【金融×内部監査シリーズ②】知らなかった!! そうだったのか・・・内部監査!! ~金融機関の経営陣、監査対象組織などの目線で「内部監査」を紐解いていこう!!~
# リスクマネジメント・監査 印刷用ページ「内部監査」は監査部門以外から見えづらく、わかりにくい面がある。【連載】金融×内部監査①※では、金融機関の経営陣、監査対象組織の所属員からの目線で「内部監査」を考え、なぜ、「内部監査」が必要なのかを解説した。
本稿では、内部監査部門が実際にどのような仕事をしているか、前半と後半にわけてわかりやすく解説する。
参照:【連載】金融×内部監査①
第2回 「内部監査」は、どのような仕事をしているのか? (前半)
※ 本稿は筆者の個人的な見解に基づくものである。筆者の勤務先における事例ではなく、公式な見解を示すものではない。
監査プロセス展開の全体構造(前半)
内部監査における個別監査のプロセスは、計画段階・実施段階・報告段階の3つに分類できる。第2回はその前半部分(図1)について解説する。計画段階では、年度始のリスク評価 → 年度監査計画 → (仮の個別監査の目標設定) → 個別監査にかかるリスク評価 → 個別監査の対象範囲 → 個別監査計画(正式な目標設定を含む)を踏まえて、予備調査の実施、監査プログラム等を策定する。
経営陣にとっては、懸念するリスク、検証を要請したい事象などを監査部門との意見交換により、第3線である監査部門を活用できる機会となる。例えば、「経営陣としての懸念リスクや問題事象を対象に内部監査を実施するにとどまらず、経営陣が認識、把握できていないリスクに対して、監査実施を通して問題がないことを検証してほしい」という期待、要請がありうる。
一方、監査対象組織にとっては、監査対象組織にとって、自組織の業務をアシュアランスしてもらうことがメリットとなる。例えば、プロジェクトが完了してから検証するのではなく、監査部門がプロアクティブ(proactive)に、つまり、将来を見越して統制(コントロール)が十分であるかを見極めるなどの予兆を捉えることにより、監査対象組織は事前に対策を講じることができる。
.webp)
計画段階[1] 目標設定
内部監査の果たすべき役割とは、アシュアランス、アドバイスおよび洞察提供により、組織体(所属する金融機関等)の価値を高めることである。その手段として、「リスクベース監査」が有効となり得る。なぜなら、リスクが高いと評価した領域(分野・領域・業務、組織等)を特定し、そこに監査資源(時間、要員、予算)を重点的に投入して、リスクの発生、低減を図ることができるからである。
経営陣にとっては、監査部門との意見交換、コミュニケーションを取りながら、監査部が監査目標の調整を図っていくことが大切である。また、監査対象組織にとっては、公式、非公式に関わらず、日常的に監査部門とのコミュニケーションの機会を持つことは有効である。自組織を含めた全社的なリスク、コントロール、マネジメントについて理解を得る機会となる。監査部門によるオフサイトモニタリングにおいて、監査対象組織と監査部門との意見交換等は有益な機会となる。
監査対象・監査目標設定 ~ 目的・範囲・結果
計画段階における目標設定のポイント(図2)は、①目的(なぜ、この個別監査を実施するのか、監査の目標水準をどうするのか)、②範囲(監査対象組織・業務領域等はどこまでの範囲とするのか)、③結果(仮説・論点、意見交換等の監査結果に向けてのプロセスを設定)等となる。また、テーマ監査のタイトル(例)等と整合するように、整備状況を監査するのか、運用状況を監査するのかを検討していく。こうして、「リスクベース監査」にかかる目的・範囲・結果が明確になっていくことになる。
リスク評価
リスクアセスメントとは、組織体におけるリスクを認識し、リスクの大きさを評価し、コントロールの結果としての残存リスクを把握する、そのリスクが許容できるかどうかを判断するプロセスである。リスクアセスメントは、①リスク特定(リスクの洗い出し)、②リスク分析(リスクの大きさ等を分析)、③リスク評価のプロセスに分類する。監査部門がリスクの高い領域にアプローチする手段として有効である。
リスク評価には、リスクの領域別、テーマ監査等の項目別、組織体における所属別の評価など内部監査の目的に応じたアプローチができる。本稿では、「固有リスク-コントロール=残存リスク」の仕組みで解説する。このリスク評価の結果を可視化したのが「リスクマップ」(図3)となる。リスクマップは、縦軸をリスクの影響・規模、横軸をリスクの発生可能性として、評価をH(高い、High)・M(中程度、Medium)・L(低い、Low)に分類する。
