今回のコラムでは、以下のラインナップでお送りいたします。
内部監査の概要
内部監査は、経営管理(資産管理・会計管理・業務管理など)をうまく進めるために、自主的に調査・分析を行う活動の事を指します。組織内のあらゆるリスクを吟味し、不正の早期発見を行うとともに、発見された問題に対して改善提案を行っていく活動とも言え、内部統制における中核的な役割を担っています。また、組織全体の健全性が強化されることは、社会からの信頼を向上させることにも役立ちます。
このように、組織に多くのメリットをもたらす内部監査機能の必要性と、実際のリスク管理対策について、弊社顧問である西岡敏成氏に話をうかがいます。
※本内容は、西岡氏へのインタビューを基に再編集したものです。
1:内部監査の概要
内部監査は、組織のガバナンス・プロセスとリスクマネジメント及びコントロールに関わる全ての経営活動とされており、最終的には組織における経営目標達成につなげることを目的としています。ガバナンスやリスクマネジメントの観点から、企業の目標達成にもっとも有効だと思われる改善策を提案するために、組織内の諸活動や体制に対して、調査や分析、評価などを行います。内部監査を行うチームは、組織において独立性・客観性を持って対応することが重要であり、そのために経営者や経営陣の直轄であることが望ましいとされています。
内部監査により組織や部門内に潜むあらゆるリスクを洗い出して問題を特定し、それらを評価し、適切な対応策を提案することで、組織内のリスクを最小限に抑えられます。たとえば法律や規制、業界基準に準拠しているかなど、内部監査を通して改めて確認をすることで、組織が法的なトラブルに巻きこまれるリスクを未然に防ぐことができます。
内部監査の体制を確立することは、組織を取り巻くあらゆる利害関係者に透明性や健全性を提供することにつながり、組織の信頼性向上につながります。
2:求められる役割の変化
内部監査体制は、当初、組織における財産の保全という必要性から財務面に焦点が当てられ、損益決算書や貸借対照表などの正確性を監査するという役割が重要視されていました。
しかし、組織の多角化や拡大、ビジネスを取り巻く環境の複雑化に伴い、現在では、内部監査の役割が従来の「組織の価値保全・保護」だけではなく、あらゆるリスクに対するアプローチを行い、「組織の価値向上・創造」を目指す形に変化してきています。
引き続き企業のガバナンス欠如による不祥事も後を絶ちませんが、組織がガバナンスの重要性を再認識する流れが強化されることで、これに伴い内部監査の役割も進化してきたといえます。
内部監査ではコンプライアンスや財務リスクはもちろん、法改正やテクノロジーの変化、自然災害などに至るまであらゆるリスクを洗い出し、それらが組織に与える影響やリスク管理の在り方・プロセスなどを検証・評価し、改善策や防止策を提案する活動を行っています。
さらに、最近では持続可能な社会の実現を目指すESGに対する関心の高まりとともに、これらのリスクと機会を評価するといった、組織の持続性への戦略にも関与することがあります。
このように内部監査は、単なる財務監査の時代を経て、より踏み込んだ積極的なアプローチを行うことで、組織の価値向上・創造に貢献するといった重要な役割を担っています。
3:内部監査に必要なスキル
内部監査の人材に必要なスキルは多岐に渡ります。内部監査の業務は、リスクの洗い出しや必要策の提案だけでなく、場合によってはビジネス目標達成のために経営者の視点に立って業務プロセスの改善や効率化につながる戦略提案なども行います。
内部監査を担当する場合、各部署や部門がどのような業務をどのような形で行っているのかを詳しく知っておく必要があります。そのためそれぞれの業務に精通している人材を満遍なく配置し、個人ではなくチームとして監査を行うのがオーソドックスな方法です。
内部監査チームの共通スキルとして、財務知識やリスク評価スキル、優れたコミュニケーション能力のほか、以下のような知識やスキルが求められます。
業界知識: 監査対象の業界やセクターに関する深い知識を持つことで、特定のリスクや業界のベストプラクティスを理解しやすくなります。
テクノロジースキル: 内部監査プロセスにもテクノロジーを活用することが増えており、データ分析やデータマイニング、監査ツールの管理運営などのスキルが求められます。
チームワーク: 内部監査はチームでの作業が一般的です。チームで効果的に協力し、情報を共有する能力が必要です。
