今回は内部監査について解説したいと思います。
まずは三様監査について
三様監査とは、内部監査、監査役監査、外部監査の3つを指します。
内部監査
内部監査というのは、組織体の経営目標の効果的な達成に役立つことを目的として、合法性と合理性の関連から校正かつ独立の立場で、経営諸活動の遂行状況を検討・評価し、これに基づいて意見を述べ、助言・勧告を行う監査業務、及び特定の経営諸活動の支援を行う診断業務であると定義されています。つまり、企業自体による自社における業務の有効性や効率性の状況などを確認し経営者に報告する監査です。内部監査自体は法定等で定められているものではなく、企業自体が自主的に行う任意監査になり、経営のために行う監査の位置付けになります。
内部監査の種類として、経営監査、業務監査、会計監査、IT監査(システム監査)などがあります。
また、内部監査にはアシュアランス業務(保証業務)とコンサルティング業務の2種類がありますが、ここではアシュアランス業務に基づく監査について解説します。
監査役監査
監査役監査(監査役設置会社に限定した説明)とは、監査役が取締役の職務執行を確認し経営者に報告する監査です。
監査役監査は会社法に基づいて実施され、会社法では内部統制に当たる概念を「取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適性を確保するために必要なものとして法務省令で定める体制(会社法第362条4項6号)」として規定しています。「法務省令で定める体制」は、会社法施行規則第100条1項で
① 取締役の職務の執行に係る情報の保存及び管理に関する体制
② 損失の危機の管理に関する規程その他の体制
③ 取締役の職務の執行が効率的に行われることを確保するための体制
④ 使用人の職務の執行が法令及び定款に適合することを確保するための体制
⑤ 当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適性を確保するための体制
が示されており、会社法が求めるこの体制を「内部統制システム」と称しています。
外部監査
外部監査とは、公認会計士又は監査法人が企業の財務諸表等の適正性を確認し経営者に報告する監査です。外部監査では、公認会計士等は財務諸表が適切に作成されていることを確認するため、企業の内部統制の整備及び運用状況を確認し、適切に財務諸表が作成されていることの心証をもったうえで財務諸表の監査を実施します。公認会計士等は会計原則への準拠性の確認を行います。
情報交換
これらの監査はそれぞれ独立して実施されますが、監査内容に重複する部分もあり定期的に情報交換することが有効と言えます。
内部監査規程の整備について
ここからは、今回の主題である内部監査を中心に説明します。
内部監査規程
内部監査を行うには、まず最初に内部監査の実施基準となる「内部監査規程」を整備する必要があります。内部監査規程では、
・内部監査の目的
・内部監査の対象
・内部監査の体制・指揮命令系統
・内部監査担当者の義務・責任
・内部監査担当者の権限
・内部監査業務の実施における各種事項
などを定めます。
(1)内部監査の目的
何のために内部監査を実施するのかということを記します。
一般的には、自社における業務の有効性や効率性の状況などを確認する、経営のための監査であることを自社の業務実態に合わせ明確にします。
(2)内部監査の対象
内部監査の対象領域として、コントロール、リスク・マネジメント、コーポレート・ガバナンスといったものが該当します。
内部監査の対象範囲については企業のグループ体制にも拠りますが、一般的には自社と国内・海外も含めた企業グループ全体(株式の50%以上を保有するいわゆる子会社は対象ですが、50%未満の持分法適用会社はケースバイケース)を監査対象とします。そのため当該「内部監査規程」がグループ全体で共有し、グループ会社各社の取締役会等で承認していることが必要になります。
さらに、監査の種類として、経営監査、業務監査、会計監査、IT監査(システム監査)などがあります。
(3)内部監査の体制・指揮命令系統
内部監査の体制は経営者(一般的には社長)の指示により組成されます。そのため、内部監査における指揮命令系統は、社長から指示を受け社長に内部監査結果を報告することになります。内部監査は、通常は年間計画等に基づいて実施しますが、企業内で不祥事等が発生した場合は、臨時監査/特命監査として社長から緊急に確認する指示を受け実施する監査もあります。
(4)内部監査担当者の義務・責任
内部監査担当者は専門職として、監査対象組織からの独立性と客観性を維持して監査を行う必要があります。これらが侵害される場合は内部監査担当者を交代する必要があります。また、監査過程で知り得た機密情報について秘密厳守することは言うまでもありません。内部監査担当者は専門職としての役割を維持するため、日々自己研鑽を積む必要があります。
(5)内部監査担当者の権限
内部監査を実施するには、被監査部門(グループ会社含む)の極秘情報に接する機会が多々あります。しかし、これらの情報が開示されない限り有効な内部監査を実施することは不可能になります。そのため内部監査実施に際しては、被監査部門に内部監査担当者が要求した資料を提示して説明し、監査に協力することが求められます。内部監査は任意の監査であるため、この「内部監査規程」を権限行使の拠り所とする必要があり、さらにグループ会社ではこの「内部監査規程」に従って内部監査を受けるということを取締役会等、会社の決議機関で決議することが前提となります。
