内部監査の品質評価 ブックマークが追加されました
ナレッジ
内部監査の品質評価
内部監査の新潮流シリーズ(10):経営に資する内部監査の実現に向けて品質評価(内部評価および外部評価)の必要性が高まっています
内部監査の品質評価(内部評価および外部評価)の必要性が高まっています。IIA国際基準1312では最低でも5年に一度外部評価を実施すべきとされていますが、IIA国際基準の要請以外の理由で品質評価を実施したいとのご要望も増えています。内部監査の外部評価においてはIIA国際基準への適合性を確認できるだけでなく、成熟度診断や次世代の内部監査への変革に向けたロードマップなどの情報も入手できます。
デロイト トーマツでは、「内部監査の新潮流」と題して内部監査のトピックスを全24回にわたり連載いたします。前半は、内部監査の基礎となる事項をとりあげ、後半は次世代の内部監査に求められる最新のトピックスを取り上げます。全24回の詳細はこちらのページをご覧ください。
品質評価の必要性
内部監査が適切に実施されているかどうかを評価するために、内部監査部門による内部評価や内部監査部門から独立した第三者による外部評価の必要性が高まっています。IIA国際基準1312において、内部監査の外部評価は最低でも5年に一度実施することが要求されています。しかしIIA国際基準の要請以外の理由で品質評価を実施したいという内部監査部門も増えています。
内部監査体制強化にあたって漠然とした不安を抱える企業が多いことも要因の1つと考えられます。金融商品取引法で求められる内部統制報告制度への対応や会社法で求められる内部統制システムの構築、ならびに2015年のコーポレートガバナンス・コードの公表によるリスクの適切な情報開示・透明性確保の流れの中で、多くの企業が内部監査体制の強化・高度化を図っています。
さらに、内部監査に対する期待の高まりも大きな要因と考えられます。企業不祥事や企業倒産が多発しリスク管理が声高に叫ばれる中、企業を取り巻く関係者の内部監査への期待も大きく変容しています。従来のようなアシュアランスを提供し続けながらも、不正防止や企業内のリスクマネジメントに関する助言の提供を通して経営価値向上に貢献することが期待されています。
これらの状況から品質評価の目的をIIA国際基準等への準拠性評価だけに限定せず、国内外の同業他社やグローバル先進企業との比較、有効性・効率性評価や品質向上に向けたアドバイスを加える傾向もみられるようになっています。
品質評価の種類
内部監査の品質評価は内部評価と外部評価に分けられます。内部評価とは組織体内部で行われる評価で、外部評価とは組織体の外部者によって行われる評価です。
内部評価は「継続的モニタリング」と「定期的(自己)評価」の2つに分けられます。継続的モニタリングは日常業務の一環として行われるべき内部監査業務の監督で、業務の適切な監督や監査調書のレビュー、チェックリストを利用した監査実施要領等への準拠性の確認、監査対象部門からのフィードバック分析等が含まれます。定期的(自己)評価はIIA国際基準などへの準拠性を社内で定期的に(1年に一度等)実施するものです。継続的モニタリングと定期的(自己)評価の両方を内部評価として実施することで、基準の準拠性や内部監査の有効性・効率性を内部で評価し改善できることになります。
外部評価は「フル外部評価」と「自己評価と独立した検証(SAIV, Self Assessment with Independent Validation)」の2つに分けられます。フル外部評価は,独立性を有する組織体外の有資格者かつ経験者によって行われるものです。SAIVは内部監査部門等による定期的自己評価結果等を独立した外部の評価者が検証することにより行われます。
品質評価の効果
内部監査機能への期待が高まる中で内部監査業務の品質確保は喫緊の課題です。さらに内部監査業務の品質確保で重要なことは、内部監査の品質の十分性をステークホルダーが理解し、内部監査に対して信頼感を抱いてもらうことです。内部監査への信頼性向上のためにはステークホルダーの内部監査に対する期待を把握し、その達成に努めていくことが不可欠です。
内部監査に対する期待は、ステークホルダーにより多種多様です。企業の上層経営者であればグループ全体のリスクが軽減されていることを確認してほしいと考えるかもしれません。コンプライアンス担当役員であれば法令等遵守状況や不正の有無を確認してほしいと考えるでしょう。さらにマネージャーであれば現在実施している業務が他部門や同業他社と比較して十分に有効かつ効率的かといった点についてアドバイスが欲しいと考えるかもしれません。
もちろん内部監査に関する人員もコストも限界があるので、全てのステークホルダーの期待に一度に応えることは困難かもしれません。したがって、限られた内部監査資源をどこに注入するかを決定するためにはどのステークホルダーの期待を優先させるかの順位付けが必要となります。また、ステークホルダーの期待と現状のギャップを把握する必要もあります。内部監査の品質評価、特に外部専門家による外部評価はこれらの情報を確認できるだけでなく、成熟度診断や次世代の内部監査への変革に向けたロードマップなどの有用な情報も入手できます。
品質評価で発見される問題点と改善案の例
内部監査の品質評価を実施した企業では以下のような問題点が多く見受けられます。
- リスクアプローチに基づく監査計画が策定されていない
- 内部監査人の業務に関する知識が不十分
- フォローアップが不十分
- システム監査が不十分
- 第2ラインのモニタリング活動との連携不足
これらはそれぞれの問題点が関連する国際基準との乖離に起因します。一例として、「1. リスクアプローチに基づく監査計画が策定されていない」に関する改善提案の例を紹介します。
(1) 国際基準2010との乖離
国際基準では「内部監査部門長は、組織体のゴールと調和するように内部監査部門の業務の優先順位を決定するために、リスク・ベースの計画を策定しなければならない。」(国際基準2010)とされていますが、年度監査計画の策定にあたってリスクアプローチが不十分と識別されることがあります。本来は種々の情報および経営層の意向を踏まえた上で監査の年度計画を策定しているはずですが、体系的な策定プロセスが存在しない、策定過程が文書化されていない等の課題が識別されることが散見されます。
(2) 改善提案
この問題点に対する短期的な対応策としては、まず既存の監査計画策定プロセスを文書化することが考えられます。すなわち情報収集・分析から、計画案の策定および取締役会等の承認の過程を記録することです。さらに中長期的には、情報収集・分析の段階において、全社的なリスクアセスメントを実施することも検討すべきです。内部監査部門以外のリスク管理部門がリスクアセスメントを実施している場合には、その結果を入手して、リスクが高いと識別された領域を把握した上で、内部監査計画に織り込むことが考えられます。あるいは、内部監査部門自身がファシリテーターとなってリスクアセスメントを実施するケースも考えられます。
これらの内容につきまして、詳しくは「内部監査実務ハンドブック 」をご覧ください。
また、トーマツでは「次世代の内部監査への変革を本気で取り組もう」という会社様向けに「次世代内部監査提言サービス」を始めました。外部品質評価(診断)や内部監査ラボなどを通してInternal Audit 3.0フレームワークとのFit & Gap分析を実施し、各社の実情に合った次世代内部監査モデルを提言いたします。ご興味のある方はぜひトーマツの内部監査プロフェッショナルまでお問い合わせください。
内部監査・内部統制・オペレーショナルリスクに関する詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合わせください。