【読了】内部監査 現場の教科書
まえがき
内部監査業務の特徴
・監査対象業務は幅広い
・実務は会社ごとにまちまち
著者のキャリア
・東京大学経済学部
・日本長期信用銀行(現SBI新生銀行)
・朝日監査法人(現有限責任あずさ監査法人)
・住友スリーエム(現スリーエムジャパン):常勤監査役
・資生堂:内部監査部門
・電通:内部監査部門
本書の読み方
略
第1章 内部監査部門に配属されたら
1 「監査」もいろいろ、何をやっているのかをまず理解しよう
多くの場合、新任者に期待されていることは、その会社のやり方に従って、個別の監査報告書をきちんと作成できるようになること
ただし、内部監査の目的や手法は、実質的には、会社によって異なっている(内部監査の難しさ)
IIAが国際基準を出しているものの、強制力があるわけではない
①自社の内監業務を理解する
内監が担当してる業務の例(監査業務以外も含む):業務ごとに定常的なチームが設置されている場合もあれば、必要に応じて臨時的なチームが組織されることもある
・内部監査
・各部門に対する内部監査
・各子会社に対する内部監査
・テーマ監査
・情報システム監査
など
・内部統制報告制度対応(SOX経営者評価)
・認証を取得維持するための内部監査:ISOなど
・自社の監査役監査のサポート
・グループ会社の監査役監査(親会社の内監がグループ会社の監査役を担う)
②自社の内監組織を理解する
内監の組織例
・SOX対応チーム
・業務監査チーム
・IT監査チーム
③自社の監査対象を理解する
まずは、グループ会社を含めた組織構造を把握する
次に、グループ会社を含めた規程体系を把握する
特に以下の観点に留意する
・所管(監督、管理、oversight、rule-maker)と主管(主導、実行、lead、rule-player):改廃権限は誰が持つか?
・規程の適用範囲:カバーされていない業務はないか?(グループ全体、国内のみ、など)
規程の体系
・方針
・規程
・細則、基準
・要領、手順、マニュアル、ガイドライン
④自社の監査の方法を理解する
次に、これまでに実施されてきた内部監査を理解する
・内部監査規程を読む
・過去3年分の内部監査報告書と、実施時の記録一式を読む
⑤自社が重点対象にしている監査領域を理解する
内部監査の範囲は、本来は会社のグループ内全拠点の全業務である
理想的には、漏れなくリスク評価を行なって、高リスク領域に監査範囲を絞り込んでいくべき
しかし実務的には、様々な事情(多くの場合は内監部門の能力の限界)によって、監査の実施範囲には制約が生じ、監査対象外となる領域があったり、毎期機械的にリソースを投下している領域あったりすることが一般的
監査対象領域(拠点軸)
・親会社の管理部門
・親会社の営業部門
・親会社の製造部門
・親会社の研究開発部門
・国内の支社支店
・国内の子会社
・国外の拠点
典型的な内監部門の能力の限界
・知見に乏しい:特に海外拠点(地理的に遠く、言語の壁もある)
2 監査役監査や会計監査との違いを理解しよう
監査役監査
・監査対象は、取締役
・実施主体は、監査役等
・監査役(監査役設置会社)
・監査等委員会(監査等委員会設置会社)
・監査委員会社(指名委員会設置会社)
・観点は、適法性:慣習的に、業務効率性は内部監査の領域だと理解されている
会計監査(+内部統制監査)
・監査対象は、財務諸表(+財務報告に係る内部統制)
・実施主体は、会計監査人(監査法人)
内部監査
・監査対象は、従業員
・実施主体は、内部監査部門
・観点は、
・準拠性:法令規程から逸脱していないか?
・業務効率性
・資産保全
三様監査の難しさ
内部監査部門は監査役の支配を受けやすい
・監査役室(常勤監査役の組織)には手を動かせるスタッフがいないことが多い
・内部監査部門長CAEが昇進して監査役等になることが多い
会計監査との関係
・海外
・内部監査部門にはスタッフが多いため、監査法人の下請け作業をこなすようなスタッフもいる
・監査法人に内部監査部門の作業を利用してもらう代わりに、監査報酬を下げる交渉材料にしている
・日本
・内部監査部門にはスタッフが少ないため、独立性を維持するためにも、監査法人の下請け作業をするようなリソース余裕はない
・監基報610「内部監査人の作業の利用」の定めがあるものの、実質的に適用されることはない(会計監査に利用するための要件を満たすことは困難であるため)
内部監査部門の業績評価を誰が行うかによって、内部監査部門の実質的な独立性の強さが変わってくる
3 内部監査とJ-SOX
日本では、内部統制報告制度の導入(2008年)を契機として、内監部門が設立・拡大された会社が多い
評価範囲
・ELC:売上等の95%以上を占める拠点
・FCRP
・FCRP全社:ELCと同様
・FCRP個別:リスクに応じて選定
・IT-ELC:ELCと同様
・PLC:売上等の概ね2/3以上を占める拠点
・ITAC:FCRPとPLCに依存
・ITGC:ITACに依存
内部統制評価で期中に不備が検出された場合、まずは期末までに、担当部門が改善し、再評価で不備なしになることを目指す
期末時点で不備が残ってしまった場合、その不備の金額的重要性・質的重要性を算定し、一定程度より重要性が大きい場合、「開示すべき重要な不備」となり内部統制報告書に記載することが要求される
・金額的重要性の基準値は、慣例的には「税引前利益の5%」
内部統制監査
・決算日時点の内部統制状況について監査法人から監査証明を受ける必要あり
・それまでに、経営者は内部統制報告書を作成しておく必要あり
①評価範囲の決定
②各拠点による自己評価
③本社内部監査部門による評価
④監査法人による監査
⑤期末間近
・重要な変更点の確認
・期中に検出された不備の改善状況の確認
⑥経営者による内部統制報告書の作成
⑦監査法人による内部統制監査報告書の作成
4 内部監査人に求められるもの
内部監査部門に対する要件
・独立性
・専門的能力
内部監査部員に対する要件
・客観性
・専門職としての正当な注意
独立性
・取締役会や監査役会と緊密なコミュニケーションが可能:経営者の圧力から独立できる
・内部監査以外の業務を行わない:自己監査を予防できる
専門的能力
・部門全体として、各業務に対する専門性を発揮できること:独りで全領域をカバーする必要はない
客観性
・公正不偏な精神的態度を脅かすようなことを避ける
専門職としての正当な注意
・「平均的にしてかつ十分な慎重さと能力」:平均と比べて劣っていなければOK、過失は容認される
5 内部監査って役に立っているの?
