内部監査における評価範囲の決め方:効果的なアプローチと重要性

2024.09.28

内部監査の評価範囲をどう決めればいいのか。

人員も時間にも限りがある。

全てを評価できないが目的を達成するために評価範囲を選ばなければならない。

こんな時に役立つ内部監査の評価範囲の決め方、考え方を公認会計士として財務諸表監査、任意監査で監査経験のある私が解説します。

ぜひ最後までお読みいただき、効果的な内部監査の実現に役立ててください。

評価範囲とは何か

評価範囲の定義と役割

内部監査において監査対象とする領域プロセス業務、またはシステムの明確な範囲を設定することを指します。

例えば「顧客からの受注の承認プロセス」「研究開発業務」「委託先から受領した個人情報の管理業務」というものです。

評価範囲を明確にすることで、監査の目的や目標に基づいて、

  • どの業務やプロセスが監査の対象となり
  • どこまでを深く評価すべきか

を判断することができます。

適切な評価範囲設定の重要性

適切な評価範囲の設定は、以下の6つの重要性から効果があります。

  1. リスクの網羅性確保
  2. 効率的なリソース配分
  3. 監査品質の向上
  4. ステークホルダーの期待管理
  5. 監査の独立性と客観性の確保
  6. 継続的改善の基盤

それぞれ以下に解説します。

  1. リスクの網羅性確保

組織の重要なリスク領域を見落とすこと無く、包括的な監査を実施すること

  1. 効率的なリソース配分

限られたリソース(時間、人員、予算)を最も重要な領域に集中させること

  1. 監査品質の向上

明確な範囲設定により、監査チームは焦点を絞った深い分析ができ、質の高い監査と改善提案ができること

  1. ステークホルダーの期待管理

経営陣や監査委員会など、関係者との間で監査の範囲と期待される成果について共通理解を形成できること

  1. 監査の独立性と客観性の確保

事前に範囲を明確化することで、監査過程で範囲の恣意的な変更などの不適切な影響を防ぐこと

  1. 継続的改善の基盤

明確な範囲設定は、監査結果を比較しやすくし、組織の内部統制やリスク管理の改善状況を評価できること

これらの重要性を意識し、範囲を決めることが内部監査の価値を最大化し、組織のガバナンス強化に貢献します。

評価範囲の決定は監査計画段階で、できるだけ早期に決める

内部監査の流れは以下のステップで実施します。

ステップ実施内容
全体の監査計画目標、方針、範囲、スケジュール、担当者等を決定
個別監査計画実施する手続き、監査項目、監査マニュアルを決定
予備調査監査対象部署に通知、資料のまとめ、スケジュール調整
監査実施監査手続を実施(資料入手、ヒアリング等の個別手続)
報告書作成監査結果の分析と評価及び報告
フォローアップ改善案の提示、改善指導、対応策の指導

この中の「全体の監査計画」のステップで評価範囲を決定します。

計画では目標と方針を決め、目標を達成するために必要な評価範囲を決めるのです。

また、評価範囲が定まらなければ、評価を受ける側の準備ができません。

不正の疑いがあるといった緊急の内部監査以外では対応する準備期間を確保しておく必要があります。

このため、評価範囲の決定はできるだけ早期に行いましょう。

評価範囲決定の基本原則5つ

評価範囲を決定する際には、効果的かつ効率的な内部監査の実施のために、以下の基本原則5つを考慮することが重要です。

  1. リスク・アプローチの採用
  2. 組織目標との整合性確保
  3. ステークホルダーの期待とのバランス
  4. リソースの最適配分
  5. 柔軟性の確保

