第4回 年間内部監査計画

今回はリスクアセスメントの結果から実際に内部監査を行うまでのプロセスについてご説明します。

年間内部監査計画

リスクアセスメントの結果、リスクの高いテーマから検証を行う「リスクベース」で計画を立てています。ただし、経営陣の関心事項や規制当局の要請事項は前回記載の「補正」項目において「評価ラベル」の引き上げを行い優先して計画に反映しています。

前回記載の通り、開業間もないということもあり「残存リスク」からのみではなく、「固有リスク」からも内部監査テーマを選定するようにしています。「固有リスク」の評価は、「影響度」×「発生頻度」で算出していますが、この場合、いかに「影響度」が大きくても「発生頻度」が低いことで「固有リスク」が低く評価されてしまうという問題があります。「発生頻度」の低いリスク事象でも一度発生すると「影響度」が大きいため組織体の事業継続にダイレクトに関係することから、一度は内部監査で検証しておくことが重要だと考えています。なお、この場合の内部監査は、主に「統制」を評価するというよりは、リカバリに対する準備状況を検証することが主眼になります。また、「不正」等「故意に統制を破る」ような「統制」の評価をあてにできない場合には、「固有リスク」ベースで計画を立案することも有効と考えます。

リスクの動きの速い業界ということもあり「年間」の計画ではありますが、リスクアセスメントの結果を反映させるため、四半期毎に、「年間内部監査計画」の変更の要否を検討しています。

なお、リスクの評価を見直すようなリスク事象が発生した場合には、直ちにリスクアセスメントに反映し、その評価ラベルに応じて内部監査を企画し、計画の変更を検討します。

計画自体には、内部監査リソース分析の結果を基に、一定テーマを検証する期間を枠として設け、その他の期間は「フォローアップ」や「環境モニタリング」に充てられるようにしています。当初はバッファーとして想定していた仕組みですが、小規模な体制ではモニタリング事項に終われてしまう日常にあって、集中して特定のテーマを検証する期間を確保することができるという意味でメリットがありました。

内部監査の種類

私は、内部監査に求められる「保証力」と「速報性」の観点で内部監査の種類を定義しました。「保証力」とは、経営陣等の報告者に対して内部監査の結論をどの程度の確からしさで保証するかという尺度、「速報性」は内部監査の対象となるリスクについての内部監査の結論をどのくらい経営陣等に早く伝えるかという尺度、とイメージいただければと思います。この2つはトレードオフの関係にあると考えますが、内部監査の種類を定義するにあたって、このトレードオフを整理しています。主な種類は以下の通りです。

テーマ監査(保証力:高 / 速報性:低)

テーマに係るリスクの検証を業務単位で切り取って実施する内部監査で、規程・マニュアル等の「整備状況」と、サンプルチェック等を通じた「運用状況」の検証を実施しています。「フォローアップ監査」もこちらに含んでいます。内部監査報告書には総合評価、個別の課題まで記載し、課題はリスクに応じて「フォローアップ」の対象とします。また「内部品質評価」の「継続的モニタリング」の実施も想定しています(現状はリソースの関係上実施を見合わせています)。

なお、「部署別監査」も定義していますが、実施していません。私の所属する組織体は、「3 Lines Model」に基づき態勢の整備を行っていますが、部署ごとに内部監査を実施してしまうと、他の部署が行っている監査対象としたリスクの「統制」の評価が不足してしまったり、部署間の連携上狭間に落ちてしまうリスクを検知できなかったりと、内部監査の結論が得られなくなるからです。

プロジェクト監査(保証力:中 / 速報性:中)

プロジェクトの進行に合わせて管理状況等の検証を行う内部監査で、「テーマ監査」と比較しサンプルチェックの数を限定し、「継続的モニタリング」の対象にしない等、比較的簡略的な手続きとしています。

移行判定等プロジェクトの進行や局面にあわせ監査意見を述べることとし、プロジェクトの目標達成にクリティカルな影響を及ぼす「発見事項」は、終了前に改善できている(もしくは改善の目途がついている)状態を求めています。次回のプロジェクトにも影響のある「発見事項」は「フォローアップ」の対象として整理し、当該プロジェクトで改善しておかなければならない課題は、プロジェクト終了後に報告しても対処するには限界があるため、速報性を重視し、プロジェクト期間中、何度も経営陣等に報告を行います。