不正発見のきっかけとして
①通報:42%
②内部監査:16%
③マネジメントレビュー:12%
特に、経営者による不正は、取締役会と直接コミュニケーションが取れる内部監査部門があると抑止力になれる
業務改善支援として
現場の部門だけでは難しいこともある
経営者不正に対する牽制として
・内監は取締役会(経営者を監督する)とコミュニケーションが取れる立場にある
Column① アメリカの会社の内部監査部門はエリート養成所?
(USの各企業にOBがいる)GE社では、上層部のほとんどがCAS(Corporate Audit Staff)の修了者という状況だった
しかし、GE社の実際は、2020年にCASを廃止し、幹部人材育成と内部監査機能を分離した
CASの活動が「被監査部署の業績をどう上向きに見せるか」を重視しがちだったという反省だと言われている
第2章 内部監査の一巡の流れ
1 中期計画や年度計画を確認しよう
内部監査の中期計画は、少なくとも企業自体の中期計画の各項目はカバーしているべき
・例えば、海外展開する戦略なのに、海外拠点の獲得維持に対する内部監査計画がないのはおかしい
・中期計画にマッピングされない監査テーマも必要(監査が被監査部門に予見されてしまわないようにするため)
内部監査部門の年度計画の作成方法
以下を組み合わせる
・ローテーション方式:数年かけて全拠点を監査できるようにする
・ヒアリング方式:重要な部署の責任者に対するヒアリング結果に基づき監査対象を決める
・パラメータ方式:監査対象にスコアをつけて高い方から優先的に監査していく
よい監査計画を作成するヒント
・内部監査機能の存在感が薄くリソースを割り当ててもらえない組織の場合、まず注力すべきは、既存の内監スタッフの得意分野を狙って「よい監査指摘をたくさん出すこと」
・次に注力すべきは、監査対象の選定基準に数値データを含めること(ただし、多くの変数を含めても精度が上がるとは限らないので注意)
・前回監査からの年数
・人数
・売上高
・総費用
くらいで十分
・個別監査計画の中で、差し替え可能な監査対象をあらかじめ決めておく(年度途中に緊急性の高い監査依頼が発生する可能性に備えておく)
2 個別の監査の一巡の流れを理解しよう
1回の監査対象は細かく区切った方が、改善のスピードも早くなる
1つの事例としては、3ヶ月(12週間)で1セット
・監査実施通知:往査開始の4週間前
・往査期間:2−3週間
・報告書の作成:5-6週間
事前準備フェイズ
・監査スコープの大枠を決定:監査対象拠点の規模に応じて、メインで見る機能を選定する
・監査日程の事前確認
・内部監査実施通知書の送付:監査対象、監査期間、監査担当者、監査項目概要、依頼事項、など
・事前調査
・監査プログラム(監査手続書、監査チェックリスト)の整理
・事前提出資料依頼
往査フェイズ:リモートで実施可能な部分はリモートで行うことも多い
・キックオフミーティング
・往査:現地でしか確認できないことを優先する
・指摘事項候補の整理:内部監査チーム内で相談し、指摘するに値するかを検討する
・指摘事項の事実確認:往査終了後に指摘事項を伝えると、不意打ち感が強くなるため、可能な限り往査中に伝達しておくべき
・改善提案の入手:ここまで往査中にできることが望ましい
・クロージングミーティング
報告フェイズ
・内部監査報告書の作成と送付
フォローアップフェイズ
・指摘事項の改善状況の確認
3 監査の事前準備
重要な依頼事項は
・ヒアリング対象者の対応時間の確保
・データに対するアクセス権の付与(資料のやりとりに手間取ることが多いため)
4 往査期間
クロージングミーティングは重要で、以下を含めるべき
・既知の指摘事項の一覧
・確認未了事項について、内容と今後のスケジュール
・その他、今後、被監査部門に追加で対応依頼する事項
・報告フェイズの説明:内部監査報告書の様式、など
・フォローアップフェイズの説明:どうやって改善状況を確認していくか、など
5 報告とフォローアップ
略
Column② リスク・アプローチについて
IPPF2010(旧基準)では「リスク・ベースの監査計画を策定しなければならない」旨の記載があった
しかし、GIAS2024(新基準)では「リスク・ベース」という文言は削除されている
財務諸表監査の場合は、「コントロールが弱いなら、たくさん取引をチェック(実証性テスト)すればOK」という発想になる
しかし、内部監査の場合、統制リスクが高い(コントロールが弱い、リスク低減するルール自体がない)こと自体が問題であり、改善するべきである
第3章 現場で監査を実施する
1 監査手続を実施する
内部監査における監査手続は、会計監査における監査手続と基本的には同じ
・質問:口頭による質問
・閲覧:書面を読む
・証憑突合
・実査:有形のものを目視すること
・観察:現場で行われている業務プロセスを目視すること
・確認:第三者に書面による回答を依頼すること
・再計算
・再実施:監査人自らが業務プロセスを行い、コントロールが実装されていることを確認すること
・分析的手続
例えば、棚卸立会は、以下の組み合わせ
・閲覧:棚卸手順書
・観察:棚卸担当者
・実査:棚卸資産
監査プログラムは、詳細な監査手続にまで落とし込まれていないことが多い
例1:「顧客との間に会社として必要とされている契約が締結されており、契約書が存在することを確認する」
①質問:契約管理担当者に、顧客との間で結んでいる契約の種類を質問
②閲覧:種類ごとの顧客リストを閲覧し、いくつかの顧客をサンプリングし、押印済契約書を入手
③証憑突合:押印済契約書と顧客リストを突合
例2:「契約締結時に、適切なスクリーニングプロセスが存在し、運用されていることを確認する」
①閲覧:会社規程を閲覧し、契約締結時のルールを把握
②質問:担当者に質問して、ルールに沿った運用が行われているかを確認
③証憑突合(ウォークスルー):具体的な契約をサンプリングし、ルールで要請されている証憑が揃っているかを確認
④証憑突合(運用テスト):必要な数だけサンプリングし、ルールで要請されている証憑が揃っているかを確認
2 有効なヒアリング(質問)
・質問内容は事前にある程度伝えておく
