見出し画像

08【連載】内部監査の二面性:リスク/機会(今回も最重要!!!)

TAIZO

はじめに

 第7回は「形式」と「実質」というテーマで、両者のバランスの重要性について考察しました。第8回では、内部監査における「リスク」と「機会」という二面性について考えていきます。

 「リスク」と「機会」を解説するに当たり、読者の皆様にご理解を深めて頂くために、前提として「内部監査機能の成熟度の変遷」について少し触れます。

【内部監査機能の成熟度の変遷】

 伝統的な監査では、既存のルールに照らして業務が適切に行われているか、すなわち準拠性の観点からの監査が行われてきました。
 その後、多くの企業では、準拠性の観点に加えて、監査対象業務の内部統制の枠組みに照らして業務が適切に行われているか、すなわち内部統制の有効性の観点からの監査も行われるようになってきました(※必ずしも、財務報告に限りません)。
 さらに、今日では、よりリスクに焦点を当て、監査対象業務の遂行に伴う様々なリスクの管理が適切に行われているか、すなわちリスク管理の有効性の観点からの監査も行われるようになってきました。
 このような成熟度の変遷(準拠性→内部統制の有効性→リスク管理の有効性)は、互いに排他的ではなく、それぞれのアプローチを包含する形で段階的に発展してきています。

 上記の変遷の過程(特に「リスク管理の有効性」の段階)では、内部監査はリスクの特定や評価、改善提案に重点を置いてきました。しかし、内部監査が組織の健全な発展に寄与するためには、リスクだけでなく、価値を創造する「機会」にも目を向ける必要が出てきています。
 今回は、「リスク」と「機会」の両面から監査することの意義と、実務での具体的なアプローチについて解説します。


1.「リスク」と「機会」

 内部監査において、監査対象業務が直面しているリスクを洗い出し、それらのリスクを評価・分析することは基本的な役割の一つです。具体的には、監査対象業務が掲げている目標を達成する上でどのようなリスクが伴うか、さらには、個々の業務プロセスの不備やコントロールの欠如、コンプライアンス違反などのリスクも特定し、その影響度や発生可能性を評価します。
 しかし、リスクを特定するだけにとどまるのは、実は内部監査が持つ可能性の一部しか発揮できていません。なぜなら、多くの場合、リスクは同時に(改善の)「機会」でもあるためです。

2.リスクを機会に転換する視点

 例えば、営業部門の業務プロセスを監査する場合の視点を考えてみます。

【リスクの視点(例)】

  • 承認プロセスの不備

  • システムアクセス権限の管理不備

  • 業務記録の不完全性

【機会の視点(例)】

  • 業務効率化の可能性

  • システム活用によるコントロールの強化

  • データ分析による業務の高度化

 このように、同じ事象でも視点を変えることで、価値を創造する「機会」を見出すことができます。

3. 実務での応用

 以下は、リスクと機会について、2つの監査実務の例となります。

(1)リスクと機会の統合的な評価

【評価の例:システム開発プロジェクトの監査】
■リスク評価

  • プロジェクト管理の不備

  • 品質管理基準の未整備

  • テスト不足

■機会の特定

  • アジャイル開発手法の導入

  • 品質管理プロセスの標準化

  • 自動化テストの導入

(2)価値創造型の内部監査報告

 内部監査報告書において、以下のような構成とすることで、より建設的な対話が可能となります。
現状の課題(リスク)
 「システムアクセス権限の定期的な棚卸しが行われていない」
想定される影響
 「不適切なアクセス権限による情報漏洩リスク」
改善の方向性(機会)
 「権限管理の自動化による効率的なコントロールの実現」
期待される効果
 「コントロール強化と運用負荷の軽減の両立」

4.まとめ

 「リスク」と「機会」は、コインの表と裏のような関係にあります。内部監査人は、リスクを適切に評価しつつ、そこに潜む改善や価値創造の機会を見出すことで、組織により大きな価値を提供することができます。

次回予告

 第9回は、「効率性」と「有効性」というテーマを取り上げます。

いいなと思ったら応援しよう!