【世界最先端の内部監査を学ぶ】#44:監査委員会と内部監査の連携を維持する方法とは?
こんにちは、HIROです。私は現在、米国のシリコンバレーで「世界の内部監査のベストプラクティス」や「内部監査における生成AI活用」の研究とコンサルティングに取り組んでいます。
このシリーズでは、日本の内部監査人が普段触れる機会の少ない「世界の内部監査」に関する最新情報を、迅速かつ分かりやすくお届けします。
特に、アメリカの内部監査はその進化が日本より10年以上先を行くと言われており、非常に参考になるケースが多いと感じています。
今回は、「監査委員会と内部監査の連携を維持する方法」についてお伝えしたいと思います。この記事を読むことで、監査委員会(Audit Committee)の優先事項や、内部監査との連携強化に必要なポイントについて理解することができます。
1. 監査委員会の役割と優先事項が変化する2025年の展望
1.1. 変化の激しいリスク環境で何が求められるのか
近年、地政学リスクやサプライチェーンの混乱、テクノロジーの急速な進歩など、多様なリスクが企業の経営を大きく揺さぶっています。こうした状況下で、企業統治(コーポレートガバナンス)の要として、監査委員会が担う役割はますます重みを増しています。
BDOの「2024年ボード調査」によれば、取締役が最も時間と労力を割くガバナンスプロセスのうち31%が「エンタープライズリスクマネジメント(ERM)」に関連するとされています。しかも、規制当局(例:米SEC)や投資家が監査委員会に期待する視点は、財務報告だけにとどまりません。戦略的リスクやオペレーショナルリスク、レピュテーションリスクまで含めた幅広い視野が求められています。
1.2. ERM(エンタープライズリスクマネジメント)と監査委員会
ある調査では、「ERMの最終責任を監査委員会が負う」と回答した企業が47%あり、15%がリスク委員会、35%が取締役会全体と回答しています。企業によって割り当てはさまざまですが、多くの場合、監査委員会には財務報告リスクだけでなく、その他の重要リスクにも目を配る必要性が生じるのです。
「全社的リスク」を見極めるには、会計知識や内部統制の理解だけでなく、自社の業界特有のリスクやサイバー・ITリスク、規制リスクにもアンテナを張る必要があります。こうした複雑なリスクを統合管理し、必要に応じて優先度を判断しながら、経営陣に助言しリスク許容度を設定することが監査委員会の重要な使命と言えるでしょう。
1.3. 監査委員会の構成と専門性
監査委員会のメンバーは通常、「財務・会計のエキスパート」が中心となりますが、昨今ではサイバーセキュリティやIT、さらにはESGの知識を持ったメンバーが必要ではないかという議論が高まっています。たとえばサイバーリスクの監督責任が監査委員会に集約される場合、純粋に財務畑の人だけでは十分な議論ができない可能性があります。
一方で、ボードとしては「専門家を増やすより、各メンバーが幅広く学んで総合力を上げる」方向性も考えられます。いずれにしても、急増するリスクやテクノロジーにどう対応するか、監査委員会自身も学習を継続し、必要に応じて外部専門家を招くなど柔軟な態勢をとることが求められます。
2. 日本の内部監査人が行うべき、監査委員会との連携強化策
2.1. ERMの枠組みを共有し、リスクコミュニケーションを円滑化
監査委員会とスムーズな連携を図るには、まず「リスクをどのように評価し、優先順位をつけ、対応策を検討するか」という全社的リスクマネジメント(ERM)の枠組みをお互いに共通認識として持つことが重要です。
たとえば、内部監査が「○○リスクに関する監査結果」を報告する際に、単なる事実の列挙ではなく、「ERM全体の中でこのリスクがどの程度重要なのか」「既存のリスクマトリクスやヒートマップでどの位置にあるのか」といった視点を加えると、監査委員会の理解が格段に進みやすくなります。さらに、リスクの定量化(財務インパクトや発生確率など)ができれば、経営判断に結びつけやすい情報を提供できるでしょう。
2.2. 「毎月」「四半期」「半期」など、議論の頻度を明確化
前述の調査では、49%の取締役会が「毎月ERMを議論している」というデータがあり、四半期や半期に1度という企業も多く見られます。日本企業では「年1回のリスク報告」程度で済ませているケースもありますが、変化のスピードが速い現在、年1回では時代遅れとなる可能性が高いです。
