内部監査機能の外部評価とPwCの内部監査の成熟度モデル

2019-07-09

ここ10年ほどで内部監査機能の外部評価を行う企業は相当増えており、外部評価はかなり一般化したと思われます。

内部監査機能の外部評価は、内部監査人協会(IIA)が定める内部監査の品質に係る基準を用いた評価を行うことが多いです。評価結果は「一般的に適合している(GC)」、「部分的に適合している(PC)」、「適合していない(DNC)」の3つの適合度で表されます。IIAは5年に一度以上の頻度で、外部機関による評価を実施することを推奨しており、PwCでも企業から依頼を受けて評価を実施しています。

PwCではこれとは別に、内部監査の成熟度モデル(以下、成熟度モデル)を有しています。本稿では同モデルの有効性と、内部監査機能の高度化への示唆を述べます。

成熟度モデルはIIAの評価と異なり、基準への適合状況を見るのではなく、高度化の発展段階で評価を行うものであり、企業の内部監査部門は、自社の現在の位置とステークホルダー(取締役会、監査委員会、監査役、社長など)からの期待、次のステップに向けての高度化の要所を知ることができます。また評価結果を、個社を特定できない形でグローバルに共有しており、他社との比較も可能となっています。

PwCの成熟度モデルは6段階となっており、企業の内部監査部門は盲目的に高度化を目指すのではなく、どの段階を目指すべきかについて知ることができます。これにより成熟度モデルを、ステークホルダーとのコミュニケーションツールとして利用することもできます。

成熟度モデルの3段階目(「アシュアランス提供者」)はおおよそ、IIAの評価基準でいう「一般的に適合している(GC)」を満たす水準に相当するものでありますが、ここから先は、内部監査部門だけの努力では上位を目指すことは難しくなります。取締役会、監査委員会、監査役、社長といった内部監査部門のステークホルダーが内部監査部門をどのように位置づけ(レポーティングライン)、活用するのか、またどの程度、内部監査部門(の発言やその為の十分なリソース配分)をサポートするかにより成熟度の段階は異なってきます。

PwCでは内部監査機能の外部評価において、取締役をはじめ多くのステークホルダーにインタビューを行い、内部監査に対する期待を確認しています。会社やステークホルダーによって内部監査に求める期待は異なっており、内部監査を戦略面で活用することに好意的なステークホルダーから、あくまで内部統制に係る合理的保証を最重視するステークホルダーまでさまざまです。さらに、事業部門長においては内部監査部門とのコミュニケーションが、個別監査結果の報告や経営会議での年に数回の報告に限定されているケースも見られます。その場合、内部監査に対する印象はそれほど強いものでもなく、能動的な活用までは期待していないことも多いです。

このような場合、内部監査部門は担当役員を含めて、内部監査がどのような機能を提供することができるのか、ステークホルダーに知ってもらう必要があると言えます。その上でステークホルダーに何を期待するのか、ガバナンスの観点からどのように位置づけるべきか議論してもらうことが有用であると考えます。

内部監査機能の高度化にあたっては、他の部門との連携が必要になってくるでしょう。ここでは3つのディフェンスラインに照らして考えます。第1線(業務執行部門)、第2線(リスク管理部門、コンプライアンス部門)の成熟度により第3線(内部監査部門)の果たす機能も異なってきます。PwCの内部監査機能の成熟度の5段階目以上(いわゆる「経営監査」の領域)を目指すためには、第1線の自律的統制、それに対する第2線による監視機能の充足性が満たされない中では、十分なリソースをこの領域に配置するのも難しくなります。すなわち、内部監査機能を単独で高度化するだけでは成熟度の高度化には結びつかないということです。3つのディフェンスラインについての再整理・再検討がIIAでなされており、その中で3つのディフェンスライン間の連携の重要性について触れられていることは、その点で関連していると言えます。

内部監査の高度化というと、最近ではアジャイル監査をはじめとする内部監査の手法・アプローチやデータ・テクノロジーの活用といったテクニカルな議論も盛んでありますが、内部監査機能の成熟度を上げるためには、内部監査を活用するステークホルダーの理解促進やガバナンスの観点での高度化が前提となります。外部評価を過去に行った企業では、多くの場合、2回目以降の評価においては全て「一般的に適合している(GC)」の評価を得ているケースも多いと思われます。その意味で、IIAの基準を活用した外部評価を行い、そこで得られた結果を踏まえて改善、高度化をしてきた意味は大きいと言えます。

今後、さらに成熟度を上げていくことを企図するのであれば、内部監査部門に閉じて考えるのではなく、ガバナンスや3つのディフェンスラインの成熟度の観点を含め、内部監査機能をより広く評価、議論してくことが重要になると思われます。

執筆者

辻田 弘志

パートナー, PwC Japan有限責任監査法人

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}