ほかにも、機密情報の取り扱いに細心の注意を払い、常に公正公平な監査を行うといった高い倫理観も必要です。
このようなスキルや考え方を持つことで、内部監査チームは組織に価値を提供でき、それによって組織はあらゆるリスクを最小限に抑えられます。業務推進にあたって、内部監査人は専門知識を継続的に更新し、業界・社会の変化に柔軟に適応していくことが大切です。
内部監査人の資格としてCIA(Certified Internal Auditor公認内部監査人)があります。これは、IIA(The Institute of Internal Auditors:内部監査人協会)が認定しているグローバルな資格です。
CIA資格は、内部監査の専門スキル保持を証明できると同時に、内部監査人としてステークホルダーをはじめ、周囲からの信頼性を高められます。CIA資格の取得は、内部監査人自身の知識・スキルを向上し、組織のビジネス目標達成に寄与できます。
内部監査を行うことによる効果
LINEUP1では、内部監査の目的や必要性、そして時代の流れによる内部監査の役割の変化、内部監査チームに求められるスキルなどを紹介しました。内部監査は、現在では組織の将来を見据えた戦略にも関与するほど重要な役割を担っています。
ここからはリスク管理との関係性や内部監査が組織に与える効果について詳しく見ていきます。前回に引き続き弊社顧問である西岡敏成氏に話をうかがいます。
1:リスク管理との関係性
内部監査は想定されるあらゆるリスクを洗い出すという点で、リスク管理と混同しがちです。ここではリスク管理との関係性について解説します。
・内部監査とリスク管理の共通点
内部監査とリスク管理は、どちらも組織内の業務プロセス改善やリスクを最小限に抑えることで組織の目標達成に貢献することが目的です。そのため、これらは組織内部で機能させる必要があります。また、独立性・客観性を保つために経営者や取締役会と連携し、リスク管理と組織価値の向上に貢献することが求められます。
・内部監査とリスク管理の違い
リスク管理は、災害、出来事、不祥事など組織を取り巻くさまざまなリスクを特定・コントロールして、リスクを未然に防ぐための策を講じます。
いっぽう内部監査は、組織内部であらゆるリスクを「見える化」し、組織が健全に活動し、目標を達成できるようにするところまでたどり着くことが目的です。
このように、リスク管理は内部監査の一要素だということです。そのため、内部監査部門がリスク管理のプロセスを行うことも珍しくありません。
2:内部監査を行うことによるリスク管理上の効果
内部監査を行う際に、まずは監査側が組織の実態を把握しておく必要があります。そのうえで行うべきことは、それぞれの部門別に、どこにどのようなリスクが存在しているかといった「リスクの洗い出し」です。
あらゆるリスク要因を洗い出して把握し、それらが実際に起こった場合どのような結果を招くのかを予測します。そうすることであらゆるリスクに対する対応策を事前に立案でき、リスク管理効果を発揮できます。ここで言うリスクとは、以下の2種類が挙げられます。
|純粋リスク
(財産リスク、費用・利益リスク、人的リスク、賠償責任リスク、管理リスク)
|投機的リスク
(経済的情勢変動リスク、政治的情勢変動リスク、法的規制変更リスク、技術的情勢変化リスク)
以下、内部監査によるリスク管理上の主な効果を紹介します。
不正防止:経理の不正や不適切な取引、資金の流用などを早期に検出でき、資産流出のリスクを低減できます。
不正が起こる原因の1つに、組織の経営不振とそれにともなうプレッシャーが考えられます。
個人や部署の営業成績の不振、組織の経営不振などにより、「目標数の達成」や「赤字は出したくない」といったプレッシャーがさらに重くなり、結果として不正につながりやすくなります。また、内部監査機能が正常に動作していない、一人の担当者が営業から予算管理まですべてを担っているという場合、不正が表に出にくい環境を生み出してしまいます。さらに、「どんな会社もこのぐらいのことはやっている」「これぐらいのことは正当化されるべきだ」といった間違った倫理観が蔓延している組織では、不正が当たり前のように横行してしまいます。
法律違反の未然防止:法律や規制に違反している行為を早期に発見し、罰則や制裁を受けるリスクを低減させます。
業績悪化の防止:業績に関連するリスク要因や弱点を発見し、対応策を取ることで業績の急激な悪化を防げます。
