リスク・内部統制の可視化による対話・支援型の内部監査の高度化

はじめに

対話・支援型の管理・監査の高度化やリスクアプローチの高度化には、まずリスクや内部統制の情報を可視化することが肝要です。コロナウイルス感染症の影響で現地往査に行けない状況でも、リスク・内部統制に関する課題が可視化されることにより、被監査会社と焦点がより定まった深い対話ができるでしょう。また、可視化された情報により、マネジメントや第2線の部門との対話も今まで以上に促進できるというメリットもあります。

1 ガバナンス・内部監査の現状・トレンド

日本企業の伝統的なガバナンススタイルは現地現物型と称されることがあります。また、欧米系企業の検査・警察型の組織的な監視型のスタイルと対比して、対話・支援型の人的なガバナンスと称されることもあります。

グループ統一ルールを制定し、グループ会社にそれを従わせるのではなく、グループ会社各社の自主性を重んじている企業や、グローバルリスクマネジメント・コンプライアンスの態勢がまだ十分に整っておらず、リスクマネジメントがグループ会社の末端にまで浸透しているとは言いがたい企業にとっては、現地現物型での対話・支援型の人的な管理・監査スタイルがとりうる有効なスタイルであったと考えられます。

人の物理的な移動と対話が制限されるアフターコロナ時代の状況は、日本企業の伝統的なスタイルには完全に逆風であるようにも思えます。特に現地現物主義によって徹底した対話・支援を実践してきた企業にとっては確かに逆風かもしれません。

今まさに、内部監査の在り方・方法にメスを入れて、逆風を好機に転ずる取り組みが始まっています。

2 改革の方向性:リスク・内部統制の可視化

対話・支援型の管理・監査を維持・強化するためには、対話・支援の対象となるリスクと内部統制の情報を可視化するのが有効な方策です。対話の対象となるリスクと内部統制の見える化(可視化)がなされれば、ステークホルダーとの建設的な議論が可能となり、ステークホルダーの納得感が高まります。

CSA(Control Self Assessment)や監査等を通じて得た情報をデータ化し、各拠点の経営基盤の成熟度等の可視化、拠点間比較・経年比較により、ステークホルダーに対してインサイトを提供することも可能になるでしょう。

さらに、現地往査前の監査準備、つまり被監査会社のリスク評価を強化することにより、現地往査の制約による監査深度の課題を改善できるようになります。

1. Risk Control Self Assessment(RCSA)

リスク・内部統制の情報収集と可視化において、CSAにRisk(R)を加えたRCSAの活用が有効です。本稿ではRCSAを使って、リスク・内部統制の情報を可視化する事例を紹介します。

まずは、リスクや内部統制に関する情報を収集します。効果的なアンケートを設計し、アンケートツール、情報収集・コミュニケーション支援ツールに組み込むことで、従来は現地往査を通じて得ていた情報を、広範囲かつ効果的・効率的に収集することが可能となります。

2. 内部統制の理解・評価の視点

内部統制に関する情報収集と評価を進めていく場合に参考になるのが、PwCのExCUSMEアプローチです。このアプローチは、一般的な内部統制の整備・運用・評価を把握するフレームワークの1つとしてPwCが整理・活用しているものです。

内部統制やそれに付随したプロセスがうまく機能するための重要な要素として、「存在・伝達・理解・支援・監視・徹底」の6つがあることに着目し、この視点から内部統制の状況を全般的に理解することを可能にします。

  • 存在Existence):関連するプロセスまたはプログラムが組織に存在している。
  • 伝達Communication):プロセスまたはプログラムの存在が、関係者に周知されている必要がある。
  • 理解Understanding):プロセスまたはプログラムが有効であるためには、プロセスまたはプログラムが関係者によって理解されている必要がある(各自の役割および責任を含む)。
  • 支援Support):プロセスまたはプログラムが有効に運用されるためには、それが支援されている必要がある。
  • 監視Monitoring):プロセスまたはプログラムの品質を検証するためには、それが監視されている必要がある。
  • 徹底Enforcement):プロセスまたはプログラムが有効であるためには、それが経営者によって徹底されている必要がある。

内部統制を理解・評価する際には、是非この視点を取り入れてみてください。内部統制や付随するプロセスがうまく機能するための重要な要素に着目しているため、内部統制がうまく機能していない場合、その原因を迅速に把握できるようになり、有効な対策を講じるのも容易になります。

3. 可視化

最後に、リスク情報およびリスク対応状況(経営基盤成熟度)を、BIツールを使用して可視化します。前掲の図表1は可視化した画面例ですが、リスクの重要性、固有リスクと残余リスクの程度、内部統制の要素別成熟度等を視覚的にわかりやすく一覧できます。また、地域・拠点間比較や経年比較も可能です。

固有リスクと残余リスクの評価

図表2は、固有リスクと残余リスクを表示しており、固有リスクと残余リスクとを比較できます。また、全社平均と比較することで、グループにおける被監査会社の現状レベルを把握することができます。

コントロール要素別評価

図表3では、上述のExCUSMEの要素をベースに、要素別に内部統制を評価しています。それぞれの要素の点数が高ければ高いほど、内部統制の有効性は高いと判断され、その結果、残余リスクは低くなります。また、この表を見れば、それぞれのリスクに対する内部統制のどこに課題があるのかを把握できます。この表を見ながら、被監査会社と対話を行えば、より建設的で深度のある対話も期待できるようになります。

残余リスクの前期比較

図表4は、残余リスクの経年比較をしています。固有リスクの評価点が変わらないという前提で、前期より残余リスクの点数が低かった場合、内部統制が強化・改善されていることがわかります。一方、前期より残余リスクの点数が高かった場合は、なぜ前期より点数が増加しているのか、そこから対話を始めていくことが考えられます。

デジタル・トラストサービス・プラットフォームを活用した企業リスクや内部統制の可視化については、以下の記事に詳しく書かれています。

3 内部監査におけるリスクアプローチの高度化

新型コロナウイルス感染症の影響により現地往査に行けず、今まで現場で実施していた被監査会社との直接的なコミュニケーションや、現物や現場の様子を見ることができない。リモートで情報収集・コミュニケーションを試みるも、従来以上に時間を要する一方で、得られる情報量・対話量は従来に比べて減少し、少ない情報の中で監査を実施する結果、表層的な監査になってしまう。

こういった悩みを耳にすることがあります。しかし、本稿で見てきたように解決策はあります。リスクや内部統制の情報を可視化することで、全社平均に比べてリスクの高い会社、残余リスクの高い領域、点数の低い内部統制要素等にポイントを絞って監査資源を投入できるようになり、リスクアプローチの高度化を図ることも可能になります。

さらに、リスク・内部統制に関する課題が可視化されるため、被監査会社とも、焦点が定まった、より深い対話も可能になります。また、マネジメントや第2 線の部門との対話も今まで以上に促進できるという効果も期待できます。

4 まとめ

本稿では、対話・支援型の管理・監査の高度化やリスクアプローチの高度化には、まず可視化されていることが大事だということを述べてきました。コロナ環境下、リモートワーク環境下における内部監査の在り方・方法について悩まれていれば、まずはリスク・内部統制の可視化から始めてはいかがでしょうか。


執筆者

PwCあらた有限責任監査法人
リスク・デジタル・アシュアランス部門
ディレクター 八木 晋

PwCあらた有限責任監査法人
リスク・デジタル・アシュアランス部門
シニアマネージャー 白髭 英一