以下、それぞれ解説します。

リスク・アプローチの採用

リスク・アプローチとは、組織にとってのリスク(重要性、危険度、緊急性)を評価し、優先順位を付けて効果的に対処する方法です。

内部監査において、このアプローチは限られたリソースを最も重要なリスク領域に集中させ、費用対効果の高い内部監査の実施に役立ちます。

ここで注意しなければならないのは、過去に発生したリスクだけではなく、事業環境の変化や技術の進歩による新たなリスクです。

新しい事業、システムには新しいリスクが生じる可能性があります。

既存のリスクの当てはめで済ませるのではなく、事業やシステムに応じたリスクを評価することも忘れてはなりません。

組織目標との整合性確保

組織には経営計画があり、優先目標があります。

内部監査がその経営計画に貢献するものでなければ、定型的、儀礼的なもので終わってしまい、内部監査を実施するモチベーションを損ない、リソースの無駄になるでしょう。

例えば売上に直接貢献するものでなくても、費用の削減、品質の担保によるクレーム費用の削減というようなかたちで、企業価値へ貢献できます。

企業の目標や方向性と整合させ、内部監査が企業に貢献するものにしましょう。

ガバナンス関係者の期待とのバランス

経営陣、監査委員会、規制当局などのいわゆるガバナンス関係者は内部監査に対してそれぞれ期待をもっています。

経営陣は、特に経営陣が興味ある分野に期待があるでしょう。

監査委員会は、経営者を監督する立場から不正や不効率に対しての効果や成果を期待します。

このようなガバナンス関係者の期待を把握し、バランスをとることが必要です。

経営陣の決断あるいはガバナンス関係者の対話による調整によって最終的に評価範囲を決めます。

その時には目的・目標の達成を軸に調整することが、忖度した内部監査にならず実効性のある監査につながります。

リソースの最適配分

評価範囲の決定は計画時点で行います。

計画時点で利用可能な時間、人員、予算の見通しをたて、重要度が高い・緊急度が高い箇所から重点的に選びます。

逆に、重要度が低い・緊急度が高くない場所は評価範囲に含めるがそれほどリソースを投入しない、あるいは評価範囲から除くという選択を行いましょう。

柔軟性の確保

内部監査は実施に伴い不備や指摘事項、あるいは想定されないリスクを検出することがあります。

この場合には、詳しく調査する必要があるため、追加の監査手続を検討し必要に応じて実施します。

このため、余裕のない計画、評価範囲を設定してしまうと柔軟に動けなくなってしまいます。

評価範囲というより計画全般の話ですが、不測の事態にも対応可能な余地をもたせましょう。

評価範囲を決定する6ステップ

ここでは具体的な評価範囲の決め方の流れを「アクション、具体例、ポイント」で解説します。

1. 組織の全体像を把握する

アクション: 組織図、事業計画、主要プロセスの文書を確認

具体例:

  • 各部門の責任者にインタビューを実施
  • 全社的なプロセスマップを作成

ポイント: 部門間の相互関係や依存関係を理解することが重要

このステップでは理解が中心ですが、同時に資料に残すことを意識しましょう。

組織の構造や役割を理解し把握しますが、それは資料によって残されていなければなりません。

資料がないということは、個々人のノウハウとして記憶されているだけ、あるいは誰も知らないという事態かもしれず、組織運営上は好ましくないからです。

2. リスク評価の実施

アクション: リスクの特定と評価を行う

具体例:

  • リスクマトリックスを作成(影響度×発生可能性)
  • SWOT分析や外部環境分析(PESTLE分析)を活用

ポイント: 過去の監査結果や経営陣の懸念事項も考慮に入れる

どこを評価対象とすべきかを決めるための分析のためのステップです。

最終的な評価のランク数は、多すぎると判断や内部監査実施時に手続選びが複雑になることなどから最大でも5段階に留めるのがよいでしょう。

3. 重要性の判断

アクション: 財務的影響、戦略的重要性、コンプライアンスリスクを評価

具体例:

  • 財務諸表への影響度を数値化
  • 戦略目標との関連性をスコアリング

ポイント: 定量的評価と定性的評価のバランスを取る

前の「リスク評価の実施」ステップで作った評価結果をもとに、内部監査の目標や企業の戦略目標と整合した重要性を評価します。

「リスク評価の実施」ステップでのリスク評価は、必ずしも内部監査の目標に沿った重要性ではない場合があります。

内部監査の目標に整合させるステップとなります。

4. 前回の監査結果のレビュー

アクション: 過去の指摘事項と改善状況を確認

具体例:

  • フォローアップ監査の結果をレビュー
  • 未解決の問題点をリスト化

ポイント: 繰り返し発生している問題に特に注目する

内部監査を実施した結果、不備や指摘・改善事項が検出されることがあります。

検出されたが改善されていない場合、企業にとってインシデントが発生するおそれが高く、危険な状態が放置されていることを意味します。

このため、過去の検出事項のあった箇所を評価範囲に含めるのです。

5. 経営陣とのコミュニケーション

アクション: 経営陣の懸念事項や期待を把握

具体例:

  • 監査委員会との定期的なミーティングを設定
  • CEOやCFOとの個別インタビューを実施

ポイント: オープンな対話を心がけ、建設的な関係を構築する

「4.前回の監査結果のレビュー」までを終えると、評価範囲の計画がおおよそ固まります。

この計画をもって経営陣の承認を得ることになりますが、計画がガバナンス関係者の期待と整合しているとは限りません。

このステップで、ガバナンス関係者の期待の調整を行います。

内部監査の計画は、監査される現場が対応可能であるように作成されており、経営陣等の期待と対応可能な内部監査とで板挟みになることがあります。

このため、調整に際してはオープンな対話を心がけて、立場を守るスタンスで対立や不信感を生じさせないようにしましょう。

6. リソースの配分

アクション: 時間、人員、予算の制約を考慮した範囲設定

具体例:

