内部監査の在り方Part. 12 -内部監査計画②-
- 長嶋 邦英
- 7月27日
- 読了時間: 6分
今回は、以前取り上げました内部監査計画の続きを、改めて考えてみたいと思っております。
事業計画と内部監査計画
以前の記事「内部監査の在り方 Part. 03 - 内部監査年間計画 -」では内部監査年間計画を通して内部監査の在り方を皆さんと一緒に考えてみましたが、先日「会社が考えている『内部監査にやってほしいこと』と内部監査計画がうまく噛み合わない場合、どのようにしたら良いか?」とのご質問をいただきので、この点をもう少し掘り下げてみたいと思います。
まず、以前の記事「Part. 03 - 内部監査年間計画 -」では内部監査計画を作成するにあたってのポイントを以下のように挙げました。
内部監査計画は、会社の事業計画に沿ったかたちのものか。
内部監査計画は、会社のリスク・コントロールに沿ったかたちのものか。
内部監査計画は、監査テーマ・監査の時期(タイミング)を外していないか。
上記のうち1、2については実務指針の「実務指針5.2 リスク評価に基づく計画の策定」に示されています。
第5章 内部監査部門の運営 第2節 リスク評価に基づく計画の策定 5.2.1 内部監査部門長は、組織体の目標に適合するよう内部監査実施の優先順位を決定すべく、最低でも年次で行われるリスク評価の結果に基づいて内部監査計画を策定しなければならない。なお、リスク評価のプロセスにおいては、最高経営者および取締役会からの意見を考慮しなければならない。
(引用:内部監査実施指針「実務指針5.2 リスク評価に基づく計画の策定」・1ページより)
引用した文中の「組織体の目標」とは、具体的には会社の事業計画や中期計画等です。
さきほどご紹介した「会社が考えている『内部監査にやってほしいこと』と内部監査計画がうまく噛み合わない場合、どのようにしたら良いか?」とのご質問について、まずは事業計画と内部監査計画がうまく噛み合っているかどうかを確認する必要があると思います。この点で両方がうまく噛み合っていなければ、いくら内部監査計画の品質が高くてもそれだけが社内でひとり歩きしてしまいます。
事業計画と内部監査計画は相関関係にあると考えるとわかりやすいかもしれません。事業計画の中で売上高の割合が高い製品・サービス等があれば事業等のリスクも上がります。事業等のリスクが上がればそこに内部監査は目を向ける、という相関関係となります。この点だけをみても、事業計画と内部監査計画がうまく噛み合う必要があることがご理解いただけると思います。
リスク管理と内部監査計画
上の引用中の「最低でも年次で行われるリスク評価の結果」とは、会社にリスク管理委員会等が設置されていればその委員会で策定されたリスク評価、委員会が設置されていない場合でも内部監査部門以外で策定したリスク評価となります。ここでさきほどの質問の噛み合わせを考える点として、会社のリスク管理と内部監査計画がうまく噛み合っているかどうかを確認する必要があると考えます。具体的には、リスク管理委員会等で策定したリスク評価(以下「会社のリスク評価」といいます)と内部監査部門側で策定したリスク評価の内容が食い違ってしまうことで「うまく噛み合っていない」という印象を持たれてしまいます。
実施指針で示されている説明にも以下のように示されています。
2. 監査対象領域のリスク評価 (中略) 内部監査部門長は、内部監査計画の策定のために、監査対象領域について自らの責任においてリスク評価を行わなければならない。たとえ他部門のリスク評価の結果を参考にした場合であっても、内部監査部門長は当該業務に責任を負わなければならない。何を内部監査計画に含めるか否かにかかわらず、組織体の全ての経営諸活動を対象にリスク評価を行うことで、内部監査業務は、網羅性と効率性のバランスの上に立つ高い有効性を発揮する。
(引用:内部監査実施指針「実務指針5.2 リスク評価に基づく計画の策定」・2ページより)
内部監査部門は内部監査計画を作成するにあたり、監査対象領域について自らの責任においてリスク評価する必要があると示されています。前回の記事でリスク管理を担当する部門・委員会と内部監査部門が連携する必要があることをお勧めしましたが、これは上の引用にある「たとえ他部門のリスク評価の結果を参考にした場合」にあたります。実務指針では、内部監査部門長が内部監査計画の策定のために、監査対象領域について自らの責任においてリスク評価を行わなければならないと示しています。そうすると、会社のリスク評価と内部監査部門が行なったそれとの内容が噛み合っていれば問題ないのですが、もし噛み合っていなければ、内部監査は会社が考えるリスクマネジメントの一翼を担っていないことになります。これでは内部監査の側面から会社の企業価値を最大化するという、私たち内部監査の大きな目的を果たしていないことになりかねません。
このようなことにならないようにするには、以下の点をお勧めします。
代表取締役社長等経営者層と会社のリスク評価の内容等について意見、要望を聞くなど、コミュニケーションをとること。
会社のリスク評価と内部監査部門のリスク評価の内容を比較・検討すること。
会社のリスク評価と内部監査部門のリスク評価の内容について、リスク管理部門・委員会から意見、要望を聞くなど、コミュニケーションをとること。
内部監査部門は会社内では独立した部門ですが、だからといって独自路線を歩む必要はありません。むしろ、独立した部門であるからこそ独りよがりにならないように代表取締役社長等の経営者層や他の部門と連携を深める必要がありますし、意見・要望等を喜んで受け入れる必要もあります。
大切なことは、会社が考えている『内部監査にやってほしいこと』と内部監査計画がうまく噛み合うことです。なぜなら、私たち内部監査の目的は「組織体の経営目標の効果的な達成に役立つこと」(引用:内部監査基準2ページ・一般社団法人日本内部監査協会)ことだからです。内部監査計画を作成する際は、会社が考えている『内部監査にやってほしいこと』と内部監査計画がうまく噛み合うことを念頭に置き、企業価値の向上に資するための内部監査を目指すことをお勧めします。
当社が提供するサービスとして
当社が提供する「内部統制・内部監査体制構築」サービスでは、
IPO準備中企業の内部監査体制の構築とその業務内容の確立をサポート支援いたします。
上場企業の内部監査体制の再構築、業務内容の改善をサポート支援いたします。
IPO準備中・上場企業の内部監査業務の業務委託受託先(外部)として業務遂行いたします。(*内部監査責任者として、社内に1名選任をお願いします。)
この機会に、ぜひ内部監査のあり方、必要性をご理解いただき、内部監査体制構築/再構築をご検討ください。
コメント