リスクベースの内部監査計画を策定し、経営者の期待と環境変化に対応する

内部監査の品質評価の結果、リスクベースの内部監査に関する課題が共通して認識されます

内部監査の品質評価では様々な課題が抽出されますが、多くの内部監査部門に共通している課題の一つとして、リスクベースに基づかない内部監査の実施があります。

本来はリスクベースで「年度監査計画」と「個別監査計画」の両方を策定する必要がありますが、リスクベースに基づく内部監査が実施できていない理由としては、例えば「年度監査計画」は3年に一度、周期的に全拠点を対象とするなどの監査方針を長期間採用していること、「個別監査計画」においては、予め監査項目・テーマ、標準監査手続きを策定し、機械的に全拠点で同じ監査を実施していることが挙げられます。

IIA国際基準では、リスクベース内部監査の実施が求められています

内部監査のグローバルスタンダードである『内部監査の専門職的実施の国際基準（IIA国際基準）』によれば、リスクベース内部監査の実施に関して以下のように規定されています。

＜リスクベースの年度監査計画の策定＞

個々のアシュアランス業務について、内部監査部門の計画は、少なくとも年に一度実施される文書化されたリスク評価に基づかなければならない。この計画策定プロセスでは、最高経営者および取締役会からの意見を考慮しなければならない。（2010.A1）

＜リスクベースの個別監査計画の策定＞

内部監査（アシュアランスおよびコンサルティング）の個々の業務の計画の策定に当たり、内部監査人は、以下の諸点を考慮しなければならない。

• レビューの対象となる活動や部門の目標、経営資源および業務に対する重大なリスク、ならびにリスクの潜在的な影響を受容可能な水準に維持するための手段
• レビューの対象となる活動や部門のガバナンス、リスク・マネジメントおよびコントロールの各プロセスの、関連するフレームワークまたはモデルと比べた妥当性および有効性
• レビューの対象となる活動や部門のガバナンス、リスク・マネジメントおよびコントロールの各プロセスについての大きな改善の機会（2210）

内部監査人は、レビュー対象となる活動や部門に関し、事前にリスク評価を実施しなければならない。個々のアシュアランス業務の目標は、この評価の結果を反映するものでなければならない。（2210.A1）

内部監査人は、個々のアシュアランス業務の目標を設定するに当たり、重大な誤謬、不正、コンプライアンス違反およびその他のエクスポージャー（リスクに曝されている度合い）の可能性を考慮しなければならない。（2210.A2）

また、2017年監査白書（一般社団法人日本内部監査協会）によれば、内部監査部門としてビジネスリスク評価を実施している組織は全体の71.7%となっています。
 

内部監査部門としてのビジネス・リスク評価の実施状況

リスクベースの内部監査は組織の実情に合わせた創意工夫が必要です

リスクベースの内部監査を実施している組織においては、一律のリスクアプローチではなく、組織の実情に合わせた様々な取り組みが行われています。

リスクベースの「年度監査計画」は“リスクの高い領域に監査資源を優先的に投入する”というコンセプトで策定します。監査対象領域（Audit Universe）ごとにリスク評価を実施し、高リスクの部門・会社・プロセスの監査を優先的に実施するというものです。

一方で、経営陣等のステークホルダーの意向や規制・制度対応により「一定期間ごとに全拠点を対象とした監査（周期的監査）」を実施する必要があるという組織もあります。周期的（例えば3年に一度など）に監査を実施するのであればリスク評価をする必要がないと考える内部監査部門もありますが、一定期間監査を受けていない拠点を監査対象に含めつつ、リスク評価結果に基づいて監査頻度・期間・工数等のメリハリをつけるという方法でリスクベースの内部監査と両立させることは可能です。

また、リスクベースの「個別監査計画」は“対象となる活動や部門の目標、経営資源および業務に対する重大なリスク”を考慮したうえで、監査目標を達成するために策定します。一方で、標準監査手続きを策定し、全拠点を対象に同一の監査手続きを実施するという組織もあります。

実施すべき監査手続きが決まっているのでリスク評価を実施する必要がないと考える内部監査部門もありますが、限られた時間・予算の中で監査目標を達成できるよう標準監査手続きをベースに追加や削除（カスタマイズ）するという方法でリスクベースの内部監査と両立させることは可能です。

経営環境によって適切なリスクアプローチは異なります

上述の通り、リスクベースの内部監査は年度監査計画と個別監査計画に分けて整理できます。

年度監査計画の策定に際して「少なくとも年に一度」のリスク評価を実施することになります。

最高経営者および取締役会からの期待を考慮して内部監査部門がリスク評価を実施するほか、組織のリスク・マネジメント活動により集計されるリスク評価結果を考慮することもあります。

急激な環境変化により年に一度のリスク評価では十分ではないと考える内部監査部門では、四半期ごとあるいは随時リスク評価を実施して年度監査計画を修正することもあります。

個別監査計画の策定に関しては「対象となる活動や部門の目標」の達成を阻害する要因を洗い出し、特に重大な誤謬、不正、コンプライアンス違反その他のエクスポージャーの可能性を検討した上で設定した監査目標の達成を考慮します。

年度監査計画の策定時に実施したリスク評価結果も個別監査計画策定時に反映させます。

一定水準の監査実施のために標準監査手続きを策定していても、優先すべきは監査目標の達成であり、標準監査手続きを全拠点でそのまま実施することではありません。

デロイト トーマツは、内部監査部門の置かれている環境を踏まえた適切なリスクアプローチを支援します

リスクベースの内部監査には様々な取り組みがあります。ステークホルダーの意向や期待、内部監査方針、内部監査の体制・陣容・成熟度、内部監査部門が入手できるリスク情報の種類に応じた適切なリスクアプローチがあります。

デロイト トーマツではこれまでに数多くの内部監査部門に対してリスクベースの内部監査実施の支援を行ってきました。そのため、リスクアプローチに係るリーディングプラクティス、多様な業種、規模の日本企業におけるリスアプローチの事例について豊富な知見を有しています。多種多様な事例に基づき、内部監査部門の置かれている環境を踏まえた適切なリスクアプローチ構築を支援します。

リスクベース内部監査の導入、リスクアプローチの見直しなどでお悩みの場合には、デロイト トーマツの内部監査プロフェッショナルにご相談ください。