内部監査としても、監査委員会と緊密に連携してリスク検討を行うには、定期的なミーティングや報告サイクルを設定することが望ましいでしょう。たとえば、経営会議のタイミングに合わせて監査委員会との打ち合わせを入れるなど、経営トップとの意思疎通を途切れさせないスケジュール設計が効果的です。
2.3. 非財務リスクへの対応:サイバーセキュリティやテクノロジー
BDOの「2024 Board Survey」では、半数以上の取締役が「サイバー」「AIのような新興技術」を主要リスクと考えていると回答しています。これらは財務リスクだけではなく、企業の根幹を揺るがすオペレーショナルリスクでもあります。
日本の内部監査人は、監査委員会と協力して、IT部門や情報セキュリティ部門の取り組みを監査計画に組み込み、システム障害やサイバー攻撃への対応力を定期的に評価する必要があります。さらに、Generative AI(生成AI)の導入リスクやデータガバナンスに関する課題など、新技術に伴うリスクをいち早く把握し、監査委員会に対して提言を行うことが今後ますます重要になるでしょう。
2.4. 投資家・ステークホルダーの期待と監査委員会の“見える化”
アメリカをはじめ海外では、投資家や機関投資家が「監査委員会がきちんと仕事をしているか」を厳しくチェックし、対話を求める動きが強まっています。日本でもコーポレートガバナンス・コードの改訂やESG投資の流れを受け、監査委員会の活動がより透明化・説明責任を問われる方向に進んでいます。
内部監査としては、監査委員会が株主や投資家の前でスムーズに説明できるよう、レポートや資料に分かりやすい指標やエビデンスを盛り込み、リスク対策の進捗や改善効果を数字やグラフで示す工夫が大切です。これにより監査委員会が外部からの質問に対しても説得力をもって回答できるようサポートできるでしょう。
3. 内部監査と監査委員会の連携を深める具体策
3.1. 内部監査のリスクアセスメントと監査委員会の議題を連動
多くの企業で、内部監査部門がリスクアセスメントを実施し、年次の監査計画を立てる際に監査委員会と相談するプロセスはあります。しかし、その相談が形式的になってしまいがちです。
ここで「監査委員会の優先事項をしっかりとリスクアセスメントに反映し、同時に内部監査からの専門的見解も的確に伝える」ことが重要です。言い換えれば、双方向のコミュニケーションを重ね、「いま社内で起きているリスク」「監査委員会が気にしているリスク」「市場や業界で顕在化しつつある新たなリスク」を総合的に洗い出し、監査対象に落とし込むという形です。
3.2. 内部監査報告のフォーマットを工夫し、監査委員会のディスカッションを活性化
監査報告書を、ただの箇条書きの指摘事項リストにするのではなく、ディスカッションのきっかけを作るように構成するのも一案です。たとえば、
リスクインパクトと優先度をビジュアル化(ヒートマップ、ダッシュボードなど)
改善策の優先順位付けや必要な投資規模を明示
他社事例やベンチマークと比較することで具体的なイメージを提示
こうすることで、監査委員会のメンバーが「どこに注力すべきか」を直感的に理解しやすくなり、より深い議論につながります。
3.3. 内部監査人が果たす“ファシリテーター”役割
監査委員会と経営陣、現場の間には微妙なパワーバランスがあり、意見が衝突することも少なくありません。そこで内部監査部門が“公正なファシリテーター”として、両者のコミュニケーションを円滑化する役割を果たすことができます。
重大なリスクについて経営陣が説明する場面で、監査委員会が理解しやすい資料を準備する
現場の進捗や課題をリスクセンシティブにまとめ、監査委員会の視点で気になるポイントをあらかじめ潰しておく
必要に応じて外部専門家や第三者の意見を取り入れ、公平性と客観性を保つ
こうした調整によって、監査委員会がリスクと対応策を適切に検討しやすい環境を作り出すことが、内部監査部門の“隠れた”貢献とも言えるでしょう。
この記事は、私個人の専門家としての継続学習のため、また内部監査業界の発展のために投稿しています。「いいね」や「フォロー」で応援いただけると励みになります。
それでは、次回の記事でお会いしましょう!
引用元:
“Audit Committee Priorities for 2025,” Mondaq
https://www.mondaq.com/china/audit/1574360/audit-committee-priorities-for-2025