.webp)
監査部門としてリスク評価にかかる留意事項は以下のとおりである。
①固有リスク-コントロール=残存リスクの評価基準、つまり、具体的なリスクのH(High)・M(Medium)・L(Low)の基準を定めておく。
②定期的なリスク評価は、リスク変化に柔軟に対応できるように活用する。
③定量的、定性的な評価に取り組む。特に、内部監査人の個人的見解から判断せず、根拠に基づいた評価として複数のレビューを行なうよう留意する。また、評価区分を細分化・精緻化しすぎないようにする。例えば、細部のオペレーション単位で評価すると、全体の統制(コントロール)が評価できない場合があるからである。
④リスクマップは、監査対象組織と監査部門とのコミュニケーションツールとしても有効であり、情報の非対称の解消につながる。
⑤リスクマップ対象領域の周辺・派生・関係領域にも着目する。
個別監査にかかるバイアスと情報の非対称性
内部監査人におけるバイアス(思い込み、偏向など人間の思考や行動の偏り)と監査対象組織との情報の非対称性は、早めの解消が有効である。(図4 ご参照)
個別監査にかかるバイアスについては、「認知バイアス」(問題事象等の把握、判断が、経験値や直感による先入観が働き、合理的でないこと)、「確証バイアス」(内部監査人にとって、都合のよい情報ばかり収集して、反証する情報を軽視、収集しない傾向)に陥らないよう努めている。
また、監査対象組織と内部監査人とでは、その機能・役割や立場の違いから、双方が有している情報に非対称性が存在する。お互いに見えている部分が異なるため、リスク認識の相違やコンフリクト(意見対立、軋轢等)が生じやすい。そのため、意見交換、コミュニケーションの場面では、その解消に取り組んでいる。
監査対象組織と内部監査人との情報・価値観の非対称性(図4)とは、例えば、ある問題事象のリスク評価について、監査対象組織は重要な問題ではないと評価、一方、内部監査人は重要な問題事象と評価した場合である。このような展開となる原因として、お互いの情報・価値観の非対称性が考えられる。個別監査のテーマなど主要な領域については、お互いの積極的なコミュニケーション、意見交換で確認する必要がある。
計画段階[2] 予備調査
予備調査とは、具体的な検証作業を実施する前段階として情報収集、監査対象組織とのコミュニケーション(良好な関係、監査環境づくり)を図るプロセスである。
経営陣にとっては、予備調査段階で、法令・コンプライアンスにかかる重大な事象(懸念を含む)が発見された場合は、速やかに報告を受ける仕組みを整えておく。また、監査対象組織にとっては、個別監査に関係する資料・データの提出、プレインタビューの実施など業務負荷がかかるときがある。物理的、時間的な負担が大きい場合は、監査チームに確認する必要がある。結果として、代替手段、目的に沿った資料提出などにより、監査業務の効率化につながる場合がある。
予備調査にかかるマネジメント
監査チームにおいては、監査主任(リーダー、チーフなど)によるマネジメントが重要となる。
①監査対象組織からの資料・データによる分析・評価
②監査対象領域にかかる専門知識等の監査チームにおける理解
③ソフトスキル(マネジメント、リーダーシップ、コミュニケーション)の醸成
④監査対象組織とのコミュニケーション(総務的な事項等を含む)
⑤監査プロセスにかかるスケジュール、進捗管理、仮説・論点の整備
などをチームミーティング、個別ミーティングで展開していく。内部監査人個人レベルでは、得意な分野・苦手な分野、経験がある分野・経験がない分野などがあり、チーム全体で一定の品質が保てない場合がある。また、内部監査は経験、キャリアの延長線上で判断すると視野が狭くなりがちになる。監査チームは、バイアスを回避し、監査品質の高い、客観的な分析・評価により監査品質を高めていくよう進めていく。
監査項目の策定
予備調査を踏まえて、監査項目の策定に着手する。監査項目は、テーマ監査におけるリスクの高い領域(固有リスク-コントロール=残存リスク)を考慮して策定していく。なお、残存リスクに着目する場合は、1線(第一義的なリスクの責任部署としてコントロールを行なう)、2線(リスクに対するモニタリング、指導等を行なう)が機能していることが前提となる。
寄稿