・警戒心を解いてもらう:最初は監査人から会話を始め、経緯と背景を十分に説明、相手の業務をより良くしたいという熱意を伝える
・相手に話してもらう:監査人側からは話さない
・相手の業務にリスペクトを持つ:例え問題があっても見下さない
・必要に応じて録音を止める
・話が噛み合わない場合は一旦退く:別の人にヒアリングしたり、周辺領域の監査を先に進めてから再度ヒアリングする
ヒアリングだけで指摘事項にすることはNG
3 ウォークスルー
業務プロセスを最初から最後まで辿る
存在する証憑を洗い出す
ウォークスルー用のチェックリスト
・ステップ
・そのステップで確認する証憑(エビデンス)
・証憑を確認する時の観点
SOX対応でも、フローチャートや業務記述書は作成されているが、実務上、内部監査でこれを使い回すのは危険
・SOXで着目しているリスクは財務報告の信頼性のみ
・SOX対応は問題を見つける活動ではないため、形骸化していることが多い:新規プロセスが発生しても放置されていることが多い
4 サンプリング
サンプリングを行う前に決めるべきこと
①必要なサンプルサイズ
②抽出方法
必要サンプルサイズ
・財務諸表監査&内部統制監査では、統計学に基づき決定するのが一般的(法定監査であるため、リソース不足を理由に手抜きできない)
・内部監査では、リソースが許す範囲で見ることが実務慣行として容認されている
抽出方法
・財務諸表監査&内部統制監査では、無作為サンプリングを行う(無作為に抽出しないと、統計学理論を適用できないため)
・内部監査では、そもそも統計理論を使っていないケースもある(特に基準で要請されているわけではなく敢えて使う必要もない)ため、恣意的サンプリングの方が望ましいケースもある
5 リモート監査と観察
リモート監査では代替不可能な監査手続もある
実際に現場にいないと気づかない
・観察
・実査
6 監査調書
実務上で最も重要なのは、指摘事項の内容が妥当であることを事後的に立証できる内容になっていること
監査調書の様式1:テーブル形式
・監査プログラムと一体型
監査調書の様式2:文書形式
・背景
・目的
・実施した手続
・結果
・結論
Column③ 監査法人の職階
監査法人は株式会社ではなくパートナー制(所有と経営が一致)
大手監査法人に在籍する6,000名程度のうち、600名程度がパートナー(パートナーは大手企業の課長〜役員レベルに相当)
パートナー
シニマネ
マネージャ
アシスタントマネージャ
シニア
試験合格者
第4章 内部監査報告書を作成する
1 「内部監査報告書」とは
典型的な構成
・監査の概要
・監査の結果(総合意見)
・個別指摘事項
・指摘事項サマリ
・配布先リスト
IIAによる推奨
・指摘事項の優先度
・監査範囲に生じた制約とその理由
・監査対象業務のG/RM/Cの有効性についての議論
・指摘事項を解消する責任者と期限
2 指摘事項の基本構成
指摘のタイプ
①法令違反:処罰を受ける可能性があるため指摘しやすい
②社内規程からの逸脱:「社内ルールに意味がないのでは?」と反論される可能性あり
③コントロールが弱い(放置すると大きな問題に発展しうる):説得が難しい
④業務が非効率、経済的合理性が低い:説得がかなり難しい
指摘事項の典型的な構成
・現状/事実関係:測定された事実
・リスク:指摘事項が放置されると発生する不都合
・内部監査部門からの改善提案
・被監査部門によるアクションプラン
・改善責任者(部門長レベル+担当役員レベル)
・改善完了期日
・改善完了期日変更時の承認者
指摘事項の重要度
・人事異動で内部監査部門長が変更されても比較可能性が失われないように
典型的なリスク
・法令違反により処罰を受ける可能性あり
・適正な財務報告が行えない可能性あり
・災害発生時に、人的・物的な損失が大きくなる可能性あり
・情報が漏洩し、ステークホルダに損害を与える可能性あり
・不適切な行動を容認することにより、組織風土が悪化する可能性あり
・外部に公表された場合、会社の評判が毀損される可能性あり
・インシデント発生時に、対応のために多くの支出が必要になる可能性あり(会社の資産を失う)
・インシデント発生時に、対応のために多くの労力が必要になる可能性あり(リソース不足で他業務を阻害する)
「内部監査部門からの改善提案」と「被監査部門によるアクションプラン」を分ける意味
・内部監査部門が継続的にフォローアップしていけるようにするため
・内部監査部門としては、以下に留意して改善提案を記載する
・リスクに直接適合した対策になっているか:ズレていないか
・どんなエビデンスが出るようになれば、改善が完了したと判定できるのか
・被監査部門としては、以下に留意してアクションプランを考えてもらう
・実現可能な内容と期限の設定
・アクションは具体的に記載し、実施後にどんな証憑(成果物)を残すのかまで決める
3 経営者にインパクトを与える指摘事項の書き方
企業にとって、内部監査機能は必需品ではなく贅沢品
経営に対してある程度以上のインパクトが与えられなければ、存在意義が乏しい(真っ先にリソースが削減されてしまう)
なので、良い監査指摘を出すことは、内部監査部門にとって最重要事項
良い監査指摘に必要なことは、経営者の関心を惹く(関心事を取り込む)こと
一般的に、経営者が最も関心を持つのは、利益(=収益-費用)
コンプライアンス関連の話題は、内部監査部門よりも他の管理部門(経理、人事、法務、など)でしっかり見て欲しいと考える経営者が多い
経済的合理性の乏しいルール
・そのルールを守ることが、自社の利益に繋がるのか怪しいルール(担当者間では何かしらの既得メリットがあったり、ルールの見直しが面倒なので放置されているルール)が残っていたりする
・内部監査人としては、ルールの内容を見た時に、「果たして経済的合理性があるのか?」という観点を持つことが重要
再発を防ぐための指摘
同じ拠点で同じ問題が再発した場合、改善活動が不十分(管理機能不全)だったことを示唆しているため、軽微なものであっても、初回よりも重要度を高くして報告する
深掘りの考え方
・深掘りできていない例:「部門Aは売上も利益も予算をx期連続で下回っている、改善が望まれる」
・販売単価と販売数量について、予実はどうか?
