内部監査の真に意義ある活動を確実とする

Risk Oversight vol.68
取締役会のリスク監視
内部監査の真に意義ある活動を確実とする
プロティビティの調査結果によると、変化は今日最も大きな関心
内部監査は取締役会に適切な洞察を提供しているでしょう
事であり、内部監査も変化についていかなければなりません。
か。取締役会は、内部監査が取締役会のニーズと期待に応
この目的を達成するために、プロティビティの考える「次世代の
えられるよう適切なリソースを確保するように、自らができる
内部監査人」について考察します。考察を行うにあたっては、
ことを行っているでしょうか。以下では、取締役会が内部監
内部監査の成熟度は業種によって異なるため、以下で挙げる
査から受ける価値を最大化する方法について考察します。
特性の中には、金融サービスなどの特定の業種においては既
に一般的なものが含まれているかもしれません。
内部監査は、専門的な職業として、
リスクマネジメント、
コントロー
内部監査が価値を提供する10 の方法
ル、
およびガバナンス・プロセスの有効性を評価するための体系
1. リスクの検証や監査計画立案の際に「(経営)戦
的かつ規律あるアプローチを通じて、付加価値を生み出し、組
略」
を考慮する
織の業務を改善することを長年の目的としてきました。残念な
2. 新たなリスクに関して早期に警告を発する
ことに、
多くの内部監査部門はこの目的を達成できずにいます。
3. 業務やコンプライアンス、非財務報告(財務報告以
主要な考慮事項
外の事項)
に視野を広げる
4. リスクマネジメントが機能するようにディフェンスライ
最近のプロティビティの調査報告書によると、内部監査担当役
ンを強化する
員と内部監査部門は、
より高い先見性、変化への志向性、およ
び適応性を備えるべく努力しています。 内部監査部門は、絶
5. 意思決定のための情報の質を改善する
え間なく生じる新たな課題を予期し、それらに対応しなければ
6. リスク文化の弱体化の兆候を監視する
1
ならないため、そのような行動が大いに求められています。そ
7. テクノロジを活用する
のような課題は、新たなテクノロジや新たな監査要件・基準か
8. 自動コントロールの活用を含めた内部統制の仕組
ら始まり、急速に変化する事業環境にまで至ります。これらの
みを改善する
課題の多くは組織に不確実でかつ全貌の見えないリスクを生
9. コンプライアンス管理を改善、合理化するためのア
じさせています。
ドバイスを提供する
10.常に不正リスクを警戒する
※ 1 内部監査部門の優先事項に関する調査報告書「Assessing the Top Priorities
of Internal Audit Functions: 2014 Internal Audit Capabilities and Needs
Survey」は、
以下のサイトから入手可能です:www.protiviti.com
© 2015 Protiviti Inc. All rights reserved.
複写禁、転載禁
1
Risk Oversight vol.68 取締役会のリスク監視
次世代の内部監査人とは、事業部門、業務プロセス、
および共
3. 業務やコンプライアンス、非財務報告(財務報告以外の
通職能に対して客観的な立場にあり、取締役会に対する直接
事項)に視野を広げる─長期間にわたってステークホル
的な報告ラインを有する内部監査担当役員のことです。内部
ダーに提供される持続的価値を明示する観点からは、内
監査担当役員は、企業の事業目的や戦略を理解しており、重
部監査が財務統制のみに焦点を当てることは十分ではあ
要な事業目標の達成に対して障害を作り出すリスクを認識でき
りません。次世代の内部監査人は、ITセキュリティやプ
るため、
より多くの価値を取締役会に提供することができます。
ライバシー、事業継続や危機管理、サプライチェーン管理、
経費、人材管理、コンプライアンス管理を含めた、企業の
さらに、次世代の内部監査人は、組織の重要な業務、コンプラ
業務の重要な側面にも焦点を当てます。
イアンス、および報告リスクに対応するガバナンス、
リスクマネジ
4. リスクマネジメントが機能するようにディフェンスラインを
メント、および内部統制プロセスの整備状況と運用状況の有
効性について評価し、疑義を投げかける権限を有しています。
強化する─内部監査が実行可能なディフェンスラインとし
次世代の内部監査人はまた、それらのプロセスの強化につい
て機能するために、次世代の内部監査人は、組織のリス
て推奨を行い、未対応事項を適切な関係者に通知することに
