{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
経営環境の変化に伴ってリスク管理の重要性が高まる昨今、企業を取り巻くステークホルダーの内部監査への期待が高まっています。内部監査組織は自らの活動の品質を評価すると同時に、定期的に外部からの品質評価を受けることで内部監査の品質を担保し、ステークホルダーの期待役割を果たしているかどうかを確認することが重要です。
内部監査の品質評価を行うことによって課題を認識し、解決へ向けたアクションを取ることは、内部監査の有効性および効率性の向上、ひいては内部監査の高度化につながります。
内部監査人協会(IIA)が定める「内部監査の専門職的実施の国際基準」(以下、「IIA基準」)では、品質のアシュアランスと改善のプログラムとして、1)「継続的なモニタリング」、2)「定期的なレビュー」、3)「5年に1回以上の組織体外の適格にして独立な評価者によるレビューおよび、品質評価結果の最高経営者および取締役会への報告」を求めています。
内部監査の品質評価における評価業務は、下表の3タイプに区分されます。
PwCは、IIAの「内部監査品質評価ガイド」(以下、「品質評価ガイド」)に基づくフル外部評価、自己評価と独立した検証(Self Assessment with Independent Validation:SAIV)のいずれの外部評価方法にも対応しています。また会社による内部評価の支援も可能です。内部評価の一環として、本社内部監査部門によるグループ会社の内部監査品質評価(地域統括会社、子会社の内部監査機能の均質化・高度化を目的とした評価)などの支援も可能です。
フル外部評価においては、「IIA基準への適合性評価」と「内部監査の有効性・効率性の評価」の両方の観点から評価を行います。「内部監査の有効性・効率性の評価」には、企業を取り巻く最近の経営環境の変化や他社での内部監査実務の動向・ベストプラクティスを踏まえつつ、PwCのこれまでの支援業務を通じて蓄積された豊富な知見に基づいて行う「高度化の機会に向けた内部監査の有効性・効率性の評価」と、PwCがグローバルで保持する最新のベストプラクティスに基づいて行う「ベンチマーキング分析」があります。
IIA基準への適合性評価と内部監査の有効性・効率性の評価の2つの評価のどちらにどのくらい比重を置くかについては、クライアントと相談の上、進めていきます。
なお、このベンチマーキング分析で利用するグローバルの動向・ベストプラクティスは内部監査の実務に合わせて、随時追加・更新しているため、評価日時点での評価基準(評価項目)に基づく結果の提供となります。そのため、5年前の成熟度の評価の段階「5」が、現在の成熟度において、必ずしもも同レベルということは意味しません。
外部評価は、通常、次の4つのプロセスから構成されます。
まず、マネジメントをはじめとするステークホルダー(※1)へのインタビューにより評価方針・評価計画を立案し、評価要素ごとに分析・評価を行います。最終的にはクライアントとの調整を経て、外部評価報告書を発行します。
※1:ステークホルダーとは、内部監査の利用者であるマネジメント、内部監査担当役員、監査委員・監査等委員・監査役等、内部監査の受け手である被監査部門、内部監査の遂行者である内部監査部門長、内部監査部員などを指します。
一般的に、PwCが提供をする外部評価では、外部評価方法論であるExternal Strategic Assessment(ESA)を適用します。この方法論は、「品質評価マニュアル」(IIA)およびPwCがグローバルで保有する内部監査のベストプラクティスに係る情報に基づいて構築されています。これにより、内部監査における最高水準の実務との比較を通じた高度化の実現が可能となります。
なお、業界特性およびクライアントの要望を踏まえ、ESAをベースとして、例えば金融機関では金融庁による「金融機関の内部監査の高度化に向けた現状と課題」の4段階の評価や海外当局による内部監査のガイダンスに基づくギャップ分析などを取り入れることも可能です。
PwCは、内部監査の品質評価基準としてProfiler™を活用した内部監査の成熟度評価を提供しています。このProfiler™は、PwCの考えるプロセスレベルのベストプラクティスや、世界の多くのトップ企業で行われている内部監査の実務に基づき、外部評価および改善提言を行う際にPwCが活用してきたのみならず、グローバルのトップ企業の内部監査組織も内部評価基準としても活用してきました。
前述のとおり、PwCは定期的にこの評価基準を更新することでグローバルベストプラクティスを反映した品質評価を提供してきましたが、2023年よりProfiler™をConnected risk engingプラットフォーム(以下CREという)上で、「IIA基準への適合性評価」「成熟度評価」などの複数の評価基準に分割し、「Internal Audit Stakeholder Assessment」「Total Impact of Internal Audit(TIIA)」「ESG for Internal Audit」などの新たな評価基準も追加。現在の内部監査組織に求められる機能に即した内部評価、外部評価の支援ツールへと生まれ変わらせることとしました。
Profiler™によるベンチマーキング分析では、社内のステークホルダーからの評価が高い内部監査部門に共通して見られる特性である基本要素に基づいて、内部監査業務プロセスの成熟度レベルを評価してきました。
この基本要素として、2017年版までは8つの要素から評価を実施してきましたが、2020年版以降はビジネスのDXに伴い、内部監査組織に求められるデータ分析やテクノロジー活用の重要性などを踏まえ、CREでも基本要素の統廃合を行って5つの要素から評価を実施してきました。
また、内部監査業務プロセスの成熟度レベルは、低い方から順番に「最小限の貢献者」「問題発見者」「アシュアランスプロバイダー」「問題解決者」「洞察提供者」「信頼されるアドバイザー」の6段階に区分し、それぞれの基本要素と全体機能に対して成熟度レベルの評価を実施、テークホルダーの期待と現状のパフォーマンスに対する評価を比較することで、改善効果の大きい分野の識別を支援してきました。
2023年以降は、従来の6段階の成熟度レベルから、昨今の内部監査機能の成熟度に併せて「最小限の貢献者」の段階を無くし、「問題発見者」以上の5段階とします。また、CREへの移行においては、評価目線の中、データやテクノロジーの活用度合の要素を拡充しています。今後実施する成熟度評価においては、段階的に新たな評価の要素を加味します。
これからもPwCは時代の変化にあわせて、内部監査のあるべき姿を考え、皆様が活用しやすい評価軸を提供すると同時に、内部監査評価(外部評価・内部評価)を支援いたします。