内部監査って役に立つの？②（20180224）

内部監査着任2年目の話になりますが、私の生協でちょっとした不祥事が発生しました。
詳細は機密情報に当たりますので差し控えますが、行政への申請に関連する不祥事というもので、すぐに危機管理委員会が招集され、不祥事の検証が行われました。
その会議の中で、「内部監査は何をやっていたんだ！なぜ、発見できなかったのか！」とある役員に厳しく指摘されたことがありました。この発言はかなり堪えました。

確かに、不祥事や不正を未然に防ぐことは、組織防衛上、極めて重要なことであり、部門・部署・事業所の業務監査を通じて、不正や不祥事の兆候を発見することは内部監査の役割の一つですから、それを発見できなかったことは残念としか言いようがありません。
しかし、全ての不正や不祥事の兆候を発見する事などできるはずはありません。特に、意図的な不正はかなり巧妙であるからこそ、見抜くことは難しい。だからこそ、内部統制システムの検証と評価をより丁寧に行う事が重要なのです。リスク認識に立って、不正や不祥事を防止できるような仕組みになっているかをしっかり検証することが必要なのです。

業務監査の中では、帳票類の点検を行います。上長(管理者)の押印ができているか、記載事項に誤りはないか等を点検します。ここで間違いやすいのは、押印がされていないことを発見した時、きちんと押印するよう指摘して終了というものです。
もちろん、全ての書類に必要な承認(押印)がされていることが妥当ですし、押印できていないとすれば問題です。ただ、これを指摘する際、なぜ、そういう事が起きるかという真因を見極める事こそ重要なのです。管理者の押印がなくても、処理されてしまうような仕組みになっている(脆弱・欠陥）ことを問題にすることなのです。

先の不祥事も、まさにここに問題がありました。
最終決裁者のはずの「部長」は、手続き書類に一切目を通していない実態にあり、担当者が作成した書類がそのまま処理され、請求や経理処理できていることこそ、問題だったわけです。
もちろん、該当事象について、業務監査で点検していれば、問題は発見できたでしょうが、残念ながら、私が着任する前の監査では、該当部署は監査対象になっていませんでした。

「内部監査は何をやっていたんだ！」の厳しい指摘には「内部監査は何もしていませんでした」という回答にならざるを得ませんでした。「アシュアランスの対象範囲になかった」というほかありません。監査計画の問題(監査対象の選定ミス）でした。

役に立つ内部監査であるためには、監査計画が極めて重要となる事を思い知らされました。
そこから、「リスクベース監査」や「監査フレーム」など、内部監査のＰＤＣＡ構築に着手することになりました。

また、この不祥事に関して言えば、「内部監査は何をやっていたんだ！」と問う前に本来問題にすべきことがあります。
担当者に業務が丸投げになっていて、上長や部門トップの関与が極めて低い事です。そして、関連する管理部門(経理部）でも、何の疑問もなく、書類の処理を行っているという事です。現場でのマネジメントや管理部門によるチェック体制の甘さこそ問題にすべきなのです。

さいわい、この不祥事に関して危機管理委員会では、業務管理システムや経理システムの再強化を最大の課題にすることを決定し、関連部署による検討と是正・改善の指示がトップからされました。そして、その進捗状況を内部監査が監視するよう指示を受けました。現場と管理部門・内部監査の役割を明確に示された、正当な判断であったと思います。