・販売数量:予測値(予算)より実績値の方が下回っている(見込みよりも売れていない)
・販売単価:予測値と乖離なし
・「見込み通りの数を売るためには単価を下げる必要がある、単価を下げるためには開発部門などと協力して、原価を下げる必要がある」または「現状の販売単価のままなら、販売数量の予測値を下げる必要がある」
・開発段階での原価の見積りに、開発部門と経理部門の関与が小さく、不正確な見積りが常態化している
・「見積りを正確に行うために、開発部門と経理部門の関与を求めるべき」
多角的な検証
・ひとつのルール違反を検出した時、それだけを取り上げると些末で軽微な問題にしか見えないが、多角的に検証すると、他のリスクを洗い出せることもある
・例:「販促キャンペーンとして、販促期間中、売上高に応じた額のギフトカードを贈呈していた。ルール上は、贈呈した相手からは受領証を受け取ることになっていたが、数件の受領漏れがあった。(実際には贈呈されず盗難されていた可能性あり)」
・実際に受領漏れがあったのは僅か数件だったが、このような基本的なルールに逸脱があった場合、関連するプロセスにも逸脱があることが多い。以下を考慮すると、この問題は単なるルール違反では済まず、販促費の濫用(取引先との馴れ合い)である。
・キャンペーン期間終了後なのに贈呈が行われていた: キャンペーン期間の売上増加に影響しない
・ギフトカード購入申請について承認プロセスが甘くなっていた
・ギフトカード贈呈による還元額が、売上高のx%を超過しており、一般的なリベート率を超えていた: ギフトカード贈呈により利益を脅かすほどの販促活動が行われてしまっていた
4 指摘事項のフォローアップ
最悪なアクションプランは「規程を周知徹底する」
内部監査部門としては、フォローアップを行う責任があるため、被監査部門には何かエビデンスが残る方式でアクションプランを実施してもらう必要あり
(「会議で指示しました」というだけでは、フォローアップに使えるエビデンスにはならない)
内部統制の原則として、コントロールの運用コストは、それにより低減できるリスクを上回らないこと
指摘事項にするほどリスクが高ければ、ある程度は運用コストをかけて改善するべき
典型的なアクションプラン
(「規程からの逸脱」の場合)
・研修を行う(参加記録と確認テスト付き)
・レビュー者を増やす(現状のレビュー方式で逸脱を検出できないなら、実効性を上げるためにレビュー方式を改善すべき)
・逸脱できないようにコントロールを自動化する(システム投資が必要)
フォローアップのコツ
・改善実施の期日は内部監査部門側で管理し、定期的にリマインドし続ける
・長期間かかる改善の場合は、ステップに分割してそれぞれに期日を設ける
・安易な完了日延期を認めなず、期限を超過したら役員や社長に報告を必須にするルールにする
・完了日変更時の承認者を決めておく
・内部監査部門から経営者や取締役会に定期報告する際のアジェンダに、フォローアップ状況を含めておく
・重要な指摘事項については、簡易的な監査として「フォローアップ監査」を行うのもあり
Column④ 内部監査報告書の文章作成上の工夫
問題点について
・事実のみを記載する:「ルールから逸脱していた」など
・感情は意見は混ぜない:「許し難いことである」など
改善事項について
・判断の余地を残したくない場合(Must):「〜する必要がある」「〜すべきである」
・判断の余地を残したい場合(Nice to have):「〜することが望ましい」
第5章 指摘事項が出やすい領域の基礎知識
1 素手で監査に臨まないように
過去の監査調書および指摘事項を確認する
規程体系を確認する
・規程が作成されていない
・規程間の記載に矛盾がある
生成AIに聞いてみる
最近の企業不祥事などを確認しておく
・監査役等は不祥事に興味を持ちやすいため、自社が類似の事象を起こしていないか確認する
2 人事・労務関係の監査の狙いどころ
日本企業において、2015年頃までは、特にコンプライアンス意識が低かった領域
・サービス残業の横行
・36協定の無理解
現在はコンプライアンス意識が向上してきているため、蔑ろにすると、
・労働基準監督署への通報
・調査対応
・風評悪化による人材採用難
働き方改革関連法(2019年4月〜)
①時間外労働の上限規制の導入
②年次有給休暇の取得の義務付け
③行っている業務が同一である場合、雇用形態(正社員/非正規社員)によらず、同一の賃金を支払うこと
就業規則の労働基準監督署への届出
・残業などの割増賃金が法定額を満たしているか
・法定時間外労働について従業員代表者と36協定を締結しているか
・法定時間外労働が月45時間・年間360時間以内で収まらない場合に36協定特別条項が発動されているか
・36協定(サブロク協定、労基法第36条「時間外労働・休日労働に関する協定」)
・原則として、法定労働時間(1日8時間、週40時間)を超えて労働者を働かせることは違法
・所定労働時間(就業規則で規定されている労働時間)を超えていても、法定労働時間を超えなければ、36協定は不要
・管理監督者は、36協定の適用外となる(裁量権が担保されるため)
・36協定を締結している場合
・原則:残業時間が月45時間、年360時間を超えることは違法
・特別条項付き:月100時間(ただし毎月は不可)、年720時間を超えることは違法
労働時間の実態の把握
・タイムカードや申請が実態と乖離しやすい職場環境である場合、PCの電源ログなどの検証が必要になる場合あり
労働安全衛生法の要求事項
・衛生管理者などの配置:衛生管理者、産業医、など
・安全衛生教育の実施
・健康診断の実施
採用プロセス
・面接時の質問内容
・個人情報の管理
・プロセスの手順書化:漏れなく実行するため
退職プロセス
・就業規則で「退職の申し出は×ヶ月前」と規定していても、法律上は2週間前に申し出れば有効
・プロセスの手順書化
その他
・障害者雇用の義務
・偽装請負の禁止
・児童労働の禁止
・最低賃金
・人事ローテーション
3 IT・情報セキュリティ系の監査の狙いどころ
