内部監査に向き合う Part.12 - 監査方法③ -

長嶋　邦英
5 日前
読了時間: 6分

　内部監査は会社・従業員にとってとても大切な働き・役割です。その働き・役割を遂行するためには、知識と経験と心構えが大切だと思います。それらをいったん振り返って整理し、さらに実践に役立つ戦略・戦術として活かすことを皆さんと一緒に考えてみたいと思います。

　今回は監査方法③です。

監査方法 -書面監査①-

　前々回の記事「内部監査に向き合う Part.10 - 監査方法① - 」では監査方法を俯瞰してその全体像を、前回の記事「内部監査に向き合う Part.11 - 監査方法② - 」では被監査部門への質問（ヒアリング）への向き合い方について皆さんと一緒に考えてみました。今回は関係書類の監査（書面監査）への向き合い方について皆さんと一緒に考えてみたいと思います。

　書面監査は、２つの方法があります。①質問事項を書面にして被監査部門・監査対象業務の責任者に送付し、回答してもらう。②監査対象となる業務等の運用状況に関する証憑（帳票類、契約書面等）を提出してもらい、この証憑を監査する。この２つです。①の方法は、Pマーク（JIS Q 15001）・ISMS（ISO/IEC27001）認証取得されている会社の内部監査で使われる方法です。私たちの方の内部監査では②の方法のイメージが強いと思います。これはPマーク／ISMSの内部監査は会社が定めた個人情報保護／情報セキュリティのマネジメントシステムが各規格に適合し有効であるかを評価すること（保証・アシュアランス）を目的としていますが、私たちの方の内部監査は「組織体の経営目標の効果的な達成に役立つことを目的」（一般社団法人日本内部監査協会・内部監査基準「第１章　内部監査の本質」より引用）としているからだと考えられます。私たち内部監査の方から能動的に情報収集しなければなりません。そのため、例えば監査対象となる業務等の運用状況に関する内部監査が毎年実施する定期監査であっても場合によっては毎年同じ証憑を提出してもらうわけではないこともありますし、ほかの監査方法（ヒアリング、実査）と組み合わせて行うこともあります。ですから①の方法のように質問書面を被監査部門・監査対象業務の責任者に送付し、回答してもらうだけでは、私たちの方の内部監査の目的を達成するのは難しいかもしれません。今回の記事で「書面監査」は②の方法を指すこととします。

　監査対象となる業務等の運用状況に関する証憑（帳票類、契約書面等）を提出してもらうためには、まず証憑の特定が必要です。この証憑の特定は２つのパターンがあります。①提出してもらう証憑そのものを特定する、②提出してもらう証憑の範囲を特定する、の２つです。これは先ほどの例のように、毎年実施する定期監査の場合は①のパターンで構いませんが、テーマ監査の場合はどの証憑を入手することがそのテーマ監査に有効なのかがわからないことが多いからです。ですから証憑を特定するのではなく証憑の範囲を特定することで、被監査部門・監査対象業務ではどのような帳票類・契約書面等が流通し記録・保存されているのかを把握することが可能です。私たち内部監査が書面監査という方法を用いて内部監査に向き合うのであれば、まず社内で流通し記録・保存されている帳票類・契約書面等には何があるのかということを毎回の内部監査において把握する／しなおすことが大切です。いつもみている帳票類・契約書面等だけで被監査部門・監査対象業務の詳細が確認できる・・・わけではありません。それに、じつは書面監査で大切なのは、対象とすべきなのは帳票類・契約書面等だけではないのです。

監査方法 -書面監査②-

　「社内で流通し記録・保存されている帳票類・契約書面等には何があるのかということを毎回の内部監査において把握する／しなおすことが大切です」とご紹介しましたが、これを行うためには被監査部門・監査対象業務の担当者への事前ヒアリング・打合せを行うことをお勧めします。

　皆さんの会社によってはCRM（Customer Relationship Management・顧客関係管理）ツールやSFA（Sales Force Automation・営業支援システム）、ERP（統合基幹業務システム）パッケージ（総じて「ツール等」といいます）を利活用し、帳票類のほか様々なデータが記録・保存していることと思います。以前の内部監査では、書面監査といえば記録・保存されている帳票類・契約書面等を確認することでしたが、昨今では先に挙げたツール等に記録・保存しているデータベースがとても重要です。なぜなら、帳票類・契約書面等はこのデータベースに記録・保存しているデータに基づいて作成しているファイルですから、その元となっているデータベースにどのようなデータが記録・保存され、誰が入力し、誰が入力内容の確認・承認し、誰がデータベースを管理し、誰がデータベースを閲覧可能なのか等の情報を事前に把握すること。つまり私たちの内部監査は、今はデータベースの正確性・信頼性・有効性等がすべて適合していることが前提となっているからです。データベースの正確性・信頼性・有効性等がすべて適合しているからこそ、書面監査が可能であるという意識を持つことをお勧めします。このように考えると、前項の証憑の特定で「②提出してもらう証憑の範囲を特定する」理由がお分かりいただけると思います。データベースに入力されている項目に何があるのか。その項目は何の帳票類・契約書面等に必要な項目なのかを確認することで、その書面監査で必要な帳票類・契約書面等を挙げることが可能になるというわけです。この点はJ-SOX・IT統制の範囲ではないのか？と疑問に思われるかもしれませんが、内部統制と内部監査では観点（視点）が違います。これについては後日、別の記事で皆さんと一緒に考えてみたいと思います。

　今回は書面監査への向き合い方を皆さんと一緒に考えてみました。

　監査方法（ヒアリング、書面監査、実査）はあくまで方法論なのですが、それぞれに向き合ってみるとその監査方法を選択する意図（なぜそれを選択するのか？）、タイミング（いつそれを行うのか？）、結果の想定（その方法で何を得るのか？）などをよく検討する必要があることに気付かされます。内部監査は原理・原則を大切にしますが重要視することはお勧めしません。おそらく内部監査の皆さんも、それぞれの監査方法においていろいろな工夫をしているハズですし、むしろいろいろな工夫があること／常に工夫していることが最も大切なことと考えます。その工夫のためにも、内部監査に向き合う／向き合い直す時間を持つことをお勧めしますし、その工夫の一助になれば幸いです。