローチの一般的な意味は、「リスクを把握・判断し、リスクに応じた対応、リスクを最小化する取り組み」である。監査部門はリスク評価を行ない、高いリスク領域に監査資源（時間、要員、予算等）を投入する。リスクベース監査は実態に沿った設計、創意工夫が必要となる。また、限られた監査資源を有効かつ効率的に配分するための手段となる。
フォワードルッキング
一般的には、「一歩先を考えた」や「将来を見越した」のこと。フォワードルッキングな監査では、「予兆管理」、「将来予測」がポイントとなる。「予兆管理」とは、「前兆」「前触れ」で予兆、異常、逸脱を察知、課題抽出、未然防止すること、「将来予測」とは、将来に予想される変化・影響・効果などを定量的、定性的に試算・予測することである。
アシュアランス
「（合理的な）保証」と訳されるが、一般的な意味は「適切である」などである。内部監査では、組織体のマネジメント、コントロールの有効性等について、監査手続きを実施した結果、客観的・独立的な保証を提供することとなる。

寄稿: 明治安田生命保険相互会社
監査部　上席監査品質指導役
十河隆氏
保険金部、契約部等を経て、監査部にて内部監査を14年間従事。かつて、保険金部在任時「不適切な保険金等の不払い」による行政処分を受け、未曽有の事態に対応、その際、内部監査の重要性を痛感した。現在は内部監査のスーパーバイザー業務を専任。内部監査にかかるセミナー講演、日本内部監査協会 CIAフォーラム研究会座長として、内部監査部門・内部監査人の悩み、課題解決に向けて研究活動を取りまとめている。

▼【連載】金融×内部監査シリーズ

この記事へのご意見をお聞かせください

分類	監査対象組織の期待と意見	監査部門の考え方、対応（例）
役割、目的	指摘することが内部監査の目的なのか・・・と疑問を感じることがある。業務の不備、できていないこと、考えていないことの発見が目的なのかと疑問に思う。また、どこまでできていて、できていない部分は何なのか、こうした検証が明確でなく、結果だけで物を言うのはいかがなものかと考えてしまう。	内部監査は、部分最適ではなく全体最適を目指している。個別監査にかかる目的、リスク等を事前説明して、監査対象組織との意見交換を実施している。業務の不備等にとどまらず、その背景等の解明、根本原因分析に努めている。
業務の負荷、コンフリクト等	個別監査に際しての資料準備、監査への対応する時間を割かれること、監査対象組織と監査部門とのコンフリクト（意見相違、対立）が生じた場合など、とても負担が大きい、何とかしてほしい。個別監査の実施時期は、業務多忙な時期と重なり、業務が逼迫するときがある。私たち（監査対象組織）が「リスクがない」と説明しても、監査部門からは「リスクがある」という平行線となってしまう。	監査部門への提出資料、インタビュー等の所要時間、監査実施時期は、考慮して対応している。リスクの評価、発生事象に対する見解の相違は、監査部門として積極的に意見交換を実施している。内部監査チームだけで判断することなく、監査部長を含めた監査部内の協議、手続きを行なっている。監査部の見解、判断について丁寧な説明に努めている。
専門知識	内部監査人は、もっと監査領域にかかる専門知識を得てから、個別監査を実施してほしい。内部監査人の専門知識が不十分で、形式的な確認にとどまり、アウトプットが表面的である。これでいいのだろうかとがっかりする。提言は感謝しつつも、どうすれば改善・高度化するのか、具体的な提言になってない。抽象的な「あるべき論」を示されても困惑してしまう。	日常的なオフサイトモニタリング、予備調査、関係する会議体への陪席などで、監査対象領域にかかる専門知識の理解、分析等に取り組んでいる。監査部門で対応できない専門知識が必要な場合は、外部の専門機関へのアウトソーシング、コソース（共同実施）を行なう場合がある。
分析・評価	私たち（監査対象組織）が検討している、スタートした段階で、個別監査の通知があり、指摘・改善を促してくる印象がある。限られた要員と予算で業務を進めているのに、どうすればよいのか? 業務全体の優先順位があることを理解してほしい。比較的リスクの小さな問題事象を過大に評価されて、問題視されるのは賛同できない。全体評価と部分評価をきっちり評価しているのか・・・と疑問に思う。	リスクベース監査の実施により、適切な分析・評価にもとづいた監査結果を目指している。内部監査は、部分最適ではなく全体最適を目指している。分析評価、提言、改善提案等は監査部長を含めた監査部内の協議、手続きを経て、最適なアウトプットに努めている。

【金融×内部監査シリーズ①】知らなかった!! そうだったのか・・・内部監査!! ～金融機関の経営陣、監査対象組織などの目線で「内部監査」を紐解いていこう!!～

第1回 なぜ、「内部監査」が必要なのか?

「内部監査」への想定される期待と意見

なぜ、「内部監査」が必要なのか?

内部監査のプロセス

【金融×内部監査シリーズ①】知らなかった!! そうだったのか・・・内部監査!!　～金融機関の経営陣、監査対象組織などの目線で「内部監査」を紐解いていこう!!～

第1回　なぜ、「内部監査」が必要なのか?