見出し画像

1/4【内部監査の死角(第1回)】「問題なし」に潜む監査リスクを考える

TAIZO

※【内部監査の死角】4回シリーズのエグゼクティブサマリー
内部監査の調書や報告書上の「問題なし」という結論は、往々にして軽視されがちです。しかし、この「問題なし」という結論には重大な監査リスク(※)が潜んでいます。本シリーズでは、「問題なし」の背後に潜む具体的な監査リスクを低減するための実践的なアプローチについて、4回に分けて解説します。

(※)「監査リスク」:監査人がリスクを見落とし、誤った監査意見を表明してしまうリスクを指します。

※本シリーズの構成
第1回:「問題なし」に潜む監査リスクを考える
第2回:「問題なし」を積極的アシュアランス
第3回:実践的な監査リスク低減手法
第4回:組織的な改善アプローチ

はじめに:見過ごされる「問題なし」に問題がある可能性

他の投稿記事の中で、私は「レビューの質こそが内部監査の成否を決める」として、「(監査期間中の)レビューの重要性」を強調しました。
【演習付き(難易度:高)】内部監査の成否:レビューの質が部門の価値を決める|TAIZO
本稿では、レビューの実務に関し、より踏み込んで重要論点を解説します。

内部監査において、「問題なし」という結論は、単なる問題の不在を示すものではありません。それは、適切なプロセスを経て、十分な証拠に基づいて導き出された積極的アシュアランス(※)であるはずです。

しかし現実には、「問題なし」の調書のレビューは往々にして後回しとなり、最悪の場合には、その結論の妥当性は誰からもレビューされずに(あるいは形式的なチェックだけで)監査を終えるようなケースはないでしょうか

(※)積極的アシュアランス:消極的アシュアランスとの対比で用いられる概念です。消極的アシュアランスが、「ある特定の領域を対象に●●の手続に基づいて監査をしたが、”問題は発見されなかった”」と部分的なアシュアランスとして結論付けられるのに対し、積極的アシュアランスは、「より広い領域を対象に、▲▲の業務は有効であった/有効でなかった」と業務全体の有効性に対するアシュアランスとして結論付けられます。

本稿では、「問題なし」という結論の調書に潜む監査リスクについて、その本質と実務上の課題を解説します。


1. 「問題なし」に潜む3つのリスク

1.1 監査品質に関するリスク

・監査手続の実施や評価における技術的な不備により生じるリスク

(1) 監査手続実施上の不備(例)

  • テストカバレッジの不足(例)

    • テスト対象範囲が限定的

    • 入手が容易なサンプルのみを選択

    • 特定の期間や部署に偏ったサンプリング

  • 重要な証跡の欠落(例)

    • 必要な証跡・補完的証跡の未入手(確認漏れ)

  • 不適切な手続の実施(例)

    • 運用状況の確認が不十分な統制評価

    • 実査すべき項目の文書確認のみでの済ませている

(2) ルールやリスク/重要性に対する評価の誤り(例)

  • ルールに対する誤った理解や見落とし(例)

    • 最新の規程の内容を未反映

    • 関連規程の確認漏れ

    • 例外規定の見落とし

  • リスクに対する誤った評価(例)

    • 影響度の過小評価

    • 発生可能性の誤った評価

    • 複合的な影響の未考慮

  • 重要性判断の誤り(例)

  • 業務プロセスの理解不足(例)

1.2 心理的バイアスによるリスク

・内部監査人の主観や思い込みに起因する判断の偏りがもたらすリスク

(1) 確証バイアス(例)

  • 過去の監査結果による先入観(例)

    • 過去に問題がなかった領域への安易な信頼

    • 従来の判断への固執

  • 期待(設定した仮説など)に沿った情報の重視(例)

    • 都合の良い説明の鵜呑み

    • 反証手続の未実施/不足

  • 違和感のある情報の軽視(例)

    • 異常値の安易な正当化

    • 例外事項の軽視

(2) 自信過剰バイアス(例)