(6)内部監査業務の実施における各種事項
内部監査業務プロセスにおける必要事項を定義します。例えば、内部監査の計画、実施、報告における基本事項についてです。詳細はこの後に記載する「内部監査マニュアル」に記載しますが、どういう工程で監査が実施されるのかということ、被監査部門のローテーション(一般的には3年で一回りする)についても記しておくことが必要です。
さらに、監査役や公認会計士/監査法人との意見交換についても明確にしておくことが望ましいです。
内部監査マニュアルに基づいた内部監査手続きと注意事項
内部監査マニュアル
次に、「内部監査マニュアル」について説明します。
内部監査マニュアルに必要な項目は、
・中期内部監査計画に記載する事項
・年度内部監査計画に記載する事項
・個別内部監査計画に記載する事項
内部監査の実施計画
予備調査
本調査
監査報告
改善指示・改善活動
フォローアップ
などです。
(1)中期内部監査計画に記載する事項
中期内部監査計画は、今後3年間における内部監査の計画をまとめたもので、計画策定後に社 長の承認を受ける必要があります。
具体的には、監査テーマの計画、ローテーション計画、要員計画、監査人の育成計画などを計画します。
また、ローテーションについては、3年で監査対象部署(グループ会社含む)一回りするように計画することは当然です。
(2)年度内部監査計画に記載する事項
年度内部監査計画は当該年度における内部監査の計画になります。いつ、どのようなテーマの監査を実施するか年度の計画を作成し、社長の承認を受ける必要があります。
具体的には、監査の方針、監査の主眼点、監査対象部署及び実施期日、監査の項目(監査テーマ後ごとの監査概要の明確化)、特記事項(注意事項など)を明確にします。
特に監査テーマの洗い出しについては全社リスクの一覧などを入手し、リスクアセスメント及びリスク対応計画などを元に監査テーマを選定すると、より効果的な内部監査となります。
また、監査対象部署(グループ会社含む)については上記でも触れていますが、基本的には3年間のローテーションによる部署を中心とし、特定の部署を追加する方式が一般的です。注意が必要なのは、新規に設立した部署、新任の部署長の部署、不正や不祥事が発生した部署などはローテーションの計画以外で対象とすることが望ましいですが、新設の部署・グループ会社や新任の部署長の部署などは、設立・異動後すぐに監査するより、一定期間(半年ほど)経過したのちに内部監査を実施することが望ましいと言えます。
(3)個別内部監査計画に記載する事項
内部監査の実施計画
個別監査計画は、個々の部署・グループ会社の監査における監査の目的や監査項目、スケジュールを決定する工程になります。
具体的に、個別内部監査計画書に記載する項目は次のようになります。
・対象部署名(もしくはグループ会社名)
・監査の区分(定期/臨時など)
・監査の種類(経営監査/業務監査/会計監査/IT監査など)
・監査の主眼点と項目(何に重点をおいて調査しようとしているかという監査項目)
・日程(往査日程、監査報告の日程など)
・内部監査担当者の氏名
なお、個別内部監査計画書を被監査部門に提示するためには、事前に以下の事項を考慮しておくと有効です。
・内部監査の目標:当該年度の監査テーマで監査する時の目標(何を明らかにするための監査かということ)を明確にします
・内部監査項目:監査目標を達成するための具体的な監査項目を記載します。監査テーマごとに何がリスクとして存在しているか具体的に記述したものが内部監査項目になります
・監査日程:予備調査の期間、往査の日程、監査報告の日程などを明確にします
・往査場所:往査で訪問する場所を明確にします
予備調査(事前調査)
予備調査とは、本調査を有効にかつ効果的に実施するための事前準備として、被監査部門や関連部署などから入手した資料の読込、分析、比較等によって行う調査・書面監査です。
そのためには被監査部門から事前に内部監査部門が要求した資料等を提供してもらう必要があります。提供してもらう資料の例として
・体制図
・規程類(要領や業務マニュアル、業務フローのようなもの)
・各種帳票類
これらを精読し、規程類の記述内容の適切性、規程類間の整合性、帳票での異常などを確認し、本調査での確認ポイントを明確にします
これらの調査で、貸与してもらった紙資料への書き込みや破損は厳に慎むべきであり、必要に応じてコピーを取得して書き込むことが必要です。また、当該監査終了後には速やかに紙資料(原本)を被監査部門に返却し、取得したコピーはシュレッダー等による破砕処理が必要です。
ファイルサーバのフォルダにアクセス権を付与してもらった場合は、ファイルの破損に気を付け、ファイルをコピーして利用し、当該監査終了後には速やかにコピーしたファイルの削除が必要です。
この予備調査の結果を受け、監査チェックリストを作成します。
本調査
本調査は被監査部門に往査し、被監査部門の担当者との面談等により事実を確認するステップになります。
往査における確認には、