言葉の使い分け
・IT:電子媒体のみに限った話、セキュリティ以外のトピックもあり
・情報セキュリティ:電子媒体のみではなく、紙媒体も含む話
情報システムは、導入時に内部監査の視点も含めて検証することが望ましい
・一度導入すると変更が困難な場合があるため
・情シスやユーザ部門の内部監査リテラシーが低い場合があるため
導入時のコントロール
・ベンダ選定時、選定プロセスと基準が整備されているか、その内容は有効か(技術力、サポート体制、事業継続性など)
・ベンダロックイン対策(データ移行可能性など)を講じているか
・導入プロジェクトにかかる意思決定プロセスを事前に整備しているか
・リスクや問題、遅延などを検知してエスカレーションする
・変更を承認する
・キーコントロール(SOX対応上や内部監査上で不可欠な処理)の要件が担保されているか
・データ移行などの高リスクプロセスについて手順を整備しているか
運用時のコントロール
・システムやデータベースに対する変更
・承認プロセス
・ログの保全
・アクセス権の管理
・アプリ
・ミドルウェア:データベース、ネットワーク機器など
・物理:建物、部屋など
・バックアップとリカバリ
・実際にリカバリできるかを訓練していないケースあり
ユーザに対するコントロール
・インシデント予防ルール:パスワード管理など
・インシデント発生時のプロセス
法規制対応
・個人情報保護法
・中小企業の情報セキュリティ対策ガイドライン
・情報セキュリティ10大脅威
4 調達・購買関連業務の監査の狙いどころ
仕入先と共謀した不正が横行しやすく、伝統的に高リスクな領域
・必要以上に高額なモノ、低品質なモノを仕入れてしまう
・反社など望ましくない仕入先と取引してしまう
仕入先選定時
・非定常的な取引である場合は、前払金や立替による支出でも問題なし
・定常的な取引である場合は、選定プロセスの整備が必要
・承認プロセスに準拠しているか
・仕入先は実在しているか
・仕入先は反社に該当しないか
・仕入先は関連当事者に該当しないか(利益供与になる可能性あり)
・仕入先の財務状態は健全か(倒産による供給途絶リスクあり)
・仕入先マスタの登録情報と整合しているか
購買申請〜発注時
・承認プロセスに準拠しているか
・相見積もりをとっているか
・調達しようとしているものサービスで要求(品質や納期)を満たせるか
・下請法に準拠しているか
検収時
・3wayマッチング(発注書/検収書/請求書)を実施しているか
・発注書(PO):自社の購買部門が発行
・検修書(GRN):自社の検収部門が発行、納品書(DN)よりも偽造リスクが低い
・請求書(INV):取引先の営業部門が発行
・発注者と検収者が同一人物だと不正(個人的な物品を購入して横領するなど)リスクが高まる
その他
・購買ポリシーの外部公表
・贈答接待の禁止
・会費制の会食の禁止:会費制の場合、支払った会費が実際に何に使われたのかを参加者が知ることはできない、過大請求による横領、賄賂や利益供与の手段になる
・シングルソースの会費
・常に同一の仕入先から調達することは、ボリュームディスカウントを受ける観点からは望ましいが、以下のリスクも高まる
・癒着による不正
・災害や廃業などによる供給途絶
・購買担当者のローテーション:購買担当者は強い誘惑に曝されているため
・発注残の棚卸し:自社は発注を取り消しているつもりでも、仕入先は未納の状態だと勘違いしている可能性あり
5 コンプライアンス・法務関連業務の監査の狙いどころ
従来は、法令遵守のみ(法令と定款に準拠すること)と理解されていた
現在は、CSR(企業の社会的な責任)に配慮する姿勢全般だと理解されている
典型的なコンプライアンス体制
・倫理規則の公表
・トレーニングの実施
・内部通報制度の整備運用
・贈収賄防止、贈答接待対応
・規程に準じた違反者の処分(必要に応じて法律専門家に相談)
内部通報制度
・従業員301人以上の事業者にとっては義務(公益通報者保護法)
・整備面
・通報窓口の設置
・通報者の不利益な取り扱いの禁止
・内部通報担当者に守秘義務
・運用面
・通報内容を調査できる体制が用意されているか
・調査がタイムリーに実施されているか
・グローバル企業では日本語以外の対応が可能か
贈収賄防止、接待贈答
・日本を含む多くの国で、公務員に対する贈収賄は犯罪:米FCPA、英UKBA
・公務員および類する人々(独立行政法人や国立大学法人)であっても、以下の行為は容認されているが、特に慎重に対応する
・広く一般に配布されている物品(宣伝用など)の贈与を受ける
・多数が参加する立食パーティーで飲食提供を受ける
・割り勘による会食
・民間同士の接待贈答も、ビジネスに有効なもののみに限定するため、コントロールを作ることが必要
・典型的なコントロールは事前申請の徹底
法務機能に対する内部監査
・法務知識のアップデートが行われているか:勉強会や書籍などにコストを投じているか
・他部門と必要な情報連携が取れているか:経理部門は敗訴の可能性に応じて引当金の計上や、偶発債務の注記などを行う必要あり
・反社チェックにおける十分な関与:購買部門や販売部門(営業部門)では十分なチェックができないケースが多い
・契約を管理できているか:日本の商習慣では、特に売買基本契約は自動更新が一般的なので、契約書が紛失していることが多い
6 製造部門の監査の狙いどころ
原材料や製品に関して様々な規制が存在するため、よい監査指摘を出すのが難しい領域
しかし、通常では最も多くの従業員と資産(棚卸資産と固定資産)を有している部門であり、本社から離れて存在するため、高リスク
製造計画
・計画が立てられているか?
・計画と実績の乖離をモニタリングしているか?
・乖離の原因を解決しているか?
生産プロセス
・投下されたコスト(材料費/労務費/経費)を適切に記録しているか?
・品質維持のための検査が行われているか?
・実際原価との差異を分析し、会計基準に応じた配賦がされているか?
外注プロセス
・外注先は適切に選定されているか?
・安全衛生やセキュリティの水準は、自社の基準を満たしているか?
