見出し画像

5/5 内部監査の誤解を解く:3ラインモデルとアシュアランスマップの構築

TAIZO

本記事は、5回シリーズでお届けしています。今回が最終回となります。

前回までの4回にわたり、内部監査と他の機能(内部統制、リスク管理、コンプライアンス)との境界について解説してきました。最終回は、これらの議論を踏まえ、3ラインモデルにおける内部監査の位置づけを明確にした上で、組織全体のアシュアランス活動を最適化するためのアプローチについて考察します。


はじめに

これまでの整理:境界の明確化

これまでの議論で、内部監査と他の機能との境界について、以下の点を明らかにしました。

  • 内部統制との境界:構築・運用(経営者)と評価(内部監査)の区分

  • リスク管理との境界:リスク対応(リスク管理部門)と評価(内部監査)の区分

  • コンプライアンスとの境界:コンプライアンスの推進(コンプライアンス部門)と評価(内部監査)の区分

1. 3ラインモデルにおける内部監査の位置づけ

3ラインモデルは、組織のガバナンスにおける各機能の役割と関係性を示す枠組みです。

第1ライン:事業部門・業務部門

  • 日常的な業務執行と管理を行う

  • リスクオーナーとしての責任を負う

第2ライン:内部統制、リスク管理、コンプライアンスの各部門

  • 各種方針やルールの整備・運用を担う

  • 専門的な知見に基づく支援・モニタリングを行う

第3ライン:内部監査部門

  • 独立的かつ客観的な評価を行う

  • 改善に向けた提言を行う

2. アシュアランスマップの構築

(1)アシュアランスマップとは

  • 組織内の様々なアシュアランス活動を可視化する手法で、昨今、多くの企業で導入されています。

  • 重複や空白領域を特定し、効率的な資源配分を実現します。ただし、1線や2線によるアシュアランスの状況(水準)は、3線による適切な評価が鍵となります。

  • リスク領域と各機能の関係を明確化します。

(2)アシュアランスマップの具体例

個人情報保護に関するリスクを例に、アシュアランスマップの活用方法を説明します。このマップでは、縦軸にリスク領域、横軸に3ラインモデルにおける各機能の役割を配置し、アシュアランスの有無と水準を記号で表しています。
【リスクマップ(例)】

最初に、アシュアランスマップを作成する際の重要な留意点として、中位レベル以下のリスクを取り上げることが重要です。なぜなら、最上位や上位のリスクは、リスクの抽象度が高すぎて、マッピングによる分析の意義が限定的になるためです。

次に、個人情報保護法違反リスクの例を見ていきます。

第1ラインでは、現場での活動を例示しています。

  • 現場担当者によるルール遵守

  • 管理者によるチェック

  • CSA活動による自己評価

第2ラインでは、当該リスクに対応するルールを策定している部門の活動を例示しています。(※組織によっては、「個人情報保護法」に対応するルールを策定している部門は、法務部門かもしれません。)

  • ルール策定部門による整備

  • コンプライアンス部門による遵守推進

  • モニタリング活動

第3ラインでは、業務監査とIT監査を例示しています。組織によって、両者の役割分担は様々ですが、例えば、業務監査人による評価は「紙面資料」を対象としたサンプルチェックとし、IT監査人による評価は「データ」を対象とした全量チェックといった分担もあるでしょう。

  • 業務監査による評価

  • IT監査による確認

このようなマッピングを通じた分析からは、以下のような示唆が得られるでしょう。

  • 第2ラインによる活動が充実している一方、第3ラインの関与は限定的

  • 第1ラインのCSA活動の実効性向上の余地がある

  • IT監査によるカバレッジの強化が必要かもしれない

3. アシュアランスマップの活用

アシュアランスマップを効果的に活用していくためには、経営者への提言他部門との協働の両面からのアプローチが重要です。

まず、経営者に対しては、アシュアランスマップを通じて可視化された重複や空白領域を示し、効率化の機会を提示することができます。複数の部門が同様のチェックを実施している領域については統合や簡素化の可能性を、アシュアランスが十分でない領域については資源配分の見直しを、定量的・定性的な効果とともに提案することが効果的です。

また、他部門との協働においては、アシュアランスマップをコミュニケーションツールとして活用し、各機能の役割と責任の相互理解を深めることができます。環境変化や新たなリスクの発生に応じてマップを定期的に見直すことで、より効果的なアシュアランス活動を実現することができます。

おわりに

内部監査の価値を最大化するためには、3ラインモデルにおける位置づけを明確にし、アシュアランスマップを通じて組織全体のアシュアランス活動を最適化することが重要です。ただし、1線や2線によるアシュアランスの状況(水準)は、3線による客観的な評価がその実効性を担保する鍵となります。

また、中位レベルのリスクに注目したマッピングを行うことで、限られた資源でより効果的なガバナンスを実現することが可能となります。このような取り組みを通じて、内部監査は組織の持続的な価値向上により一層貢献することができるでしょう。

5回にわたる連載をお読みいただき、ありがとうございました。内部監査の役割や境界について、できるだけ実務に即した形でお伝えしようと努めましたが、いかがでしたでしょうか。本シリーズが、皆様の組織における内部監査機能の品質向上の一助となれば幸いです。


いいなと思ったら応援しよう!