ク選好に従ってリスクを管理し得る水準にまで確実に低
より、
価値を作り出します。
減する上で必要な規律を組織がどのように確立している
かについて評価します。次世代の内部監査人はまた、主
これらの責任と独立的な地位を有することで、次世代の内部
たるリスクオーナーと、独立的な立場にあるリスクマネジメ
監査人は組織の成功に最も重要な活動の十分性と有効性
ントおよびコンプライアンス部門が、別個のディフェンスライ
を確保する上で、建設的な変革の推進者として、また価値あ
ンとしてそれぞれの責務を果たしているかどうかについて
る相談役として、取締役会を助ける立場にあります。例として、
判断します。これらの重点領域は、上申プロセスの有効
次世代の内部監査人が価値をもたらす 10の方法を以下に示
性に焦点を当てることと相まって、内部監査計画の焦点を
します。
定める上での背景を提供します。
1. リスクの検証や監査計画立案の際に「(経営)戦略」を考
5. 意思決定のための情報の質を改善する─次世代の内
慮する─内部監査人は伝統的に業務、コンプライアンス、
部監査人は、組織が有する業績測定指標、モニタリング
および報告に関する事項に焦点を当ててきましたが、次
の仕組み、
および分析ツールや技法について、
それらの信
世代の内部監査人はリスク評価と監査計画の策定にあ
頼性を評価します。それは、破壊的なリスク事象の発生
たってより戦略的に思考します。例えば、次世代の内部
予兆を捉えるための一連の先行指標や遅行指標や傾向
監査人は、戦略を成功裏に実行する上での障害を特定・
指標が整備されていることを確かめるためです。次世代
予測し、組織の最上層部におけるリスク選好に関する対
の内部監査人が組織全般にわたるリスク情報の改善に
話を促進し、変化し続ける状況を反映するために会社の
重点を置くことにより、事業の意思決定において用いられ
リスクプロファイルを更新し、そして新たなテクノロジの趨
る情報の改善につながり得ます。
勢が会社にどのような影響を与えているかを理解します。
6. リスク文化の弱体化の兆候を監視する─次世代の内部
2. 新たなリスクに関して早期に警告を発する─リスク評価
監査人は、
リスク文化の弱体化は有効なリスク管理の持
を定期的に更新しなければならないことはあまねく受け入
続に対する手ごわい障害となることを理解しています。こ
れられていますが、次世代の内部監査人の視線は新たな
のため、次世代の内部監査人は、上級経営者や取締役
リスクの適時の認識に向けられています。例えば、現行
会と協力し、望ましいリスク文化との隔たりが存在するか、
の想定とは反対の立場から分析を行うことにより、会社の
それらの隔たりを是正するために組織の改革が必要であ
ビジネスモデルに破壊的な影響を与える可能性のある戦
るか、そしてそれらの変革を実行するための具体的な方
略リスクやシナリオを識別することができます。
策が必要であるかを確認します。
© 2015 Protiviti Inc. All rights reserved.
複写禁、転載禁
2
Risk Oversight vol.68 取締役会のリスク監視
7. テクノロジを活用する─テクノロジは、特定の内部統制の
10. 常に不正リスクを警戒する─次世代の内部監査人は、
継続的モニタリングを自動化し、課題への対応状況を把
包括的な全社的不正・汚職リスク評価ならびに組織の不
握し、必要に合致したダッシュボードと例外事項の報告機
正・汚職防止プログラムの強固さの評価の重要性を理解
能を整備する上での助けとなります。テクノロジを活用す
しています。例えば、次世代の内部監査人は、データマ
ることにより、次世代の内部監査人は、影響度の高い領域
イニングや分析手法を採用し、取引データを分析し、内部
との関係を構築し、その領域に関する専門知識を備える
統制の運用状況の有効性について洞察を得、更なる調
ことに、
より多くの時間を費やすことができます。テクノロジ
査が必要な不正の可能性のある活動のパターンやその
に焦点を当てた監査アプローチは、より少ない労力でより
他の兆候を識別します。
広い範囲をカバーし、より多くの分析的洞察を提供し、早
期警戒機能を備えることにより、次世代の内部監査人が
取締役は、自社の内部監査担当役員が上記の価値ある事柄
戦略的課題や重要な全社的リスクへ重点を移す上での
の全てについて貢献することを期待していないかもしれません
助けとなります。
が、内部監査が重要なことを行っているかを定期的に評価す
べきです。次世代の内部監査人というビジョンを受け入れる
8. 自動コントロールの活用を含めた内部統制の仕組みを改