資産の管理
・棚卸資産(原材料、仕掛品、製品)
・劣化に備えた保管方法を行っているか
・定期的な棚卸などで差異分析を行っているか
・横領を予防するための対策を講じているか
・固定資産(機械装置など)
・法定点検や自主点検、メンテナンスは計画通りに実施されているか(生産計画や予算不足を理由に延期されてないか)
安全衛生
・作業現場の状況が適切に保たれているか
・事故などが漏れなく報告され、十分に改善されているか
7 経理・財務部門の監査の狙いどころ
会計監査(監査法人による財務諸表監査と内部統制監査、社内の内部統制部門による内部統制評価)と重複がある領域
歴史的経緯により、会計分野についてだけは、内部監査人であっても、基礎的な知識を要求される
資産の管理
・小口現金、預金通帳、手形帳、小切手帳、有価証券など
・現物保管は高リスクなため、内監としては電子化を推奨するべき
・銀行預金や売掛金の残高確認は自社内で定期的に行い原因究明までしておくことが望ましい(会計監査が円滑になる)
権限の分離
・資金の移動を伴う業務(手形や小切手の振り出し、インターネットバンキングによる支払い、など)は、起票者と承認者を分離させる
・会計システムに直接仕訳を入力する場合も、起票者と承認者を分離させる
システム間の数値の整合性
・S/L→G/L→F/Sの流れにおいて、別のシステム(固定資産管理システムなど)を導入している場合、システム間のデータ連携の整合性を担保する必要がある
経理部門スタッフの教育
・税法や会計の基準のアップデートについていくため、適切な学習コストを投下できているか?(OJTだけでは限界あり)
システム投資
・ある程度の規模になると、会計システムを導入しないと、財務諸表を作成することが難しい
第6章 部門外とのコミュニケーション
1 内部監査の報告先
日本企業の内部監査部門は、社長直轄であることが多い
社長に問題がある場合もあるため、取締役(社長を監督する役割)にも報告すること(デュアルレポーティング)が、コーポレートガバナンス上は要請されている
監査役等がいる場合、取締役会への報告は常勤監査役(内部監査部門と関係が強い)を経由して行うことがよいケースもある
報告の頻度
・内部監査部門の規模による
・10名以上なら、少なくとも各四半期で報告する
報告の内容
・内部監査計画の実施状況(変更の有無)
・主要な指摘事項、被監査部門による改善対応の状況(対応完了期日、遅延の有無)
・報告したら、社長や取締役から懸念を聞き出すこと
2 他の部門および監査法人とのコミュニケーション
3線モデル:リスク管理の責任は、あくまでも1線にあることに留意
・1線:ルールに従った業務遂行とリスク管理
・2線:1線が守るべきルールの整備、1線のモニタリング
・3線:1線と2線の内部監査
内部監査で1線に指摘をしても、2線(人事、経理、法務、情シス、など)の協力がないと1線だけでは解決できないことも多い
内部監査部門は、1線監査時にも2線に協力を要請するため、2線と日常的に協力関係を築いておく必要がある
被監査部門とのコミュニケーション
・「今はそんなに大きな問題ではないのでは?」→「問題が大きくなってから対応するとなると想像以上に大変です」
・「お金がかかる」→「内部監査で指摘されたということを理由に上を説得しましょう」
・「とにかく嫌だ」→「その旨を社長や取締役会に報告します」
監査法人とのコミュニケーション
・企業が監査法人に支払っている監査報酬は膨大なので、得られた情報を共有してもらうべき(お願いしないと監査法人は情報共有してくれない)
・内部監査で検出された指摘事項を監査法人に伝えることで、監査法人はより効果的な監査計画を立てられる
・金額的または質的な重要性が低いと監査法人が判断した事項(「財務報告の信頼性」のみに観点を絞った場合には問題とはならない事項)でも、内部監査部門が知ることで、業務プロセスの問題に気付ける可能性がある
Column⑤ 国の内部監査?
・会計監査院:政府に対するチェック
・監査法人:一定規模以上の独立行政法人
・行政事業レビュー(自己評価):中央省庁(国交省、農水省など)が直接管轄している事業
第7章 注目を集める内部監査
1 内部監査とコーポレートガバナンス・コード
東証CGコード
https://www.jpx.co.jp/equities/listing/cg/tvdivq0000008jdy-att/nlsgeu000005lnul.pdf
歴史
・2015:初版
・2018
・2021:改訂
構成
・83原則
・基本原則(5)
・原則(31)
・補充原則(47)
・上場企業は、Comply or Explain が要求される(非上場企業は関係なし)
・プライム市場とスタンダード市場:全83原則
・グロース市場:基本原則5のみ
ERM体制の整備
・最低ラインとして、SOXにおけるELC評価を行うこと(COSO-IA2013の観点を適用)
・さらに、テーマ監査として、ERM体制の整備運用状況を監査すること(COSO-ERM2017の観点を適用)
デュアルレポーティング
・CGコードは、経営者と取締役会に対する要求
・内部監査部門は、経営者と取締役会に報告を行う
・IPPFは、内部監査部門に対する要求
・内部監査部門は、経営者に部門運営上の報告/取締役会に職務上の報告を行う
CGコードに対する準拠性の監査
・基本原則1:株主の権利・平等性の確保
・法務部門
・株主総会の事務手続を網羅しているか
・少数株主の権利を適切に保護しているか
・基本原則2:株主以外のステークホルダとの協働
・従業員の労働環境や処遇
・取引先との公正な取引
・内部通報制度
・サステナビリティ
・基本原則3:情報開示の透明性の確保
・開示情報の信頼性
・基本原則4:取締役会等の責務
・責務を果たしているかどうかを最終的に判定するのは株主総会
・基本原則5:株主との対話
・IR部
・株主からのリクエストに対応できているか
・実現可能性が乏しい戦略や計画を開示していないか
・CGコード非準拠の項目について十分に説明できているか
2 J-SOX基準改訂が内部監査に与える影響
デュアルレポーティングラインの実効性確保
・会議体を設けただけでは不十分で、取締役会監査役会は内部監査部門に対して、報告を受けて指示を出している実態が必要
内部監査人の能力
3線モデルの導入
3 内部監査とリスクマネジメント
CGコードでは、ERM体制の状況確認は内監機能の責任になっている
有報の「事業等のリスク」に記載されている内容が、どのようなプロセスで作成されているのかを監査する
ERMプロセスが機能していない場合、有報の記載内容は経理部などに丸投げされていることが多い
1線の役割
企業のビジョンや中長期計画を踏まえて、経営陣がリスクを洗い出し、分析(定量化)し、優先順位付けし、対応策を検討し、各部署に割り当てて実行させる
2線の役割
対応策が適時適切に実行されているかどうかモニタリングする
3線の役割
・洗い出されたリスクの定義は、企業のビジョンや中長期計画と整合しているか
・モニタリングが行われているか
リスク対応(売掛金の貸し倒れリスクの場合)
・回避:取引を行わない
・転嫁:取引信用保険に加入する
・軽減:信用調査を行い適切な与信限度額を設定する
・受容:何もしない
リスクは受容できるレベルにまで軽減されていればよい
内監は、どうしても可能な限りリスクを低減しようとしてしまうが、それはやりすぎ
BCM(事業継続管理)の観点
・文書化されているか
・非常時の権限移譲:社長の代行は誰か
・従業員の安否確認が速やかに行える体制が構築されているか
・備蓄品は適切に保管、買い直し(使用期限のチェック)が行われているか
・データのバックアップは行われているか
・周知されているか
・訓練されているか
・避難訓練
・安否確認
・バックアップのリカバリ
4 ESGと内部監査
ESGに関わる企業活動に対する内部監査の関わりは未知の部分が多い
ステークホルダ(投資家、取引先、消費者)が企業を選別する基準も未知
報告の体系が明確に定められているわけではないため、非財務情報について、財務情報のように監査を行える状況はまだない
・開示項目
・管理フレームワーク
・指標
なども標準化されていない
まずは、既存の監査プログラムと、ESGの関係をマッピングすることから始める
ESG関連活動と内監活動
①重視するESG課題を特定する:課題の特定は適切か?
②担当部署を割り当て、ガバナンス態勢を構築する:取締役会への報告/取締役会からの監督は機能しているか?