・面談(被監査部門担当者への質問)
・検証(資料の閲覧やレビュー)
・観察(被監査部門の業務の視察)
などがあり、これらを組み合わせて実施します。
内部監査では、専門職としての懐疑心(疑いの気持ち)を持ち、正当な注意を払い、被監査部門担当者の説明を客観的かつ批判的に観察、検証、評価する必要があります。
本調査時は、内部監査担当者は質問を行いながら、回答内容のメモを取り、記録の確認を行いつつ次の質問への展開を考えるなど、常に多岐に渡って意識を集中しておく必要があります。内部監査担当者側の体制にも拠りますが、慣れた内部監査担当者であれば問題ありませんが、経験の少ない内部監査担当者が実施する場合は二名体制で、記録係を付けると効果的になります。ここでの記録(面談議事録)は、予備調査で入手した資料とともに、監査結果の基となる非常に重要な監査調書となります。
往査終了後、内部監査担当者は気の付いた発見事項について被監査部門責任者に事実確認を行う必要があります。聞き間違いや認識違い等ヒューマンエラーが考えられるので、往査終了時の事実確認は必須です。
これらの情報をもとに内部監査担当者は監査報告書(案)を作成し内部監査室長等に確認の依頼を行い、内部監査室長は監査報告書(案)を確認します。
内部監査室長が監査報告書(案)を承認後、被監査部門と講評会を開催します。出席者は、内部監査室側は内部監査室長、内部監査担当者で、被監査部門は被監査部門の責任者と監査を受けた部門の責任者とし、監査報告書(案)に沿って説明が行われ、言い回しを含めて記載内容に間違いが無いか確認します。間違いがあれば記載内容を訂正し監査報告書を完成させます。
監査報告
講評会終了後に内部監査室長は社長に監査報告書に基づいて報告を行います。
監査報告の際に、合わせて「改善指示書」が社長に提示され、社長は「改善指示書」の内容を承認します。
改善指示・改善活動
内部監査室長は社長が承認した「改善指示書」を被監査部門の責任者へ渡します(改善指示は社長が行うもので、内部監査室長はその代行を行います)。被監査部門の責任者は「改善指示書」の内容を確認し、改善計画を立て改善活動を実施します。改善計画は内部監査室長に報告されます。
フォローアップ
被監査部門は決められた期日までに改善活動を完了し、「是正措置報告書」を内部監査室長に提出します。内部監査室長は是正処置の内容を確認し、同じ原因による同類の事象の発生の有無等を確認し、是正処置の有効性を確認します。
内部監査実施における注意事項
質問方法
質問はオープンクエスチョンで行うことが望ましいです。クローズドクエスチョンで質問すると、はい/いいえで回答が完結し、その後の展開に結び付きにくいので質問はオープンクエスチョンでするように心がけてください。そのためにも、「監査チェックリスト」に記載する質問項目もオープンクエスチョンで書いておくと良いです。
予備調査時間
内部監査は予備調査に時間をかけるとより良い監査になります。一つの内部監査における時間配分を考えると、予備調査に5割、本調査に2割、監査報告書作成に3割程度です。
面談時の体制
上でも書きましたが、二人の監査体制が望ましいです。一人で質問しながら監査調書を記入し、帳票の確認を行いながら次の質問を考えるという複数のタスクを一人で行うことは監査初心者にとっては難しいですし、内部監査経験者であっても複数人で、複数の視点で確認することがより問題点の洗い出しにつながるので、各企業における内部監査体制にも拠りますが、可能な範囲で二名体制での監査実施をお奨めします。
監査目標
監査報告書には監査計画時に想定した内部監査の目標が達成できたのか、達成できたのであればどのような状況なのか記載することが望ましいです。
指摘事項
指摘事項については、発見した事象の重大さに基づいてレベル分けをする必要があります。
重大な指摘事項は、明らかなルール違反(法律、政令、省令、条例、会社の規程類)などの事象
軽微な指摘事項は、こうすればもっと良くなる、このままだといずれ重大な事故につながるなどの事象
これ以外にも、優良事項を書くと現場担当者のモチベーションアップにつながり、同じ業務を行っている他部門の参考になること、さらには業務の有効性・効率性に結び付くので、是非優良事項も取り上げてください。
なお、今回はアシュアランス業務の内部監査を中心に説明しているので、改善指摘事項には具体的な対応策は書かないようにしてください。内部監査担当者から指示された改善策を行ったが効果が無かった場合の影響、あるいは自分が指示した改善策を翌年の内部監査で監査することもありうるので、具体的な対応策は書かないようにしてください(コンサルティング業務としての内部監査の場合を除く)。
スケジュール
スケジュール面では、内部監査終了後から講評会、監査報告書を作成し経営者への報告をするまでの期間を極力短縮するようにしてください。内部監査が終了したら速やかに監査報告書を作成し経営者へ報告します。特に、重大な不正などを発見した場合は、監査報告書の作成を待つまでもなく、すぐに経営者へ報告し対応を協議してください。
不正監査
不正監査を行う時は、不正の三要素(動機、機会、正当性)のうち、会社側でコントロールできるのは「機会」だけなので、監査時には不正が発生する「機会」があるのかを中心に確認することが効果的です。