内部監査担当役員は、包括的にリスクに焦点を当て、先見的
善する─次世代の内部監査人はコントロールの仕組みを
で変化を志向する適応性に富んだ行動を取ることにより、上級
評価し、
コントロールを取り除き、単純化し、焦点を定めたも
経営者と取締役会に対して内部監査が貢献する価値をより
のにし、
自動化する機会を特定します。例えば、次世代の
明確に示すことができるものと、
プロティビティは考えています。
監査人は、自動コントロールがマニュアルコントロールに比
べてコントロールの仕組みの透明性を改善し、
リスクオー
取締役会は、自社の内部監査担当役員に対する期待を明示
ナーと独立的なリスク管理部門が業務プロセスと重要な
し、その期待に応えるために必要なリソースが備わった組織に
コントロールがどのように機能しているかについてより多く
おける地位を内部監査担当役員に確保することにより、次世
の洞察を得られると認識しています。プロティビティが行っ
代の内部監査人への移行を促進することができます。
た調査によると、広範なプロセスとコントロールの自動化を
取締役会の考慮事項
計画している組織は2014 年の3 倍近くに増加しているこ
以下は、事業体の活動に内在するリスクに関連して取締役会
とから、
これは重要な点であると言えます。
2
が考慮すべき事項です。
9. コンプライアンス管理を改善、合理化するためのアドバイ
スを提供する─次世代の内部監査人は、多くの場合に
●
組織が中核的な業務プロセスの改善に取り組むのと同様
内部監査は、業務、コンプライアンス、および非財務報告に
関する事項に十分な注意を払っているか。
の熱意を持って、コンプライアンス管理の品質に焦点を当
てます。例えば、
次世代の内部監査人は、
より合理化され、
●
内部監査は、戦略上の不確実性や、特にリスク受容との関
端から端までを視野に入れたコンプライアンス管理を構築
係における組織の意思決定プロセス、適切なリスクを適切
するために、
コンプライアンス管理部門と協働します。この
な関係者が適切な水準で受容しているかについての洞察
結果として、
コントロール要件の設定、
管理活動とコントロー
を提供できているか。
ル活動の整合性確保、コンプライアンスやその他のリスク
に関する報告の合理化と統合、および複雑性と重複の削
●
減についての組織全体にわたる連携が改善されます。
を行い、環境や会社の業務の変化を踏まえた見直しの必
要性について検討を行っているか。
※ 2 SOX 法対応に関する調査報告書「SOX Compliance – Changes Abound Amid
Drive for Stability and Long-Term Value: Highlights from Protiviti’s
2015 Sarbanes-Oxley Compliance Survey」は、以下のサイトから入手可能です:
www.protiviti.com
© 2015 Protiviti Inc. All rights reserved.
複写禁、転載禁
取締役会は定期的に、内部監査の活動範囲について評価
3
Risk Oversight vol.68 取締役会のリスク監視
プロティビティの支援
プロティビティは包括的な内部監査サービスにおけるグローバ
ルリーダーです。プロティビティは、上場、非上場を問わず、ほ
ぼあらゆる規模の会社において、監査担当役員、経営者、およ
び監査委員会と協働し、内部監査に関する活動を支援してい
ます。プロティビティの支援には、内部監査活動を全面的に
受託し、その立ち上げと運営を行うことや、既存の内部監査部
門と協働し、不足しているスタッフやスキルを補完することが含
まれます。プロティビティが提供するサービスは、我々のクライ
アントが本資料で考察した次世代の内部監査人というビジョン
への移行を支援します。
プロティビティについて
プロティビティ
(Protiviti)は、
リスクコンサルティングサービスと内部監査サービスを提供するグローバルコン
サルティングファームです。北米、
日本を含むアジア太平洋、
ヨーロッパ、中南米、中近東、
アフリカにおいて、
ガバナンス・リスク・コントロール・モニタリング、オペレーション、テクノロジ、経理・財務におけるクライアントの
皆様の課題解決を支援します。プロティビティのプロフェッショナルは、経験に裏付けられた高いコンピ
テンシーを有し、企業が抱えるさまざまな経営課題に対して、独自のアプローチとソリューションを提供します。
© 2015 Protiviti Inc. All rights reserved.
複写禁、転載禁
4