③指標と目標値を設定する:指標の選定や目標値の算定は適切か?
④指標を測定する:測定方法は適切か?
⑤目標の達成状況を開示する:開示方法は適切か?
ESG情報開示フレームワーク
IFRSサステナビリティ開示基準
・TCFDなどの乱立していた基準を統合したもの
・ISSB(国際サステナビリティ基準審議委員会)が設立された(2021年11月)
・日本国内には、SSBJが設立された(2022年7月)
※参考:TCFD提言
・4カテゴリ11項目
①ガバナンス
②戦略
③リスク管理
④指標と目標
・CGコード2021では、プライム上場企業はTCFD提言と同等の枠組みで開示することが要求されていた
第8章 IIAの理論と公認内部監査人の資格
1 IIAが提唱する内部監査のフレームワーク
IPPF(2015)
・必須のガイダンス
・推奨されるガイダンス
IPPF(2025)
・必須
・グローバル内部監査基準(GIAS):IPPF2015における必須のガイダンス+一部の推奨されるガイダンス
・トピック別要求事項(Topical Requirements):
・補足
・グローバルガイダンス(Global Guidance):
GIASの構成:5ドメイン/15原則/52基準
・ドメイン(Domain)
・原則(Principle)
・基準(Standard)
・要求事項(Requirements)
・実施に当たり考慮する事項(CI, Consideration for Implementation)
・準拠の証拠の例(EEC, Examples of Evidence of Conformance)
ドメイン1:内部監査の目的
・原則なし
ドメイン2:倫理とプロフェッショナリズム
・5原則
・誠実性
・客観性
・専門的能力
・職業的専門家としての正当な注意
・正当な注意(DPC, Due Professional Care)
・懐疑心(PS, Professional Skepticism)
・守秘義務
ドメイン3:内部監査部門のガバナンス
・3原則
・取締役会(監査役会を含む)による監督機能
・内部監査部門の独立性
ドメイン4:内部監査部門の管理
・4原則
・戦略的な計画
・リソースの管理
・効果的なコミュニケーション
・品質の向上
・内部監査部門長(CAE)による管理業務
ドメイン5:内部監査業務の実施
・3原則
・個別業務の効果的な計画
・個別業務の実施
・個別業務の結論の伝達、改善計画の進捗モニタリング
2 CIA試験の概要と対策
CIAを学ぶことで、本来あるべき理想(アメリカのIIAが理想だと信じているもの)を理解できる
ただし、理想は理解できても、会社の状況的にそこまでできない内容も多々ある
Column⑥ コントロール・セルフ・アセスメント(CSA)の難しさ
内監機能のリソース不足を補う案として、2010年前後にIIAから推奨されていた手法
実際は以下の理由で難しい
・1線のリテラシーの低さ:SOX対応の3点セットを独力で更新することすら難しい(内監SOXチームが代わりに更新している実務も多い)
・アンケート方式で自己評価する場合、内監が注意深くレビューしないと、自身に厳しい拠点は高リスクと判定されてしまう(自身に甘い拠点は「問題なし」で済まそうとしてしまうため)
第9章 より高度な内部監査
1 ビジネスに貢献する売上高・営業部門監査
監査対象拠点に対して、会計監査や内部統制評価が行われていない場合
・まずは、「計上された売上高の数値は正しいのか」という観点で検証する
・監査対象期間の売上データを母集団として、サンプリングし、その売上にかかる取引を個別に検証していく(契約、法令、会計基準に準拠して計上されているか)
監査対象拠点に対して、会計監査や内部統制評価が行われている場合
・以下については会計処理の妥当性に関わるため、懸念などを情報連携すべき
・滞留売上債権の対応
・貸倒引当金の設定方針
・売上割戻引当金の妥当性
・返品調整引当金の妥当性
・販促活動の会計処理(販売費計上でよいのか、売上から控除すべきか)
・内部監査でも類似の監査手続をやるのはリソースの無駄なので、内部監査では、よりビジネス貢献度が高い監査手続を行うべき
設定単価の妥当性
・利益率はその業界で妥当か?
見積原価の妥当性
・販売価格を低く抑え、かつ利益を確保するために、原価を故意に低く見積もるケースがある
販売計画の実現可能性
・一般的に、トップダウンで策定される計画は、ボトムアップで策定される計画よりも強気になりがち
・過剰な販売計画には以下のような弊害が多いため、実現可能な販売計画を立てることは重要
・在庫が過剰になり、在庫管理コストが増える
・確保していた人員や輸送手段のコストが無駄になる
・業績の下方修正せざるを得なくなり、株価が下がる
契約条件の妥当性
・掛売りに伴う支払期限や与信限度額の検討プロセス
・取引先マスタへの登録、変更時の承認プロセス
・回収遅延や限度額超過の原因究明(契約条件が実態に合わないのか、相手先に問題があるからなのか、など)
・独占禁止法への抵触(特に「再販価格の指定」は違法)
販促活動の妥当性
・安易な値引
・効果の薄い売上割戻(リベート):常態化してないか、売上割戻は本来は売上成長率に対して掛けるものであり、売上が一定なら行わない
・常態化しているキャンペーン
・金券の配布:実質的には値引なので販売費計上ではなく売上から控除すべき
・商品の無償提供:横領の機会になっている可能性あり
押し込み販売になっていないか
・期末に値引いて大量に販売するケース(返品なし)と、翌期首に返品を受けるケースがある
2 データを利用して異常値を検知する手法
①内監で広範囲の取引データを入手:もしこれができない場合にはデータ利用監査は困難
②内監でデータを分析
③異常点について対象部門に質問
④問題がある場合は指摘
事例
・押し込み販売の検知:期末間際における売上データを抽出
・過度の値引き販売の検知:品目&販売先ごとに、販売単価の標準単価からの乖離を算出
・不適切な経費使用の検知:社内ルールからの逸脱、自己承認、事後承認、精算なし、私費計上などをチェック
3 サイバーセキュリティ対応の内部監査
フレームワーク準拠性の監査
・経産省の「情報セキュリティ管理基準」と「情報セキュリティ監査基準」
・米NISTのCSF
CS管理態勢の実効性の監査
・ペネトレーションテストまで行わないと、管理態勢の整備が適切かどうかまで評価できない
4 海外拠点の内部監査
昨今では日本企業でも海外拠点での売上が日本国内の売上を上回っている企業も多い
