見出し画像

【世界の内部監査の潮流】第4回:本当に必要なキーコントロールとは?

HIRO | 世界最先端の内部監査/AI情報を米国から毎日配信⚡️

こんにちは、HIROです私は現在、米国のシリコンバレーで「世界の内部監査のベストプラクティス」や「内部監査における生成AI活用」の研究とコンサルティングに取り組んでいます。このシリーズでは、日本の内部監査人が普段触れる機会の少ない「世界の内部監査」に関する最新情報を、迅速かつ分かりやすくお届けします。特に、アメリカの内部監査はその進化が日本より10年以上先を行くと言われており、非常に参考になるケースが多いと感じています。
今回は、以前紹介した「2024年の内部監査のトップ10ブログ記事」の中から、第3位のブログ記事をピックアップして、「本当に重要なコントロールとは?」というテーマについてお伝えしたいと思います。この記事を読むことで、コントロールの優先順位を正しく見極めるための考え方を学ぶことができます。

1. 「キーコントロール」を正しく理解する

1.1. 元となった記事の紹介

今回の記事は、Hillel Judasin氏が執筆した「On the Frontlines: Are You Testing Key Controls?」を参考にしています。このブログ記事では、内部監査の現場で頻繁に使われる「キーコントロール」という言葉に対する誤解と、その重要性について深掘りしています。

Judasin氏は、「全てのコントロールをキーコントロールとして扱うと、内部監査の信頼性が失われる」と指摘しています。この記事では、コントロールの優先順位を適切に設定し、リソースを有効活用するための具体的な手法が示されています。

1.2. キーコントロールとは何か?

キーコントロールとは、プロセスの中で特に重要な役割を果たし、リスク軽減において最も効果的なコントロールを指します。すべてのコントロールをキーコントロールと見なすと、監査業務が非効率になり、重要なリスクを見逃す可能性が高まります。

たとえば、資金送金プロセスにおける最終確認や、ソフトウェア変更時の最終承認など、ミスが致命的な結果を招く可能性のあるプロセス直前のコントロールがキーコントロールに該当します。一方で、初期段階のタスクや補助的な確認作業は、キーコントロールではない場合があります。

2. キーコントロールを特定するための考え方

2.1. 例:送金とソフトウェア変更のプロセス

Judasin氏は、送金プロセスとソフトウェア変更プロセスの例を挙げています。この2つのプロセスは、一見異なるように見えますが、どちらも「最終的なコントロール」がリスク軽減の要となっています。

たとえば、送金プロセスでは、最終確認が完了するまで資金が送られることはありません。同様に、ソフトウェア変更プロセスでは、最終承認がなければ新しいバージョンが適用されません。このように、「最終段階でのコントロール」がキーコントロールとして特定されることが多いのです。

2.2. キーコントロールの誤認によるリスク

すべてのコントロールをキーコントロールとして扱うと、次のようなリスクが生じます:

  • 非効率なリソース配分: 重要でないコントロールに過剰なリソースを割くことで、本当に重要なリスクへの対応が遅れる。

  • 信頼性の低下: 過剰に警告を発することで、監査部門の信頼性が低下し、本当に重要な指摘が軽視される可能性がある。

特に、コントロールの失敗を過度に深刻視すると、関係者が反発する可能性があります。たとえば、「このコントロールが機能しなければ重大な財務損失が発生する」と過大評価した場合、他の補完的なコントロールによるリスク軽減が見過ごされるかもしれません。

3. 日本の監査現場での活用方法

3.1. プロセス全体を俯瞰する視点を持つ

日本の監査現場では、詳細なチェックリストや全数確認が重視されがちです。しかし、それが必ずしも効率的であるとは限りません。キーコントロールを特定するためには、プロセス全体を俯瞰する視点が必要です。

たとえば、製造業における品質管理プロセスでは、すべての検査項目を重点的に監査するのではなく、不良品の出荷を防ぐ最終確認に重点を置くことが重要です。このように、プロセス全体のリスク構造を理解することで、監査の優先順位を正しく設定できます。

3.2. 監査の信頼性を高めるための工夫

監査の信頼性を高めるためには、関係者と透明性のあるコミュニケーションを取ることが重要です。キーコントロールを特定した理由や、それ以外のコントロールの位置づけを明確に伝えることで、関係者の納得を得ることができます。

たとえば、「このプロセスでは最終確認がキーコントロールとして機能しており、他のコントロールは補完的な役割を果たしています」と説明することで、監査結果への理解が深まります。

4. 効率的な監査を実現するために

4.1. テクノロジーの活用

キーコントロールを特定する作業を効率化するためには、テクノロジーの活用が有効です。データ分析ツールを使用すれば、リスクの高い領域を迅速に特定でき、リソースを集中させることが可能です。また、プロセスマッピングツールを使用することで、各コントロールの役割を可視化しやすくなります。

4.2. 継続的な改善

キーコントロールの特定や監査手法の改善は、一度で完了するものではありません。継続的な見直しと改善を行うことで、監査の質を向上させることができます。たとえば、監査チームで定期的なレビューを行い、最新のリスク情報や技術動向を共有することが効果的です。

この記事は内部監査業界の発展のために、無料で記事を投稿しているので、「いいね」や「フォロー」で応援いただけると励みになります。それでは、次回の記事でお会いしましょう!

引用元:
Hillel Judasin, "On the Frontlines: Are You Testing Key Controls?" Voices. Internal Auditor, March 2024.
https://internalauditor.theiia.org/en/voices/2024/march/on-the-frontlines-are-you-testing-key-controls/

いいなと思ったら応援しよう!