IT Compliance Summit2010セミナーレポート

経済危機で重要性が高まる内部監査の役割

東洋大学総合情報学部教授島田裕次氏

更新日: 2010/03/17
公開日: 2010/03/12

通知

近年、内部監査の役割が大きく変化している。従来の検査中心の内部監査から業務改善のための改善提案を行う内部監査を実施する企業が増えている。経済環境が厳しい状況を乗り切るためには、内部監査を経営に生かせるかどうかが重要なポイントの一つになる。島田裕次氏のセッションは、内部監査の本来の目的を明らかにし、どのように経営に生かせばよいのかを解説するものとなった。

通知

内部監査の原点は「組織体の運営への価値の付加」

　そもそも内部監査とは何か。その活動の基本指針となっているのは社団法人日本内部監査協会が作成した審査基準だが、内部監査は任意監査であり、法定監査ではない。そのため、公認会計士が行う法定監査のようにルールに縛られず、柔軟性があるともいえる。

　内部監査では、厳しい経営環境下で、自社にとって何が重要かを明らかにすることが不可欠となる。ポイントになるのは「戦略、施策の点検・評価」、「コンプライアンスの点検・評価」、「効率性や業務管理の点検・評価」、「人材育成や技術力向上・継承の点検・評価」などだ。ただ、自身が企業のシステム監査、内部監査において豊富な経験を有する島田裕次氏は「内部監査は、経営を支えるため行われるものであり、経営にマイナスの影響を与えるようでは本末転倒」と強調する。

　内部監査人協会による内部監査の定義で、ポイントになるのが「組織体の運営に関し価値を付加し、または改善するために行われる活動」という部分であり、そのために行われるのがアシュアランス（保証）とコンサルティング活動だ。では付加価値とは何か。列挙すれば業務処理の正確性確保、情報セキュリティの確保、有効性、効率性の向上、投資対効果、業務の改善、不正の防止、コンプライアンスの確保などが思い浮かぶが、その内容や重要度は業種などにより大きく違う。そして自社のリスクについて顧客・取引先・従業員・委託先などを考慮しながら検討する必要がある。

東洋大学

総合情報学部

教授

島田裕次氏

J-SOXや様々なマネジメントシステムが求める内部統制と、内部監査はイコールではない

　それでは経営に活かす内部監査とはどういうものか。内部監査は、利益を上げてコンプライアンスを確保するという、ほとんどの企業に共通する目標を達成するための仕組みだといえる。課題を発見すれば、そこから管理の仕組みの改善、強化につなげていく。

　J-SOX対応が初年度のピークを越えた時期から、内部監査部門スリム化を検討している企業もあるようだ。ただ金商法の内部統制で有効性評価されるのは財務報告の正当性であり、幅広いリスクマネジメントのための内部監査とイコールではない。それは品質、環境、情報セキュリティなどのマネジメントシステムでも同様だ。
そして内部監査部門は、従業員だけでなく経営者もチェックする。さらに経営の視点に立って、内部統制やリスクマネジメントに関する指摘や改善勧告を行うこともあれば、担当者が行うオペレーショナルな視点での指摘や改善勧告も行う、というのが島田氏の見方だ。

　留意しなければならないのが、不正発見や不正調査と内部監査ではアプローチが違うということだ。内部監査では被監査部門のマネジメントの仕組み全体に網をかけてチェックするのに対し、不正発見は可能性の高い部門対象で一本釣りするイメージになる。

リスク重視から目的重視の監査アプローチへの転換を

　公認会計士による監査の基本は、リスクアプローチだ。予備調査をし、リスク分析・評価、本調査、指摘・改善勧告を行う。ただリスクの大きな領域は、経営者も被監査部門も注意し、対応している可能性が高い。意外に怖いのはリスクマネジメントの狭間、つまり縦割りになっている各組織のマネージャーの目が行き届かない部分にあるリスクだ。
そもそも企業活動には目的があるから、リスクが生まれる。今まではリスクとコントロールを重視してきたが、その前に目的を把握することが必要だ。たとえば法人相手の運送業者が、宅配便事業を始めた場合、当然リスクも変わる。

　ここで島田氏が紹介したのが、1990年にナドラー及び日比野によって公表された「ブレイクスルー思考」だ。ポイントとなるのが思考のパラダイムシフトで、これまでの内部監査で「常識」と考えられてきた手法を一度再検討することも必要だ。たとえば他社の成功事例を探し回るのではなく、まず自社の監査対象の「場」つまる誰が、何時、どこで、を明確し、監査対象の目的を踏まえてあるべき姿（to be）を考える。そして監査の専門家だけに任せるのではなく、関係者を巻き込んで監査の実施及び改善勧告に生かす。たとえ現時点で問題がなくても「先の先のあるべき姿」を考えて適切性を監査する、という具合だ。

　一般に監査が好かれないのは、様々な指摘をするからだ。しかし、最近では変わってきている。定年間際の職場ではなく若手も多い。監査とは健康診断のようなものであり、患部の早期発見と対応、健康であることの証明、体力年齢のアップなどを行う。

　リスクマネジメントシステムを点検評価するのが、内部監査の役割といわれている。監査人は、自社の業容、規模、抱えているリスクに合わせて、どのような監査を実施すべきか、イメージできなければならない。一方、経営者や被監査部門も、監査を業務改善に積極的活用する姿勢が無ければならない。内部監査に関係する者が、それぞれの役割を果たすことによって、企業力を強化できるのだ。

　監査人がスキルアップすれば付加価値の監査が可能になり、組織内での認知度が高まり、内部監査についての関心が増大する、という内部監査の価値向上サイクルを回すことが求められている。

この記事は参考になりましたか？

印刷用を表示

IT Compliance Summit2010セミナーレポート連載記事一覧: 企業倫理から考えるセキュリティ対策

IFRSに立ち向かう！ ITの活用による経営管理基盤構築の道標

変化するＩＴコンプライアンス対応への統合管理セキュリティフレームワーク

もっと読む

この記事の著者: EnterpriseZine編集部（エンタープライズジンヘンシュウブ）

「EnterpriseZine」（エンタープライズジン）は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事