ナレッジ

内部監査態勢の高度化ポイントについて

保険業界において、「内部監査態勢の高度化」に向けた動きが活発になっています。金融当局からの要請も踏まえ、メガバンクや海外大手金融機関(G-SIFIsやG-SIIs)における内部監査態勢も参考にした高度化を目指しています。しかし、高度化の具体的なイメージが掴みづらいのも実状と思われます。

1. 内部監査態勢の高度化の動き

保険業界において、「内部監査態勢の高度化」に向けた動きが活発になっています。金融当局からの要請も踏まえ、メガバンクや海外大手金融機関(G-SIFIsやG-SIIs)における内部監査態勢も参考にした高度化を目指しています。しかし、高度化の具体的なイメージが掴みづらいのも実状と思われます。以下、「内部監査の高度化」を進める上での重要なポイント(例)について説明します。なお、本稿に記載された意見に関する部分は筆者の私見であり、所属する法人の公式見解ではないことをお断りしておきます。

2. 「内部監査の高度化」とは

(1)  経営管理(ガバナンス)に資する内部監査態勢の実現

  • 保険検査マニュアルにおいて、内部監査機能は、「経営管理(ガバナンス)態勢-基本的要素―の確認検査用チェックリスト」に記載されています。その理由は、内部監査部門が経営陣の重要な代理人として経営陣のためのモニタリング機能を担うからだと考えられます。
  • 以下、内部監査部門が経営陣のモニタリングに役立つポイントについて説明します。

a. 経営陣の「監査ニーズ」の内部監査計画への反映

・経営陣が特定の部署/業務の内部管理の有効性に懸念を持った場合には、内部監査部門による当該部署/業務の管理実態確認を期待します(「監査ニーズ」)。しかし、内部監査計画策定時に経営陣の「監査ニーズ」を十分に把握できず、そのために「監査ニーズ」が内部監査計画に反映されていないケースが見受けられます。それでは、たとえ内部監査部門が内部監査計画に沿って監査を実施し、監査結果を経営陣に報告しても、内部監査部門の活動結果が経営陣の期待に適うことは難しいです。

・内部監査計画段階で、経営陣の「監査ニーズ」と内部監査部門が予定する「監査実施テーマ」をすり合わせ調整することが重要です。そのための手法としてマクロ・アプローチ(トップダウン・アプローチ)のリスク・アセスメント手法があります。同手法は、組織内の主要なリスク/課題を鳥瞰して把握するものであり、経営陣の「監査ニーズ」と内部監査部門が予定する「監査実施テーマ」をすり合わせるために有用と考えます。

経営陣の「監査ニーズ」を内部監査計画へ反映するための工夫

  1. 内部監査部門が、組織内の主要なリスク/課題を外部要因(法令等変更、社会・経済変化、他社での事故等)と内部要因(新規業務、システム・事務の変更、事故・トラブル、監査結果等)毎に検討し、「マクロ・アプローチ・リスク・アセスメント表(案)」(図1左下)を作成します。
  2. 「マクロ・アプローチ・リスク・アセスメント表(案)」をベースに経営陣とのミーティング等を行い、経営陣の「監査ニーズ」を加味して、「マクロ・アプローチ・リスク・アセスメント表」を完成します。
  3. 「マクロ・アプローチ・リスク・アセスメント表」記載項目から、内部監査計画の重点監査項目を選定します。
  4. 各重点監査項目を、部署別監査の監査重点ポイントやテーマ別監査でのテーマに反映します。

b. 戦略策定プロセス監査

  • 経営計画とそれを支える部署単位の業務計画等を有効に機能させることが、企業価値を高めるとともに、社会やステークホールダーの期待に応えることに繋がります。そして、内部監査部門には、経営計画とそれを支える部署単位の業務計画等のPDCAサイクルが有効に機能しているかの観点を加味した監査実施が求められます。大手金融機関では、既に、「戦略策定プロセス監査」として実施されています。

  • なお、経営計画の決定自体は経営判断であり、内部監査部門の監査対象には含まれません。所管部署による計画立案・実施結果・課題分析・経営報告等のプロセスが有効に機能しているかを監査します。図2に「戦略策定プロセス監査」実施時の着眼点(例)を記載します。

「戦略策定プロセス監査」実施時の着眼点

(2)  リスク変化への感応度の高い内部監査態勢の実現

  •  経営計画に沿った業務実施や外部環境の変化等により、組織内のリスクが変化します。特定の部署や業務のリスク増加に応じ、内部監査計画では当初予定していなかった監査を機動的に行える態勢の整備が求められます。そのためには、オフサイト・モニタリング機能を充実させることが必要です。しかし、オフサイトで組織内の情報収集(重要な会議出席、稟議書閲覧、苦情・事務ミス等報告のチェック等)をしながら、個別(オンサイト)監査の事前準備段階になって初めて収集した情報を分析・活用しているケースをお見受けします。それでは、オフサイトモニタリングとして十分ではありません。リスク変化時に機動的に追加監査の必要性を判断し、必要と判断した際には追加監査を行うことで、リスク変化への感応度の高い内部監査態勢の実現につながります。

オフサイト・モニタリング態勢の全容(ベスト・プラクティス)

  1. モニタリング担当者の設置:組織内の各部署を重複や偏りなくモニタリングするために、内部監査部門内に部署単位(ないしは業務単位)のモニタリング担当者を設置します。
  2. モニタリング対象の特定:モニタリング担当者が閲覧する資料や出席する会議等を特定し、モニタリング事象からの漏れを防ぎます。
  3. 情報の蓄積:懸念される事項(リスク・アセスメントへの反映が必要な事項、次回監査プログラムへの反映が必要な事項等)を記録します。
  4. 情報の共有:内部監査部門内でモニタリング情報の共有をします。
  5. 定期評価:定期的(2-3ヶ月毎)に各被監査部署毎のリスク評価を見直し、必要に応じ追加監査実施の必要性を検討します。

著者: 金融インダストリーグループ 石塚 岳

お役に立ちましたか?