【世界一流の内部監査】第26回:年間監査計画を廃止せよとは?
こんにちは、HIROです。私は現在、米国のシリコンバレーで「世界の内部監査のベストプラクティス」や「内部監査における生成AI活用」の研究とコンサルティングに取り組んでいます。このシリーズでは、日本の内部監査人が普段触れる機会の少ない「世界の内部監査」に関する最新情報を、迅速かつ分かりやすくお届けします。特に、アメリカの内部監査はその進化が日本より10年以上先を行くと言われており、非常に参考になるケースが多いと感じています。
今回は、先日紹介したIA 360°の2024年トップ5の記事の内、2位の「年次監査計画(Annual Audit Plan)の見直し」についてお伝えしたいと思います。この記事を読むことで、年次監査計画を固定的に運用するリスクと、より柔軟なアプローチへの移行がなぜ求められるのかについて理解することができます。
1. 「年次監査計画を捨てるべき」と言われる背景
1.1. 記事が指摘する「変化に追いつけない年次監査」の問題
米国の内部監査専門サイト「Internal Audit 360°」が公開した記事“It’s Time to Ditch the Annual Audit Plan”によると、多くの企業で当たり前のように実施されている「年に一度のリスクアセスメントとそれを基にした監査計画策定」が、現代のスピード感に合わなくなってきていると警鐘を鳴らしています。
理由は明快です。企業を取り巻くリスク環境は想像以上に速いペースで変化しています。たとえば、今年の初めにリスクが小さいと思われていた領域が、わずか数ヶ月後には業界を揺るがすほどの新たなリスクに発展することは珍しくありません。COVID-19のパンデミックや地政学的リスク、急激なIT変化などを例に挙げるまでもなく、リスクは“定点観測”では捉えきれない時代に突入しているのです。
しかし、多くの内部監査部門は、まだ「この1年の監査計画はこうです」と決めたら、よほどの理由がない限り変更しない運用になりがち。これが結果として、「変化に追随できず、形式的なチェックリスト消化に終わってしまう」リスクを高めています。
1.2. 年次監査計画を維持する背景とその限界
もちろん、一年単位で計画を立てること自体には意味がないわけではありません。実際、次年度の予算やリソースを確保するためには、ある程度の監査計画案が必要でしょう。また、監査委員会や経営陣と計画を事前にすり合わせるプロセスは、監査部門が組織の方針や優先度を知るうえで有益です。
ただし、その「年次計画」をあまりにも神聖視しすぎてしまい、経営環境の変化があっても微調整すらままならない状況だと、監査の付加価値を大幅に損なう可能性が高くなる。たとえば、年初に提示した監査対象が半年後には優先度の低いものになっていても、「計画に入れてしまったから」といってそのまま着手し、肝心の新規リスクを見落としてしまうケースが考えられます。
2. 日本の内部監査人への示唆:変化に対応するための具体策
2.1. 「計画ありき」ではなく「状況変化」重視のマインドセット
日本企業でも、事業計画や予算編成はどうしても年度単位になることが多いですよね。それに合わせて監査計画も立てるというのは自然な流れかもしれません。しかし、ビジネスの世界ではスピード感が一段と増し、例えば四半期どころか、月単位、週単位でリスクプロファイルが変わる時代でもあります。
日本の内部監査部門が、この現実にどう対応できるか。まずは「年次計画はあくまで起点であって、絶対ではない」というマインドセットをチーム全体で共有することが重要です。上層部が「計画から外れるなんてありえない」と考えているなら、その文化を少しずつ変えていかなければなりません。
実践ポイント
経営陣や監査委員会との対話を増やす:リスク状況の変化を定期的に共有し、必要に応じた計画の修正を合意する。
四半期、あるいは半年単位で見直しを行う:年初の一括策定ではなく、少なくとも年数回は監査計画をアップデートできる仕組みを作る。
“完遂率”より“貢献度”を評価指標に:監査部門の業績評価が「年次計画を100%消化したかどうか」で決まるようでは、柔軟な対応は難しい。
2.2. 「Continuous Risk Assessment」を導入する
記事では、リスクアセスメントを「年1回のイベント」にするのではなく、常に最新のリスク情報を取り入れる“Continuous Risk Assessment(継続的リスク評価)”の考え方が示唆されています。これは、日々変化する事業環境や市場動向をウォッチし、必要に応じて監査の優先度を再設定する仕組みです。
日本企業でこれを実践する際に重要なのは、「情報の流れを整備する」こと。たとえば、以下のような取組が考えられます。
実践ポイント
経営会議やリスク管理会議へのオブザーブ参加:新規プロジェクトや大きなリスクイベントをいち早くキャッチできる。
社内SNSやイントラネットでの情報共有:広く社員からリスク情報を集める仕組みを作り、内部監査が早期に反応できるようにする。
