今回はリスクアセスメントの結果から実際に内部監査を行うまでのプロセスについてご説明します。
年間内部監査計画
リスクアセスメントの結果、リスクの高いテーマから検証を行う「リスクベース」で計画を立てています。ただし、経営陣の関心事項や規制当局の要請事項は前回記載の「補正」項目において「評価ラベル」の引き上げを行い優先して計画に反映しています。
前回記載の通り、開業間もないということもあり「残存リスク」からのみではなく、「固有リスク」からも内部監査テーマを選定するようにしています。「固有リスク」の評価は、「影響度」×「発生頻度」で算出していますが、この場合、いかに「影響度」が大きくても「発生頻度」が低いことで「固有リスク」が低く評価されてしまうという問題があります。「発生頻度」の低いリスク事象でも一度発生すると「影響度」が大きいため組織体の事業継続にダイレクトに関係することから、一度は内部監査で検証しておくことが重要だと考えています。なお、この場合の内部監査は、主に「統制」を評価するというよりは、リカバリに対する準備状況を検証することが主眼になります。また、「不正」等「故意に統制を破る」ような「統制」の評価をあてにできない場合には、「固有リスク」ベースで計画を立案することも有効と考えます。
リスクの動きの速い業界ということもあり「年間」の計画ではありますが、リスクアセスメントの結果を反映させるため、四半期毎に、「年間内部監査計画」の変更の要否を検討しています。
なお、リスクの評価を見直すようなリスク事象が発生した場合には、直ちにリスクアセスメントに反映し、その評価ラベルに応じて内部監査を企画し、計画の変更を検討します。
計画自体には、内部監査リソース分析の結果を基に、一定テーマを検証する期間を枠として設け、その他の期間は「フォローアップ」や「環境モニタリング」に充てられるようにしています。当初はバッファーとして想定していた仕組みですが、小規模な体制ではモニタリング事項に終われてしまう日常にあって、集中して特定のテーマを検証する期間を確保することができるという意味でメリットがありました。
内部監査の種類
私は、内部監査に求められる「保証力」と「速報性」の観点で内部監査の種類を定義しました。「保証力」とは、経営陣等の報告者に対して内部監査の結論をどの程度の確からしさで保証するかという尺度、「速報性」は内部監査の対象となるリスクについての内部監査の結論をどのくらい経営陣等に早く伝えるかという尺度、とイメージいただければと思います。この2つはトレードオフの関係にあると考えますが、内部監査の種類を定義するにあたって、このトレードオフを整理しています。主な種類は以下の通りです。
テーマ監査(保証力:高 / 速報性:低)
テーマに係るリスクの検証を業務単位で切り取って実施する内部監査で、規程・マニュアル等の「整備状況」と、サンプルチェック等を通じた「運用状況」の検証を実施しています。「フォローアップ監査」もこちらに含んでいます。内部監査報告書には総合評価、個別の課題まで記載し、課題はリスクに応じて「フォローアップ」の対象とします。また「内部品質評価」の「継続的モニタリング」の実施も想定しています(現状はリソースの関係上実施を見合わせています)。
なお、「部署別監査」も定義していますが、実施していません。私の所属する組織体は、「3 Lines Model」に基づき態勢の整備を行っていますが、部署ごとに内部監査を実施してしまうと、他の部署が行っている監査対象としたリスクの「統制」の評価が不足してしまったり、部署間の連携上狭間に落ちてしまうリスクを検知できなかったりと、内部監査の結論が得られなくなるからです。
プロジェクト監査(保証力:中 / 速報性:中)
プロジェクトの進行に合わせて管理状況等の検証を行う内部監査で、「テーマ監査」と比較しサンプルチェックの数を限定し、「継続的モニタリング」の対象にしない等、比較的簡略的な手続きとしています。
移行判定等プロジェクトの進行や局面にあわせ監査意見を述べることとし、プロジェクトの目標達成にクリティカルな影響を及ぼす「発見事項」は、終了前に改善できている(もしくは改善の目途がついている)状態を求めています。次回のプロジェクトにも影響のある「発見事項」は「フォローアップ」の対象として整理し、当該プロジェクトで改善しておかなければならない課題は、プロジェクト終了後に報告しても対処するには限界があるため、速報性を重視し、プロジェクト期間中、何度も経営陣等に報告を行います。
監査モニタリング(保証力:低 / 速報性:高)
「環境モニタリング」のなかで、特に緊急を要するリスク事象を認めた場合等では内部監査活動に切り替え、簡略的な検証手続きに留め内部監査意見を述べることができるようにしています。実態把握に重きを置いており、報告書はサマリに留め速報性を重視しています。なお、組織体としてリスク低減を実施する場合には、そのリスクの重要性や対策の規模により上記の「プロジェクト監査」に切り替えて対応することもあります。
内部監査の種類を定義し、報告書で開示することで報告書の読み手にはどのような検証手続きを経て得られた監査意見・結論で、どの程度の確からしさを有しているかが一目で判るつくりを目指しています。
次回は、マネー・ローンダリング対策に係るテーマ監査を例に、個別の内部監査の実施方法に触れていきます。