計画段階[3] 監査プログラム(整備評価)
監査プログラムは、監査計画、監査項目を具体的にタスク管理するためのプログラム(ツールとして専用のアプリケーション、シート、テンプレート等を使用)である。
経営陣にとっては、監査項目の選定、監査プログラム(整備評価)は、テーマ監査領域に内在するどのようなリスクに着目し、どのようにアプローチしていくか、具体的な内容が把握できる。もし、懸念が生じる場合は監査チームに確認する必要がある。また、監査対象組織にとっても、不明な点があれば、監査チームに確認するなど積極的にコミュニケーションをとることが望ましい。
経営陣、監査対象組織ともに関心が高いのは、テーマ監査領域として、適切であったのか、問題があったのかという最終結論であろう。そのため、監査部門として、適切なアシュアランスができるように、監査プログラムについて十分な検討を重ねている。
監査プログラムの基本構造
監査プログラムの基本構造は図5、具体的なイメージは図6のとおりである。
以下に、監査プログラムの基本構造の分類とポイント(例)を整理した。①着眼点、②仮説・論点(監査要点)、③評価基準、④分析・評価・検証等、⑤エビデンス(監査証拠等、強度含む)、⑥留意事項等に基づきプログラムを策定している。
なお、仮説・論点とは、
①仮説は、事前準備段階の「見立て」、これから検証であるものの、確からしい事項
②論点は、明確にすべき課題、その結果、課題解決が容易になる重要な事項
とする。
着眼点
監査領域を分析・評価するのが着眼点である。一例ではあるものの、資源配賦、計画の十分性・整合性、デメリット・懸念事象、縦割り構造・サイロ化、ベストプラクティス事例、モニタリング・報告、外部情報活用による意見表明、カルチャー(企業文化等)の視点で整理した。
.webp)
| カテゴリー | 着眼点(例) |
|---|---|
| A.資源配賦 | 効果的な経営資源の配賦ができているか。 |
| B.計画の十分性・整合性 | 計画策定、運用等にかかる十分性・整合性に課題がないか。 |
| C.デメリット・懸念事象 | デメリット・懸念事象にかかるコントロールが十分に機能しているか。 |
| D.縦割り構造・サイロ化 | 組織におけるサイロ化(silos)の兆候など、カルチャー(企業文化、組織風土、不文律等)にも関係する着眼点である。 |
| E.ベストプラクティス事例 | 経営戦略等に寄与していること、業務において高く評価できることを確認する。 |
| F.モニタリング・報告 | 重要事項のモニタリングが機能しているか、形骸化していないか。 |
| G.外部情報活用による意見表明 | 国内、海外の外部情報、各種ガイドライン等に適切に対応しているか。 |
| H.カルチャー(企業文化等) | 組織体のカルチャー(企業文化等)に着目する。 |
仮説・論点(監査要点)
仮説・論点(監査要点)は、
・仮説・論点から結論に至るまでのプロセスを考慮する。
・予備調査等で準備された分析(定量的・定性的)を基礎とする。
・カテゴリー・リスク別は優先順位を考慮して記載する。
などがポイントとなる。
これらを踏まえて、仮説は、予備調査をもとに仮説を立案し検証していくこと、論点は、オンサイト(往査)で監査対象組織と意見交換する事項として整理してみた。
| カテゴリー | 仮説・論点(監査要点)(例) |
|---|---|
| A.資源配賦 | ①計画・開発・運用・効果等の乖離がないか。 ②計画から効果検証まで一貫性・連続性は保たれているか。 ③計画(年度・フェーズ)等について、追加、修正対応が多発している原因は何か。 ④計画段階における要員・スキル、予算策定、システム・オペレーション等の不整合、弊害、不足・過剰はないか。 |
| B.計画の十分性・整合性 | ①全体最適とすべき事項が部分最適にとどまっていないか。 ②内容が明確でなく、「検討予定」、「今後検討」、「さらなる検討」、「高度化」等のあいまいな表現に終始していないか、計画は実態を伴っているか。 ③組織、態勢、ロードマップ、フェーズ管理等が全体俯瞰の立場から実現可能性は評価できるか。 ④計画策定に重複や漏れ(MECE)、予算・要員・時間等に過不足、責任・役割・統括機能が不明確等の懸念はないか。 ⑤実務担当者のスキル、専門知識等に欠如、懸念はないか。 ⑥目標数値は適切か、根拠に基づかない計算をしていないか。 ⑦経営陣に対する忖度、上位職制への迎合、同調圧力(peer pressure)、形式だけの合意形成等の判断、意思決定はないか。 |
