PwCは、チェックリストとローテーションで行う従来の伝統的な準拠性監査から脱却し、最新のアプローチ、フレームワーク、テクノロジーを活用することで、経営基盤に着目した内部監査態勢を構築・高度化することを総合的に支援します。
グローバル化の進展や地政学リスクの高まり、対応すべき環境・社会問題の多様化、AIをはじめとするテクノロジーの進化に伴い、前例のない規模で複雑なリスクが次々に発生しています。このように多様なリスクへの対応が求められる環境下においては、企業は内部監査態勢を高度化させ、グループを総合的かつ機能的に管理する必要があります。
伝統的な内部監査では、現状のガバナンス・リスク管理・統制プロセスに対する評価としての「組織価値の保護」に重点が置かれていました。しかし今日の内部監査は、経営戦略の執行状況ならびに、将来の統制プロセスやその他のプロセスに対する評価としての「組織価値の向上」に着目することが求められるようになっています。
また日本では、2021年6月11日に「改訂コーポレートガバナンス・コード」(以下、「改訂CGコード」)」が公表されました。改訂CGコードでは、取締役会の機能発揮、企業の中核人材における多様性の確保、サステナビリティを巡る課題への取り組みなどの改訂が行われ、上場企業のガバナンス強化への取り組みに大きな影響を及ぼしています。
翻って、ガバナンス強化の一翼を担っている内部監査に関しても、これらの改訂の影響は大きく、今後ますます監査部門に求められる役割や責任範囲が増えていくと考えられます。
従来の内部監査では、以下のような課題が見受けられます。
グループ全体の第1線・第2線の成熟度や、グループ会社の内部監査成熟度に合わせたグループにおける内部監査体制を実現
リスクの洗い出し、重要性の検討、簡易アシュアランスマップ*の策定などを通じて、重要なリスクへの対応状況を整理し、年度内部監査計画や個別監査計画などへのプロセスを改善
*リスクと関連する3ラインのアシュアランス活動との関係を整理した一覧表であり、アシュアランス活動の役割・責任を明確化
3ラインモデル*を骨格とし、第2線と第3線の役割分担を明確にしたうえで、第2線の機能強化を支援し、第3線の独立性を確保
*COSO(Committee of Sponsoring Organizations of the Treadway Commission:トレッドウェイ委員会支援組織委員会)の「内部統制の統合的フレームワーク」において示されている、3つのラインの役割を明確にすることで、組織のコントロールとリスク管理を十分に機能させ、企業価値の創造につなげる考え方
DXツールやAIを活用し、デジタル化による効率性の高い内部監査を実現
1. リスクライブラリの作成
事業理解・中期経営計画などにより、組織体に影響を及ぼすリスクを網羅的に洗い出します。
2. アシュアランスマップの策定
どの部門がどのようなアシュアランス活動を行っているか情報収集し、第2線での統制活動と第3線での内部監査活動のマッピングを行います。
グループ全体のアシュアランス活動を整理するアシュアランスマップを活用することにより、監査による内部統制システムのアシュアランスに必要となる要件を検討し、内部監査対象領域を明確化します。
No. |
視点 |
何をすべきか |
1 |
アシュアランスの死角はないか |
誰がアシュアランスすべきか、会社全体のアシュアランスを俯瞰して、関連する第1線・第2線と議論する。 グローバル組織に整合したアシュアランスを提供できているか、監査対象・スコープを確認する。 |
2 |
アシュアランスの重複はないか |
スコープが重複する場合、棲み分けができているか確認する。 |
3 |
必要な報告先に情報を提供できているか |
発見した課題を各ライン間で共有し、横展開すべき視点がないか検討する(リスク低減への貢献)。 |
4 |
アシュアランスに必要な情報を入手できているか |
監査先を含む他部署が行ったモニタリング、レビュー、監査結果などを入手し、監査先の状況を事前に把握・分析する。 |
5 |
第3線がフォーカスすべきリスクは何か |
第2線のモニタリング・監査でどのような課題が挙げられているのかを把握・分析する。 第2線がカバーできていないリスクを識別する(#1に関連)。 |
3. オーディットユニバースの策定
リスクライブラリの中から、第1線・第2線からの情報収集(ボトムアップアプローチ)、経営者目線のリスク評価(トップダウンアプローチ)を行い、監査対象リスクの一覧(オーディットユニバース)を策定します。
オーディットユニバースの例
No. | 監査対象リスク |
リスクの内容 |
1 |
会計・税務 |
不適切な会計処理により当社決算が歪められるリスク、不適切な税務処理により脱税となるリスク |
2 |
情報開示 |
社内広報、財務諸表、CSR報告書、リリース情報などの開示や風評被害への対処にあたり、不適切または不明瞭な開示の内容や公開時期の遅れなどが当社への信頼を毀損し、経営や業務遂行に影響が生じるリスク |
3 |
与信・債権管理 |
取引先に対する与信管理が徹底されていないことにより、資金回収の遅延や貸し倒れが発生するリスク |
4 |
事業資産 |
事業に必要な建物、設備、土地、在庫などの資産が管理の不備により継続使用できない、所定の機能を発揮できないといった事態が発生し、経営や業務遂行に影響が生じるリスク |
4. オーディットユニバースをベースとした年度監査計画の策定
5. 監査拠点の選定および監査計画への反映
オーディットユニバースをベースとし、事業、地域固有のリスクを加味した監査拠点の選定および監査計画への反映により、リスクベースでの監査を実現します。
6. 3ライン間のコミュニケーションの促進による効果的なアシュアランスの提供
内部監査の計画段階におけるスコープの検討、アシュアランス活動で発見された課題を共有する場の構築を促進し、第1~第3線のコミュニケーションを促進します。
経営者によるリスク対応状況を俯瞰的に確認し、アシュアランス活動に関するノウハウ・知見を集約することで、指摘事項と提言事項の品質を向上させます。また、他部門からリソース(専門知識)の提供を得ることで、より効果的なアシュアランス業務を最適な形で提供可能な態勢の構築を支援します。
また、前述のアシュアランスマップを用い、第1線での事業活動、第2線での統制活動と第3線での内部監査活動をマッピングすることで、より効果的かつ効率的なアシュアランスの提供が可能となるグループ内部監査態勢を検討します。