今回は内部監査の「品質評価」についてご説明します。
「3 Lines Model」では、3rd Lineとなる内部監査の後ろに内部監査の業務遂行状況をモニタリングする者が設計されていないため、内部監査自身の行った活動が適切に行われたものであることを、自己評価プロセスを経て自己証明するしかありません。そのため「品質評価」は「3 Lines Model」における本当の意味での最後の砦と位置づけ重視しています。
なお、「品質評価」は、「内部評価」(「継続的モニタリング」「定期的(自己)評価」)、「外部評価」で構成しますが、品質をしっかりと捉えた活動とするため、「内部評価」は「内部品質評価」、「外部評価」は「外部品質評価」として記載します。また「定期的(自己)評価」は、内部監査部門での実施が一般的だと思いますので、「定期的自己評価」を記載します。
内部品質評価_品質の定義
「品質」という言葉を明示しているのは、私の経験上、内部監査の「品質」を定義している会社が少なく、「内部監査品質評価ガイド」にあるチェックリストの項目そのままでギャップを洗い出し、「基準にあるから」ということを理由にギャップを解消しようとしている会社が多いように感じ、それについて疑問を持っているからです。
私は、内部監査の「品質」は「保証力」と「速報性」とのトレードオフを整理し、必要な場面で必要な内部監査を提供できているかを定義とし、評価の際の目線としています。基準に定められていることでも、「品質」に寄与しない項目については「Explain」を選択し、ギャップを解消しない方針を採っています。例えば「速報性」を求められている局面において、比較的冗長な内部監査プロセスを踏んでいては、時機を失い内部監査の目的を達成できないとも考えています。
洗い出されたギャップについて、どう対処するかということは、次年度の内部監査方針の基礎となりますので、しっかりと「品質」を定義し、品質評価活動における評価基準に定め、その点から課題を整理することをお勧めします。
内部品質評価_継続的モニタリング
基本的には小規模の内部監査体制であるため、以下の内部監査プロセスにおいて内部監査人同士でクロスチェックを行い、記録を残すこととしています。なお、内部監査人が開業準備等で一部業務に関与したこともあるため、客観性を維持するため、一部外部専門家のレビューを受けることとしています。ここでの課題は個人の自己研鑽上の学習領域として整理し、具体的にはCPE(「継続的専門能力開発制度」における単位)の取得等で改善を促すことを考えています(今後整備予定の領域です)。
個別リスクアセスメント
内部監査対象となる主たる業務の洗い出しに漏れがないか、リスクの評価の評価ラベルに違和感はないか 等
個別内部監査計画
時機やテーマに応じた内部監査の種類を選択しているか、特に検証の基準となるガイドライン等の設定が妥当か、評価ラベルに応じた(リスクベースの)プログラムとなっているか 等
サンプリング
母集団の切り出しが適切に行われているか、評価ラベルに応じた信頼水準と許容逸脱率を選択しているか、サンプリングの抽出がランダムとなっているか、必要なサンプル数を充足しているか 等
内部監査報告書
報告対象者に見合った情報量となっているか、検証領域はリスクベースでカバーできているか、内部監査の結論は調書等で裏付けられているか、必要な開示事項について記載があるか(客観性等の侵害の有無)、作成は効率的か 等
フォローアップ
フォローアップ期日を管理しているか、完了とする場合の判断は妥当か、改善後の残余リスクは十分に低減され許容範囲内か、結論は資料等に裏付けられているか 等
内部品質評価_定期的自己評価
次年度の内部監査方針を定め、高度化の領域を明らかにすべく、一年を通じた内部監査活動を振り返ります。ここでの課題は内部監査の枠組みの見直しにつながっており、最終的に規程・マニュアル等に記載されることで高度化が達成されることになると考えます。
私の場合「内部監査の品質評価マニュアル」(日本内部監査協会[1])にあるツールを基に、経営陣に内部監査への期待を確認し、内部監査人ごとに自己評価を行いました。ただし、ここでのツールをそのまま使うことはせず、予め当社の「品質」に貢献すると考えられる項目を取捨選択して実施しました。繰り返しですが、すべてに適合した先の内部監査態勢が、貴社の内部監査態勢として適したものであるかという点は、今一度整理いただきたいと考えています。
[1] 一般社団法人日本内部監査協会では、「内部監査の品質評価マニュアル」「内部監査品質評価ガイド」等内部監査の品質評価に活用できるツールを提示してくれています。
外部品質評価
規制当局は、管轄するリスクの複雑化を前に、特定のテーマについて業界内でのプラクティス比較を行い、その中からどのくらいの水準を確保すべきかを、公表していている文書[2]のなかで明らかにし、高度化を求める領域における模範的な取り組みをベストプラクティスとして示しています。このような枠組みを「水平的レビュー」といいますが、この枠組みは内部監査にも適用されています。
このような規制環境下では、当社と、同業他社の内部監査態勢とを比較のうえ、当社の立ち位置を確認することが重要であると考えています。業界の中で、すべての内部監査のプロセスについてプラクティスを共有する場があれば別ですが、そのような場がない場合、外部の品質評価を活用することは非常に重要であると考えています。
「外部品質評価」は5年に1度といわれていますが、弊社の場合は、開業直後ということもあり、一定の態勢整備を行った後に実施すると今後の高度化の方針等整理できると考え、積極的な活用を検討しています。
[2] 例えば「金融機関の内部監査の高度化に向けた現状と課題」(2019年6月金融庁)
総括
「内部品質評価」として実施した「継続的モニタリング」「定期的自己評価」の結果を「総括」に取りまとめ、社長および取締役会に報告しています。本来は課題となった点につき、ギャップを解消するという流れになるかと思いますが、先に述べたように「品質」に寄与するかどうかを予め検討し、ギャップを解消するかどうかを検討しその結果を、次年度の方針として示しています。なお、「総括」には内部監査の実績にとどまらず、内部監査のリソース分析(「量」となる監査対象領域の広さと「質」に近い検証に必要な専門性)、予算の状況、等すべての内部監査活動の成果を記載しています。
まとめ
内部監査は、組織体に係る法・規制によっては、一定の基準に準拠した枠組みの整備が求められます。
一方で、引き続き企業の「私的」活動という面も有しています。組織体の規模・特性によっては内部監査基準に準拠することをも有効な場合があると考えますが、規模の小さい組織体やリスクの動きの速い業界にあっては、場合によってその基準への準拠が足かせになる場合もあると考えています。組織体の目標に合わせ、期待されている内部監査態勢がどのようなものかを、一度立ち止まって整理してはいかがでしょうか。
本コラムが、貴社に最適な内部監査態勢の整備の一助になれば幸いです。