監査モニタリング(保証力:低 / 速報性:高)

「環境モニタリング」のなかで、特に緊急を要するリスク事象を認めた場合等では内部監査活動に切り替え、簡略的な検証手続きに留め内部監査意見を述べることができるようにしています。実態把握に重きを置いており、報告書はサマリに留め速報性を重視しています。なお、組織体としてリスク低減を実施する場合には、そのリスクの重要性や対策の規模により上記の「プロジェクト監査」に切り替えて対応することもあります。

内部監査の種類を定義し、報告書で開示することで報告書の読み手にはどのような検証手続きを経て得られた監査意見・結論で、どの程度の確からしさを有しているかが一目で判るつくりを目指しています。

次回は、マネー・ローンダリング対策に係るテーマ監査を例に、個別の内部監査の実施方法に触れていきます。

Syuta Takeuchi

竹内 秀太

株式会社ディーカレット 内部監査グループ ヘッド
公認内部監査人(CIA)、公認情報システム監査人(CISA)

戦略系コンサルティング会社、Big4、金融庁(監督局)・証券取引等監視委員会(検査)、外資・日系保険会社、等を経て現職。
コンサルタントとして態勢構築を支援する側、規制当局として検査・監督する側、内部監査する側/される側、品質評価する側/される側、そして現在は態勢構築中と様々な立場で内部監査に従事。

内部監査の高度化の端緒は「外部からの刺激」であると思っています。ご意見もいただけると嬉しいですし、可能であれば意見交換もさせていただければと考えています。

________________________________________

株式会社ディーカレット DeCurret Inc.
「デジタル通貨による価値交換プラットフォーム」の提供を目指し、価値が転々流通するデジタル通貨や、将来的に広がりが期待されるデジタルアセットの交換をシンプルにする仕組みを実現することを目的に2018年1月に設立され、デジタル通貨の取引・決済を担う金融サービス事業を営む。
https://www.decurret.com/
暗号資産交換業者 関東財務局長 第00016号

「日本におけるデジタル通貨の決済インフラを検討する勉強会」を開催し事務局も務めている
https://www.decurret.com/company/studygroup-2020/

(ディスクレーマー)
本コラムの意見に関する部分は、筆者の私見です。筆者の所属する組織等の意見を代表するものではありません。
本コラムは、筆者が信頼できると判断した資料・データ等により作成いたしましたが、その正確性および完全性について保証するものではありません。
参考にさせていただいた資料やそこに記載されていた数値等は、その合理性や妥当性についてのレビューは行っておりません。
本コラム中に記載された意見や予測は、作成時点のものであり、今後新たな情報等が得られた場合には予告なく変更される可能性があります。
以上の点ご理解いただき、一つの意見として本コラムをご覧いただけると幸いです。

関連記事

記事を読む

おすすめ記事 最近の記事
  1. ブロックチェーンガバナンスのカンファレンス

  2. CIIA「内部監査実践規範(Internal Audit Code of Practice)」

  3. 日本取締役協会「経営幹部のためのコーポレートガバナンス研修 」

  4. IIA 「CEOブログ 内部監査のポイント」

  5. 総務省「モバイル市場の競争環境 に関する研究会 」

  6. 株式会社ディーカレット:企業インタビュー

  7. IIA国際基準の考察(1130 ─ 独立性または客観性の侵害 )

  8. 日本内部監査協会「CIAチャレンジ試験」

  9. 内部監査のリスクアセスメント(リスク評価)

  10. 金融審議会市場ワーキング・グループ 「市場構造専門グループ」報告書 の公表について

  1. 第7回 品質評価

  2. 第6回 個別の内部監査(2)

  3. 株式会社ディーカレット:企業インタビュー

  4. 第5回 個別の内部監査(1)

  5. 第4回 年間内部監査計画

  6. 第3回 リスクアセスメント(2)

  7. 第2回 リスクアセスメント(1)

  8. 第1回 内部監査とステークホルダーの期待の整理

  9. 最終講(全6講)企業風土監査の薦め ~企業価値の向上と毀損防止・企業変革へ向けて~

  10. 最新の3線モデル(スリーラインズ・モデル)