見出し画像

06/15 内部監査という選択:多様な人財が活きる新たなキャリア(第6回)

TAIZO

リスクベースの内部監査の実践方法(効果的な監査の実施のために)
本連載では、内部監査という職業が持つ可能性や魅力を、私自身の20年以上にわたる経験をもとに、全15回にわたってお伝えしています。

はじめに

前回は、内部監査の基本プロセスについて解説しました。今回は「リスクベースアプローチ」の具体的な実践方法に焦点を当て、監査を組織にとってより価値あるものとするための方法論を紹介します。限られた監査資源を最大限活用するこのアプローチは、内部監査において不可欠です。


1. リスクベースアプローチとは

リスク評価の結果に基づいて監査対象や監査手法を選定することで、効果的かつ効率的な監査を実現する考え方です。
(1) リスクベースアプローチが必要となる主な理由

  • リソース配分の最適化:限られた監査リソースの効果的な活用

  • 重要なリスクの見落としを防ぐ:高リスク領域を優先的に監査

  • 付加価値の提供:経営上の意思決定に資する洞察の提示

  • 未然防止の視点:問題が顕在化する前に対応

(2) リスクベースアプローチの全体像

  1. リスク評価を通じた監査対象の選定

  2. リスクシナリオを基にした監査手続の設計

  3. 重要度に応じた監査深度の検討

  4. 監査対象部門とのリスク認識に関する対話

【補足】

  • J-SOX対応では、財務報告における重要な虚偽表示リスクが焦点。

  • 法規制対応監査では、規制違反による罰則やレピュテーションリスクが焦点。

2. リスク評価の実践方法

リスク評価は、リスクベースアプローチの核となるプロセスです。
(1) 基本ステップ

  • リスク要因の識別

  • 影響度と発生可能性の評価

  • リスクの優先順位付け

(2) 実践的な評価手法

  • リスクマトリクス:リスクを視覚的に整理

  • 定性的評価・定量評価:データと専門家の知見を統合

  • 過去の監査結果の活用:傾向やパターンを分析

  • 経営層の関心時を考慮:組織の優先課題を反映

【補足】

  • ガバナンス監査(※1)では、戦略目標達成への影響度が重視される。

(※1)シリーズ第2回で紹介した内部監査の分類1:「i. 組織のガバナンス、リスク管理、内部統制を評価・助言する内部監査」)

3. リスク評価結果の監査計画への反映

リスク評価で得た結果を、計画にどのように活用するかが成功の鍵となります。
(1) 年次監査計画への反映
(※個別監査の計画前に、年次監査計画の立案時にも全領域を対象としたリスク評価が実施されます)

  • 監査対象の優先順位付け

  • 監査頻度の設定

  • 監査に必要な専門性の検討

(2) 個別監査計画への展開

  • 監査範囲と重点項目の設定

  • 監査チームの編成とスケジュールの作成

【補足】

  • J-SOX対応:重要性基準を考慮した評価範囲の設定。

  • 法規制対応監査:規制当局の動向も反映。

4. リスクシナリオを基にした監査手続の設計

効果的な監査手続を設計するためには、リスクシナリオを活用します。
(1) リスクシナリオの作成

  • リスクイベントの特定と原因分析

  • 各リスクを低減するためのコントロールの有効性の理解

  • 残余リスクの評価(※コントロールしてもなお、残るリスク)

(2) 監査手続への展開

  • 重点事項の特定

  • 適切な監査技法の選択(※インタビューや観察、再実施など)

  • サンプル数や実施時期の検討(※監査対象は全領域であっても、監査実施時には、通常、サンプル抽出となります)

【補足】

  • J-SOX対応やISO等のマネジメントシステム監査:既存のコントロールの有効性を確認。

5. リスクの重要度に応じた監査深度の検討

リスクの重要度に応じて監査の深度を柔軟に調整します。
(1) メリハリをつけた監査の実施

  • 高リスク領域に焦点

  • 低リスク領域に対する監査の効率化

  • 柔軟な監査手続の見直し

(2) 監査証拠の収集と評価

  • 証拠の十分性と適切性を確認

  • 必要に応じて追加手続や専門家の活用を検討

6. 発見事項の評価とリスク認識に関する対話

監査で得た知見を組織の改善に役立てるには、経営層や監査対象部門との効果的なコミュニケーションが欠かせません。
(1) 発見事項のリスクベース評価

  • 事実確認とリスクが組織に与える程度を評価

  • 改善提案の優先順位付け

(2) リスク認識に関する対話のポイント

  • 経営層や監査対象部門のリスク認識の根拠を確認

  • 発見事項の根本原因を踏まえた改善対応のすり合わせ

  • 改善対応に関するモニタリングの実施

【補足】

  • ガバナンス監査(※1):個別の発見事項(事象の背景や原因も含む)からの示唆にも言及。

  • 法規制対応監査:緊急性を踏まえた報告。

7. 次回に向けて

次回は、効果的な監査報告とフォローアップに焦点を当て、監査の結果を組織の改善にどう活かすかを解説します。

おわりに:読者へのメッセージ

リスクベースアプローチは、高リスクの領域を重点的に監査することで、監査の効果を最大化する手法です。この手法は監査の効率性を高め、組織が直面するリスクに的確に対処するための基本となります。


いいなと思ったら応援しよう!