| C.デメリット・懸念事象 | ①判断基準(criteria)は明確になっているか。 ②優先順位づけの根拠、判断が合理的であるか。 ③「検討中・継続検討」等に隠れた事実上の先延ばし・停滞はないか。 ④異常値、逸脱等への対応措置は適切か。 ⑤他の業務が多忙、スキル不足、管理不在等により問題事象を放置していないか。 ⑥コントロール(予防的・発見的・是正的・指揮的)の対応は適切か。 ⑦再発防止策等、懸念事象への措置が形骸化、無力化していないか。 ⑧「マニュアル」が存在するにとどまり、実効性のない現実、形骸化・無力化していないか。 ⑨組織・チームの業務工程、プロセス等について、定期的に「ふりかえり」(レトロスペクティブ、Retrospective)を実施しているか。 ⑩特定のオペレーション・対策・工程の前後・派生的・関連・上流から下流までの組織を検証して問題はないか。(本社と拠点・現場、関連組織等) |
| D.縦割り構造・サイロ化 | ①組織におけるサイロ化(silos)になっていないか。 ②組織(計画立案)と組織(実施・運用)とに齟齬、誤謬の実態はないか。 ③「三遊間」、「火中の栗(ラ‐フォンテーヌの寓話 )」のような事象に対して、見て見ぬふり、責任逃れ、釈明の繰り返し等の懸念はないか。 ④業務に関係する組織は、良好な双方向コミュニケーション(例 綿密なミーティングの実施)、問題事象に対する解決行動等の協力関係を築いているか。 ⑤「連携」、「さらなる高度化」等の抽象的な記載で、実態を伴っていないものはないか。 ⑥経営陣の役割を代替する「統括機能」(例 モニタリング、全体を統括する部署)が存在しているか。 ⑦業務・オペレーション等の引継ぎ・伝達等は適切か。 |
| E.ベストプラクティス事例 | ①業務の生産性向上、効率化、働き方改革、リスクの許容、システム化できない業務にかかる対応等、新たな発想で業務改革に取り組んでいるか。 ②DX(Digital Transformation)、RPA(Robotic Process Automation)等にかかる特筆した取組みと効果はあるか。 ③部分最適にとどまらず全体最適になっているか。 ④ウォーターフォール型からアジャイル型のマインドセット・発想等で敏捷性(Agility)による効果があるか。 |
| F.モニタリング・報告 | ①モニタリングの実施は適切か、また、その結果を所定の委員会等に報告しているか。 ②KPI(重要業績評価指標)、KGI(重要目標達成指標)について「数値操作」 (見かけがよい報告をするため)の懸念はないか。 ③アセスメント(Assessment)等のデータ・数値の解釈に、バイアス(確証バイアスや認知バイアス)、恣意性はないか。 ④担当者任せとなり、管理者等による検証は実態としてあるか。 ⑤非効率、生産性が期待できない、効果検証が正確にできない等のモニタリング結果に対応せず、静観、放置していないか。 ⑥定性評価のみに偏り、定量評価が十分になされない状態が続いていないか。 ⑦「注視していく」、「適宜見直し」、「状況に応じて」等の表現の場合、モニタリングの深度、予測等は適切か。また、「数字の取りまとめ、ウォッチしているだけ」にとどまり、問題事象を看過していないか。 |
| G.外部情報活用による意見表明 | ①外部情報を入手しているか。有効な情報であれば、関係者との意見交換や意見表明を行なっているか。 |
| H.カルチャー(企業文化等) | ①コンダクトリスクにかかる問題事象、予兆管理・将来予測を分析・評価しているか。 ②カルチャー・企業文化・組織文化にかかる問題事象、予兆管理・将来予測を分析・評価、サブカルチャー(副次的、下位の部分)にも着目しているか。 ③改善を要する事項について根本原因分析(Root Cause Analysis)は実施しているか。また、高く評価できる事項について成功要因を分析しているか。 |
第3回に向けて
上記に続く、評価基準、分析・評価・検証等、エビデンス(監査証拠等、強度含む)、留意事項等は第3回で解説する。
- 寄稿
-
明治安田生命保険相互会社
監査部 上席監査品質指導役
十河 隆 氏保険金部、契約部等を経て、監査部にて内部監査を14年間従事。かつて、保険金部在任時「不適切な保険金等の不払い」による行政処分を受け、未曽有の事態に対応、その際、内部監査の重要性を痛感した。現在は内部監査のスーパーバイザー業務を専任。内部監査にかかるセミナー講演、日本内部監査協会 CIAフォーラム研究会座長として、内部監査部門・内部監査人の悩み、課題解決に向けて研究活動を取りまとめている。
① 知らなかった!! そうだったのか・・・内部監査!! ~金融機関の経営陣、監査対象組織などの目線で「内部監査」を紐解いていこう!!~
寄稿