  • 監査項目ごとに必要な工数を見積もる
  • スキルマトリックスを作成し、適切な人員配置を行う

ポイント: 優先順位の高い領域に十分なリソースを確保する

「5.経営陣とのコミュニケーション」を経て内部監査の計画、評価範囲の大枠が決まります。

最後に、リソースと実施計画を突き合わせ計画の詳細を詰めていきます。

優先度の高い領域から優先的にリソース配分を行うこと、余裕のあるものにすることが大事です。

これらのステップを順を追って実行することで、組織の状況に適した効果的な評価範囲を決定することができます。

評価範囲決定の実践的テクニック

評価範囲を決定する際に活用できる実践的なテクニックについて、基本的な概念と活用のヒントを紹介します。

これらのテクニックは、組織の規模や業種によって使い方をアレンジする必要があります。

プロセスマッピングの使用

プロセスマッピングとは業務や作業手順の流れを視覚的に示す方法です。

通常、図表やフローチャートの形式で表現され、

  • どのように仕事が進行するか
  • どのステップで何が行われるか
  • 誰が関与するか
  • どの資源が使われるか

といった情報を明確にします。

プロセスマッピングを活用するメリットは、リスクポイントの特定、重複や非効率の発見、業務手続きの標準化があり、内部監査にとってとても有用です。

データ分析の重要性

内部監査の対象が電子データである場合は、その対象は数が多いことが想定されます。

全てのデータを同列に扱い、内部監査の手続きを行うことも手段の1つですが、特徴ごとに分けて分析することで効果的な結果が得られることもあります。

例えば金額を階層分けし、金額が大きい階層から重点的に監査手続を実行することで影響の大きいリスクから抑えよう、といったことが可能になります。

データは専門的な監査ソフトウェアで行うこともあれば、Excelで行うこともあります。

データ分析を始める際の注意点はデータの質と量の確保です。

  • データの入手元は信用できるのか
  • データの抽出条件は限定されすぎていないか
  • データは加工されていないか
  • 監査の対象期間全てが含まれているのか

このような「情報源の信頼性」に注意を払う必要があります。

ローテーション計画の考え方

監査対象はリスク評価、重要性の判断の結果、対象外となる領域があります。

この対象外となった領域であっても、一切の内部監査を行わないわけにはいかないものもあるでしょう。

こういった場合には、ローテーション計画の考え方を使います。

重要性が高い領域はローテーションが馴染まないので毎回対象にしますが、重要性が高くない場所はローテーションを用いるというものです。

ローテーションは3年以内に1周、つまり3年に1回は評価対象とするのが一般的です。

また、3年ごとに同じ順番でローテーション計画を続けるのではなく、3年毎に見直すなどし、流れ作業化を防止しましょう。

年間監査計画の策定と柔軟な運用

監査計画は例えば年間を通した監査計画と、四半期ごとの見直しを行うといったように柔軟性をもたせて作成しましょう。

計画策定時には想定されていなかった事態や、予備調査と異なる情報がでてくることはよくあるからです。

計画の見直し時には、下記のような事項を洗い出し柔軟に計画を修正します。

  • 新たなリスクの有無の検証
  • 経営環境の変化への対応
  • 緊急の監査ニーズへの対処

また、効果的な計画管理のために、以下のポイントを定期的(例えば四半期ごと)に見直します。

  • 優先順位の見直し
  • リソースの再配分
  • 計画の進捗状況のモニタリングと報告

計画の進捗状況のモニタリングは、最新の状況を知ることで補強すべきポイントの把握に役立てることができます。

まとめ:効果的な内部監査のための評価範囲の決定

内部監査における評価範囲の決定は、効果的かつ効率的な監査を実施するための重要な基盤となります。

本記事で解説した主要ポイント:

  1. 評価範囲の重要性:適切な範囲設定は、リスクの網羅性確保、リソースの効率的配分、監査品質の向上など、多くの利点をもたらします。
  1. 基本原則の遵守:リスク・アプローチの採用、組織目標との整合性確保、ガバナンス関係者の期待とのバランス、リソースの最適配分、柔軟性の確保という5つの原則を念頭に置きましょう。
  1. 6ステップのプロセス:組織の全体像把握から始まり、リスク評価、重要性の判断、過去の監査結果のレビュー、経営陣とのコミュニケーション、そしてリソースの配分まで、段階的なアプローチを取ることが効果的です。
  1. 実践的テクニックの活用:プロセスマッピング、データ分析、ローテーション計画の考え方、年間監査計画の柔軟な運用など、様々なツールと手法を状況に応じて適切に活用しましょう。

これらの要素を適切に組み合わせることで、組織の状況に適した効果的な評価範囲を決定することができます。

常に組織の目標やリスク環境の変化に注意を払い、必要に応じて評価範囲を見直す柔軟性も重要です。

この記事で紹介した考え方やテクニックを、自組織の状況に合わせて実践してみてください。

効果的な評価範囲の決定は、内部監査の価値を高め、組織のガバナンス強化に大きく貢献します。

内部監査の質の向上を通じて、組織全体の健全な発展に貢献していきましょう。

当記事は以上になります。

最後までお読みいただきありがとうございました。

記事を読んだ感想、質問、疑問点あるいはご指摘事項がありましたら質問フォームにご記載ください。

可能な限りご回答させていただきます。

コメント