データ分析ツールの活用:売上や在庫、コールセンター問い合わせなど大量データをリアルタイムにモニターして、異常値を検知する。
2.3. コソーシングの活用と柔軟なリソース配分
リスクの出現に合わせて監査対象を切り替えたくても、専門スキルやマンパワーが不足して実行に移せないケースも多いでしょう。そこで、記事でも指摘されているように、コソーシングの活用や外部専門家との関係構築がカギになります。
日本の内部監査ではまだ「外部リソースを使うのは恥ずかしい」という風潮があるかもしれません。しかし、複雑化するリスクに迅速に対応するためには、内部リソースだけに依存するのは限界があるのも事実です。
実践ポイント
複数の外部パートナーと提携関係を作る:ITセキュリティに強い会社、コンプライアンスに強い会社など、それぞれの分野で最適なパートナーを確保。
ピンポイントのスポット契約を可能にする予算枠:年度初めに大きく決め打ちするのではなく、必要に応じて外部を活用できる柔軟な予算の取り方を検討する。
プロジェクト管理能力の強化:複数のコソーシング先を統括しながら、モジュール式に監査を組み立てる。内部監査人はディレクター的役割を担う。
3. 新たなアプローチへの移行方法:小さな一歩から始めよう
3.1. いきなり「年間計画廃止」はハードルが高い
記事のタイトルは挑発的に「It’s Time to Ditch the Annual Audit Plan(年次監査計画を捨てるときが来た)」となっていますが、現実的にはいきなり全面的に廃止するのは難しいことも多いでしょう。日本企業の場合、監査計画は経営企画や予算とも密接に結びついていますし、監査委員会も年単位のスケジュールを好む傾向があります。
段階的アプローチの例
年次計画を策定しつつも“ローリング形式”を導入:まずは前半6ヶ月を詳細に計画し、後半6ヶ月は「仮」の計画として頻繁に見直す方式を試みる。
監査委員会や経営陣と合意形成:計画変更の可能性があることを前提として共有し、「随時リスク報告」を行うことで必要性を納得してもらう。
監査実績の定量・定性評価を確立:フレキシブルに計画を変えた結果、どんな成果や付加価値が得られたかを可視化して示し、社内理解を深める。
3.2. 監査委員会の理解と協力を得る
日本では特に、監査委員会(あるいは監査役会)が「最初に提示された年次計画の完遂率」を重視する傾向が根強く残っているケースがあります。そこを変えていくには、監査委員会への説明やコミュニケーションが不可欠です。
実践ポイント
定期報告でリスク変化を提示:四半期報告などの場で、「当初想定と比べてこうリスクが変わったので計画の修正が必要」と根拠を示す。
経営層への“意見具申”の活用:内部監査として、ただ監査だけでなく“リスクマネジメントのパートナー”であることをアピールし、計画変更へのサポートを引き出す。
成功事例の積み重ね:フレキシブルに計画を変更した結果、重大リスクを早期に発見できたなどの成果を具体例として示すことで、監査委員会の安心感と理解を得る。
4. 日本の内部監査が得られるメリットと今後の方向性
4.1. 社内での評価向上とリスク対応力の強化
固定的な年次計画を捨て、変化に合わせて監査対象を見直すアプローチは、企業全体のリスク対応力を格段に高めます。経営陣からすれば、「今まさにホットなリスクを監査してほしい」という要望に応えられる監査部門は頼もしい存在となるでしょう。これにより、内部監査の“存在意義”や“重要度”を社内に印象づけることができます。
また、柔軟な運用ができれば、リソースを効率よく配分できるため、監査部門のストレスや無駄な作業も減ります。従来のように年末に「計画項目を無理やり消化するための駆け込み監査」をする必要もなくなるのです。
4.2. 変化への対応が当たり前となる未来へ
アメリカなどでは、すでにローリング方式の監査計画や継続的リスク評価を実践している先進企業が増えつつあります。日本でも、世界競争を勝ち抜くためには、内部監査が“変化に素早く反応できる”組織へと移行することが求められるでしょう。
この変化は、一朝一夕にできるものではありません。しかし、まずは少しでも「年間計画の固定観念」を解きほぐすところから始めるだけでも、組織に新しい風を吹き込むきっかけになるはずです。デジタルトランスフォーメーションが叫ばれる今こそ、内部監査も自らのアプローチを革新する絶好のタイミングとも言えます。
この記事は内部監査業界の発展のために、無料で記事を投稿しているので、「いいね」や「フォロー」で応援いただけると励みになります。それでは、次回の記事でお会いしましょう!
(引用元:
“It’s Time to Ditch the Annual Audit Plan,” Internal Audit 360°.
https://internalaudit360.com/its-time-to-ditch-the-annual-audit-plan/ )