  • 経験による思い込み(例)

    • 「監査経験のある領域だから大丈夫」

    • 慣れによる警戒心の低下

  • 直感的判断への過信(例)

    • 追加調査の省略

    • 代替的手続きの未実施

  • 専門知識に対する過信(例)

    • 新しいリスクの見落とし

    • 環境変化の影響の軽視

(3) その他の認知バイアス(例)

  • アンカリング効果(初期の判断に固執する)

  • 利用可能性ヒューリスティック(最近見たものや体験したことを想起し易い)

1.3 組織・体制や取り組み姿勢などに起因するリスク
組織的な制約や仕組みに起因して生じるリスク
(1) 時間・リソースの制約(例)

  • 発見事項への注力(例)

    • 問題点の検証に時間を取られ、「問題なし」領域の検証が疎かになる

    • スキルや経験不足

    • 調書ツールやシステムの未整備

  • 「問題なし」領域の軽視(例)

    • 簡易的なレビューで済ませる

    • レビューに必要な人員配置/時間配分(予算配分)の不適切な対応

    • 効率性重視の弊害

  • 形式的なレビュー(例)

    • チェックリストの機械的な適用

    • 深度ある検討の欠如

    • 監査品質の軽視(品質確保の体制が未整備)

    • 人財育成の不足

(2) パフォーマンス評価システムの影響(例)

  • 発見事項数重視の評価(例)

    • 「問題なし」の価値の過小評価

    • 問題発見への過度な注力

  • 効率性偏重の考え方(例)

    • 必要な手続きの簡略化

    • 検証深度の不足

  • 質的評価の軽視(例)

    • アシュアランスの品質への関心不足

    • 予防的視点の欠如

(3) 組織文化に起因する問題(例)

  • 前例踏襲的な思考(例)

    • 慣習的な判断の無批判な踏襲

    • 変革への消極的な姿勢

  • 監査対象部門とのコンフリクトを回避(例)

    • (本来なら明確に主張すべき)発言/発見事項を控えてしまう

    • 監査対象部門とのコンフリクトを避けて関係維持を重視

(4) コミュニケーション上の課題(例)

  • 情報共有の不足(例)

    • 部門間での知見共有の不足

    • ベストプラクティスの未展開

  • 対話の不足(例)

    • 監査対象部門との深度ある対話の欠如

    • 監査チーム内での建設的な議論の不足

2. これらのリスクが組織にもたらす影響

2.1 直接的な影響

◆監査業務の質と結果に直接影響を及ぼす問題

  • 重要な問題の見落とし

  • 不適切なアシュアランスの提供

  • 監査品質の低下

  • リスクの見落とし

  • 統制活動の形骸化

2.2 間接的な影響

◆組織全体の統制環境や将来的な改善機会に影響を及ぼす問題

  • 内部監査部門に対する信頼性低下

  • 予防的統制の弱体化

  • 組織の改善機会(学習機会)の損失

◆監査部門の人材育成への悪影響

  • クリティカルシンキングの育成機会の損失

  • リスク感度向上の機会逸失

  • 内部監査部門の専門性低下

  • 新任監査人の判断力形成への悪影響

まとめ:リスク認識の重要性

「問題なし」の調書に潜むリスクを認識することは、内部監査の品質向上の第一歩です。これらのリスクは、個々の監査人の努力だけでは完全な対応が困難であり、組織的な取り組みが必要となります。

重要なのは、これらのリスクが単なる理論上の可能性ではなく、日々の監査実務において現実に発生しうる、そして実際に発生している問題であるという認識です。このような認識に基づき、適切な対応を講じていく必要があります。
<次回予告>
第2回では、これらの監査リスクを低減するための基本的なアプローチである積極的アシュアランスについて考えます。

※本シリーズの構成(再掲)
第1回:「問題なし」に潜む監査リスクを考える
第2回:「問題なし」を積極的アシュアランス
第3回:実践的な監査リスク低減手法
第4回:組織的な改善アプローチ


いいなと思ったら応援しよう!