情報セキュリティの確保: ITシステムやデータ管理に関するリスクを検出し、情報漏洩やサイバー攻撃などに対するリスクを低減させます。
コンプライアンスの強化:組織内のルールやガイドラインに従った業務遂行が実施されているかを確認し、違反行為の未然防止につなげます。
信頼性の向上: 内部監査を通じて組織の透明性や説明責任を高めることで、ステークホルダー(株主、取引先、従業員等)の信頼を維持・向上します。
業務の効率化:業務プロセスに無駄や非効率な部分がある場合、それを見つけて改善することで業務効率を向上します。
・内部監査でリスク管理効果を最大値化するには
リスク管理効果を最大値化するには、徹底的にリスクの洗い出しを行い、最悪の事態を想定したうえで、それぞれのリスクに対する対策を施します。
しかし、洗い出したリスクに対して、対策を施すだけでは十分ではありません。リスク対策を行った結果をさらに検証することで、リスク管理の効果を最大化できるのです。内部監査人は、それぞれの部門がリスク対策をしていることを確認するだけではなく、対策をした結果についても必ず確認することが求められます。そして、それらひとつひとつを積み重ねていく努力こそが、管理効果の最大化につながります。
3:組織が行うべき具体的な内部監査とリスク管理の注意点
・あらゆるリスクを想定し、すべてについてリストを作る
不正や横領の発覚、業績悪化、自然災害に至るまで、組織を取り巻くリスクはありとあらゆるところに存在します。それらのリスクを低減させようとすれば、リスクを生み出している要因は何かを見極めなければなりません。
たとえば、「不正の発生」を防止しようとすれば、適確な業務を行わせるためにリスク要因となりえるものには何があるかを洗い出します。サービスの欠陥、設計ミス、商品の破損、不当表示、労働上のトラブル、組織の過失など、あらゆる角度から考えられるリスクを見つけ出します。
それらが実際に起こってしまったとき、組織にどのようなダメージがあるのかをひとつずつ考えていくと膨大な数になりますが、まずはいったん、すべてを洗い出してみることがとても重要です。
考えられるすべてのリスクを洗い出したら、それらひとつひとつに対してどう対処するのか、そのリストを整理しておく必要があります。
たとえば、大規模災害がおこったとき社員にどのような体制を敷くのかを検討し、リストを作成します。重傷を負って社員が出社できない場合、誰にどのような報告をすべきなのかなど、あらゆることを想定してリスク管理を行わなければなりません。何も起こらなければ結果的にすべてが無駄になってしまうように感じるかもしれませんが、不測の事態が起こってしまったときに、迅速な対応をとれる体制をつくることはただの無駄には決してなりません。
・リスク管理下の組織体制を整備しておく
多種多様なリスクへ対処し、組織運営を滞りなく行うためにも、リスクが顕在化した際の組織体制を作成しておくことが有効です。会社のトップに不測の事態が起こり動けなくなってしまった場合、誰がその代行をするのか、その場合の組織体制はどのようにするのかなど、臨時の組織体制を整備します。人事は常に流動するため、リストを一度作って安心するのではなく、アップデートを怠らないようにしておくことが大切です。
内部監査はあらゆるリスクを最小限に抑え、組織の健全性や持続可能性確保に貢献します。
効果を最大化するには、リスク対策を施すだけはなく、実施した結果についても検証し、改善を積み重ねていく努力が重要です。
リスク管理の視点から行う内部監査のプロセス
LINEUP2では、内部監査とリスク管理の違いと共通点を明確にし、内部監査を行うことがどのようにリスク管理の効果を高めるか、リスク管理の観点から見た内部監査の具体的な効果を解説しました。ここでは、実際の内部監査の手順を解説します。内部監査のプロセス(手順)を把握し、実施する際に重要な視点をしっかり把握しましょう。
リスク管理の視点から行う内部監査のプロセスについて、前回に引き続き弊社顧問である西岡敏成氏に話をうかがいます。
1:内部監査のプロセス
企業における内部監査の主な手順は以下の5つです。各手順における重要ポイントを解説します。
1.監査計画
2.予備調査
3.本調査
4.評価・報告・改善命令
5.フォローアップ
1.監査計画
