内部監査がわからない人内部監査についてわかりやすく、シンプルに解説してほしい。
こんな要望にお応えします。
「内部監査とは何か」シンプルにわかりやすく解説します。
グローバルメーカーでの内部監査やBIG4での内部監査アドバイザリーなど豊富な内部監査の経験に基づいています。
内部監査とは
内部監査の定義
内部監査人協会が定める内部監査の定義は下記のとおり。
内部監査は、組織体の運営に関し価値を付加し、また改善するために行われる、独立にして、客観的なアシュアランスおよびコンサルティング活動である。内部監査は、組織体の目標の達成に役立つことにある。このためにリスク・マネジメント、コントロールおよびガバナンスの各プロセスの有効性の評価、改善を、内部監査の専門職として規律ある姿勢で体系的な手法をもって行う。
(一般社団法人内部監査協会)
「何言っているかよくわかりません」という感じですね。
これを会社の活動に当てはめ、よりかみ砕くと下記のようになります。
会社の成長のために、会社運営のプロセスを第三者目線でチェック・評価し、その結果、「ここはちゃんとできています」(保証)とか「ここはもっとこうした方がよいですよ」(助言)と言ったりする活動のこと
健康診断をイメージするとわかりやすいです。
健康診断は機器を使ったり問診をしたりして、決められた項目について、現状がどんな状態にあるのか、あるべき基準との差を評価してもらい、問題のあるところへ改善を促してくれます。
一方で内部監査は、管理(ここでいう管理とは、ガバナンス、リスクマネジメント、コントロールのプロセスのこと。詳細は下記で解説)の有効性に対して、あるべき姿とのギャップを評価し、改善を促します。
留意点としては、実際の内部監査は健康診断よりも深いのも事実です。例えば、内部監査はより重要なリスクにフォーカスしたアプローチ(リスクベースアプローチ)をとり、また発見した問題に対して根本原因を分析したうえで改善提案をすることがベストプラクティスとされています。健康診断はそこまでやりませんが、ざっくりイメージを持ってもらえればと思います。
内部監査の範囲・領域
上記協会が定める内部監査の定義には「リスクマネジメント、コントロールおよびガバナンスの各プロセスを評価する」という文があります。
この文を順に解説します。
ガバナンス
ガバナンスは広義では「統治」という意味ですが、企業経営にあてはめると、以下の2つの言葉がよく使われております。
- 「コーポレートガバナンス」:株主に利益が出るように企業を管理・監督しているかという観点でのガバナンス
- 「グループガバナンス」:経営者が企業グループの経営管理をどうやっていくかという観点でのガバナンス
リスクマネジメント
リスクマネジメントは、会社が直面する様々なリスク(例えば、災害を受けて工場が停止する、従業員が会社のお金を横領する、営業部長が架空の売上を立てる等)を把握・管理し対応する仕組みのことです。
コントロールとは
企業が直面する様々なリスクを低減させるための活動のことをコントロールといいます。いわゆる内部統制です。
ガバナンス、リスクマネジメント、コントロールの関係
ガバナンス、リスクマネジメント、コントロールの概念のイメージをまとめると下記のようになります。
内部監査は、コントロール(内部統制)のプロセスを見るものと思っている方が多いのですが、協会の基準ではコントロールだけでなく、もっと広い概念であるリスクマネジメントやガバナンスのプロセスを見るものと定義しています。
内部監査の目的は
では内部監査をなぜするのでしょうか? その目的はざっくりわけると、以下2つの理由です。
- 企業価値の保護=アシュアランス(保証)
不祥事等が起きると会社の信頼が下がり、株価が低下したり、従業員が離反したりと企業価値が低下するので、それを防ぐための活動です - 企業価値の向上=コンサルティング(助言)
中期経営計画等の経営戦略の実現とか、ビジネスパフォーマンス(KPI)の実現、業務効率の改善等の活動です。
昨今「保証」(アシュアランス)を最低限行いつつ、より経営に付加価値をつけた「助言」(コンサルティング)を志向している企業も増えてきます。
ただ、昨今の日本企業をみていると、様々な不祥事が頻発しているのも事実であり「保証」(アシュアランス)がしっかりできているかも依然、重要です。
外部監査との違い
内部監査は組織内に人によって行われる任意の活動であるのに対して、外部監査は組織と利害関係のない外部によって行われる保証のことで、会計監査等、法や規制で実施が義務付けられているものです。
内部監査のやり方(プロセス)
内部監査のやり方(プロセス)を以下の2つから解説します。
- 内部監査の組織運営
- 個別内部監査のプロセス
内部監査組織運営
内部監査の部門はざっくり以下のようなステップで運営します。
内部監査組織として何を目指すのか、どんな領域を対象にして監査をしていくのか、そのためのどんな人材を確保し、育成していくか等の大方針です。3カ年程度の計画を定めることが多い。
その年度において、何のリスクが重要か、どのような組織やテーマを対象にして、監査をするのかという年度計画を決めます。
方針・計画について取締役会等の上位機関から承認をもらいます。
計画した監査が実施できるように個別監査へ十分なリソースの確保と品質管理をします。
年度を通しての監査結果を取締役会等へ報告します。
これを繰り返していきます。
また年度計画の中の個別監査のプロセスは以下のようなものです。
個別内部監査のプロセス
個別の監査対象、テーマでリスク評価をし、監査する領域・項目を決める。
監査計画で定めた領域に対して、どんな監査手続きを実施するのかを決める。
データの分析、資料の閲覧、現場でのインタビュー等を通して、監査手続きを実施し、その結果を監査調書に文書化します。是正すべき事項等を指摘事項・発見事項等としてまとめ、被監査組織・部門とその改善計画を合意します。
上位マネジメント等のステークホルダーに対し監査結果を報告します。
監査でのコメントが改善されるまでフォローアップをする。
基本的に内部監査は、この個別監査の集合体です。
では次にこれらの組織運営、個別監査をどのように行っていくのかを考える上で重要な基準をみていきます。
内部監査の国際基準
内部監査人協会(IIA)は「専門職的実施の国際フレームワーク(IPPF)」を作っております。
この中の「国際基準」(IPPF Standardと呼ばれています)は公開されておりますのでこのサイトを参照してください。
この基準を見ると、組織運営、個別監査のスタンダードがわかります。ただ、概念的・抽象的で、未経験者がばっとみてわかるような内容ではないので留意する必要があります。
IPPFを深堀したければ、CIA(内部監査人)の取得をおすすめします。Part 1, Part 2を勉強することで、IPPFの基準ベースで内部監査の組織運営、個別監査を考える習慣がついてくるはずです。
企業は不祥事防止できる十分な活動をしているのか、株主等のステークホルダーに説明する責任があります。よってこのような国際基準に適合しているのか、評価し、その結果を公表するなどし、ステークホルダーからの信頼を獲得するのに活用したりされています。
内部監査とは~まとめ~
- 内部監査とは
企業の成長のために、会社運営のプロセスを第三者目線でチェック・評価する。そしてその結果、「ここはちゃんとできてます」(保証)とか「ここはもっとこうした方がよいです」(助言)と言ったりする活動のこと - 内部監査の領域
コントロール(内部統制)だけでなく、リスクマネジメント、ガバナンスのプロセスも含む。 - 内部監査の目的
「企業価値の保護」=アシュアランスと「企業価値の向上」=コンサルティングの2つ。 - 内部監査のやり方(プロセス)
組織運営、個別内部監査のプロセスがある。
内部監査人協会が定めた内部監査の国際基準が公開されている。
国際基準を深堀したければCIA資格のPart 1, Part 2を勉強。
今回は以上です。