海外拠点の内部監査の難しさ
・言語:発言の裏の真意を読み取る必要があるため
・慣習:現地文化に馴染んだ者にしか理解しにくい発想や行動がある
・法令
・距離と時差
日本本社から現地に内部監査人を送る場合
・現地拠点のリスクが低い場合ならOK
・現地拠点のデータにアクセスできることが前提(データ監査)
・本社の2線(人事、経理、法務、情シス、など)に企業グループ全拠点が守るべきルールがあるかを確認し、現地拠点への浸透状況を検証する
・現地が受けている外部監査の結果を共有してもらう
現地で内部監査人を採用する場合
・現地における内部監査がブラックボックス化しないように、本社からコントールを強める
・以下は同様
・本社の2線(人事、経理、法務、情シス、など)に企業グループ全拠点が守るべきルールがあるかを確認し、現地拠点への浸透状況を検証する
・現地が受けている外部監査の結果を共有してもらう
現地のコンサルファームに外注する場合
・外注先には以下の問題があり、自分たちが理解の浅い領域を外部に任せるのは危険
・自分たちのビジネスを理解するのに時間がかかる(説明するために自社の工数がかかり、聞くためにコンサルの工数がかかる)
・理解してもらえたと思ってもコンサル側のメンバーを固定することは難しい
・往査とフォローアップは別料金
・依頼する作業の範囲を明確に切り出すことができ(その部分だけをやってもらう)、かつレビューがタイムリーに行える場合なら、うまく外注を活用できる可能性あり
現地にいる日本人を過信しない
・円滑なコミュニケーションを取れるとは限らない(本社と現地拠点の間のやりとりを歪める可能性あり)
・不正を行うリスクも高い
5 不正調査
不正の徴候を認識する(内部通報や内部監査などで)
↓
通常の内部監査の業務範囲で入手可能なデータで裏取りする
↓
案件に応じた不正調査メンバーを選定する
↓
不正調査として追加調査
↓
当事者(関係者、被疑者)に対してヒアリングを行う
↓
不正の事実を認定する
↓
調査結果を報告する(取締役会、監査役等、コンプライアンス委員会、など)
↓
処分・再発防止対策を行う
不正の徴候
・データ間の辻褄が合わない
など
不正の徴候を調査すると、
・例外的状況(実は適切な事情があり辻褄が合っていなかった)
・エラー(過失、意図的ではない)
であることが発覚することもある
通常の内監業務で裏取りしきれない場合、社内の不正調査ルールに従い、有識者を集めて調査チームを組んで追加対応を行う(不正調査の特性上、必要以上に関与人数を増やすと情報統制が効かなくなるので注意)
通常はコンプライアンス委員会がリードするが、内監がリードする企業もある
経費の不正使用
・経理部、購買部
・被疑者に関する経費精算データ、購買データ
不正なキックバック受領
・購買部
・仕入先や調達先の選定プロセスが判る資料、実際の取引状況
ハラスメント
・人事部
・被害者からのインタビュー記録
検査結果の改竄
・品質検査部、カスタマーサポート部
・品質検査の状況、顧客からのクレーム記録
ヒアリング時の一般的な留意事項
・聴取側は2名
・録音する旨を通知して録音する
・ヒアリングは業務命令であり、従業員には協力する義務がある旨を伝える
・報復の禁止
・調査を受けたことは秘密にする
不正調査結果の報告
・主観を交えないこと
・法令や社内規程のどれに違反しているのかを明確に伝えるだけでOK
・内部統制上の弱点が不正の機会になっていた場合、改善提案も行う
Column⑦ 不正調査時の黙秘権とメールの検閲
通常の監査で、本人に通知なくメール履歴を閲覧するのは行き過ぎ?(不正調査としてならOK)
第10章 内部監査部門の発展のために
1 長期的な人材の確保
優れた監査プログラムやリスク評価ツールがあっても、人材が確保できなければ、あっという間に監査の質は劣化していく
・職歴は特定部門の出身者に偏らせないこと(全領域をカバーできなくなるため)
・若手を増やす
中途採用
・内部監査人材は、運よく中途採用できても、人事的なケアを怠ると、すぐに高待遇の他所に転職していってしまう
キャリアパス
・CFO組織、法務、情報セキュリティなどの領域と親和性が高いため、人事交流するのがおすすめ
アウトソース
・日本取引所グループの見解では、全面アウトソースが容認される状況は極めて限定的なので、コソース(部分的なアウトソース)が現実的
・コソースが有効な内監業務
・容易に指示監督が可能な単純作業
・外国語によるコミュニケーション
・最新動向や他社事例が重要な領域:サステナビリティなど
・高度な技術が必要な領域:サイバーセキュリティなど
2 海外子会社等に内部監査部門を設置する場合の留意点
海外ビジネスが大きくなれば、現地拠点に内監部門を設置することを検討する
人事上の問題
・人件費を負担するのは、本社?現地拠点?
・評価(人事考課)するのは、本社?現地拠点?
・離職防止のために、本社内監の異動というキャリアパスを用意する
3 実効性のある教育研修
座学
・IIA主催の「内部監査士認定講習会」が有名
OJTの進め方
①監査プログラムおよび典型的な指摘事項の説明
②ヒアリングへの同席
③指摘事項のドラフト:レビューを行い、反論に耐えうる指摘事項になるまで説得力を高める(新任の監査人はヒアリング内容のみを根拠に指摘事項を書いてしまいがち)
④監査調書のドラフト:抜け漏れがない、解りやすさ、などをレビューして、独力で一定程度の品質が担保できるようにする
4 有価証券報告書における開示
「企業内容等の開示に関する内閣府令」(開示府令)
「内部監査の状況の開示のあり方」
開示例(資生堂)
内部監査の状況
A. 内部監査の目的と方針:持続的成長と企業価値向上
B. 組織と人員構成:デュアルレポーティングラインの明確化、保有資格と在籍期間
C. 内部監査の主な活動:レポーティング会議体の種類と頻度と出席者、計画立案の方法(リスク評価)、専門領域への補完的モニタリング活動
5 内部監査の進む道
アシュアランスとアドバイザリ
・会計監査の目的はアシュアランス
・内部統制報告制度の目的はアシュアランス:そもそも制度対応のために内監を設置拡充した企業も多い
SOX対応と内部監査の棲み分け
実施する作業は似ていてもベースとなる思想はかなり異なる、場合によっては別の部門にしたほうが望ましい
・SOX対応:問題点の洗い出しには消極的(「不備はなかった」という結論を目指して行う)、短期的な解決を重視
・内部監査:問題点の洗い出しに積極的、長期的な解決を重視
内部監査部門の人材
・社会保険労務士
・人事部門の経験者