監査計画を作成する際、必ず行うべき大事な事前作業として、監査対象となる部署や部門の情報収集をします。そこがどんな役割を担う部署・部門なのか、普段はどのような業務をどう行っているのか、担当者や責任者はどのような人物なのか、などの情報収集を行い、それを受けて初めて監査方針や監査対象範囲を策定した監査計画を立案します。
2.予備調査
次に予備調査を行います。このときに、対象部署の情報収集から得た内容をしっかり把握しておくことが重要です。予備調査では業務内容の理解はもとより、その部署はどのような情報や資料、機材を持っているのか、それらをどこに保管しているのか、あるいは、データベースはどこにどのように保存しているのか、誰が何を管理しているのか、データの出し入れは誰がチェックしているのかなど、ハードとソフトの両面から、細かい部分まで網羅的に確認をした後に、すべてのリスクを洗い出す必要があります。
3.本調査
予備調査後は、いよいよ監査の実施(実査)です。実査で大事なのは、監査対象部署・部門に過度な負担を与えてはいけないということです。しかし、当然ながら実査には漏れがないようにしなければなりません。監査の目的は、組織の目標を達成するためにあらゆるリスクを洗い出し、業務の改善案や不正などの防止策を提案することにあるからです。そのため、実査対象の部署・部門とよくコミュニケーションを取って協力を仰ぎ、監査の目的を全員に理解してもらう必要があります。
4.評価・報告・改善命令
実査後は、調査結果に対する分析を行ってから評価をします。評価後は、報告書を作成し文書化しなければなりません。改善提案がある場合は、改善命令として対象部署・部門に対する改善策や防止策の提案を行います。しかし、もし監査人側からの提案内容に納得がいかない場合、対象部署・部門側から代替案を提出してもらうようにするとよいでしょう。このような柔軟な対応を取ることで一方通行ではなく、双方向でコミュニケーションを取ることができます。内部監査においては、監査人と対象部署・部門がお互いに歩み寄って協力関係を保ち、リスクへの最善策を講じることが大事です。
5.フォローアップ
改善策や防止策を提案後、実際にそれらがどのように行われたか、あるいは行われなかったかを検証します。
具体的には、提案したことがその部署・部門にどう影響を与えたか、どんな問題が浮上したか、それ以外にも、実行したときに社員から何か指摘はなかったかなどを細かく検証します。計画立案したことに加えて実施したその結果を踏まえ、新たに改善策、防止策をマニュアル化・チャート化し、全員で共有することが大事です。
・強い組織を作るためには内部監査が必要
最近大きく世間を騒がせた自動車中古販売会社や音楽事務所の事件は、内部監査が機能しなかった一例です。内部監査が組織化されてうまく機能していれば、このような大きな問題にはならなかったかもしれません。
老子の名言に「上善如水(じょうぜんみずのごとし)」があります。「理想的な生き方をしたいなら、水に学べ」という教えです。水はどんな形の器にも入ります。水は上に行こうとはせず、人の嫌がる低いところ、低いところへと流れおさまります。そしてなおかつ、急流ともなれば岩をも砕く強い力を持ち合わせているのです。企業も水のようになることができれば、何度監査を受けても、常に柔軟に対応できる謙虚で強い組織になっていくはずです。
・絶対的な安全は存在しないことを理解する
組織をつかさどる経営者や経営層は、「組織に絶対的な安全は存在しない」ということをしっかり理解し、常に念頭に置くことが大事です。しかし、安全確保に関して経営者がすべてを直接確認するのは現実的ではありません。そのようなときに内部監査という独立部署を組織内に置き、さまざまなリスクの洗い出しとそれに対する有効な策を提案してもらい、リスクを限りなく小さくしていくことで、組織の今後の発展と価値創造につなげていくことになります。
まとめ
内部監査は、組織目標の達成はもとより、社会的な信頼性や組織価値の向上、持続可能性の確保などに欠かすことのできない重要な組織活動です。
内部監査で重要なのは、あらゆるリスクの徹底的な洗い出しと、それに対する戦略的なアプローチです。それによりリスクは最小限に抑えられ、組織の目標達成に大きく貢献できます。
時代の移り変わりとともに、組織を取り巻くリスクも急速に変化しています。経営陣は、常に「絶対的な安全などない」という視点のもと、小さな穴を見つけたら放置せず、すぐに対応していくという意識を持って行動することが、組織に潜むリスクを限りなくゼロに近づけるために何より重要です。