リスクベース監査(20180306) [3-内部監査参考情報]
監査計画の策定において、重要な要素として「リスクベース監査」があります。
内部監査基準 第2節 リスク評価に基づく計画の策定 5.2.1 内部監査部門長は、組織体の目標に適合するよう内部監査実施の優先順位を決定すべく、最低でも年次で行われるリスク評価の結果に基づいて内部監査計画を策定しなければならない。なお、リスク評価のプロセスにおいては、最高経営者および取締役会からの意見を考慮しなければならない。 5.2.2 また、内部監査部門長は、組織体内外の環境に重大な変化が生じた場合には、必要に応じリスク評価の結果を見直し、内部監査計画の変更を検討しなければならない。
この点については、IIA IPPFではさらに具体的な記載がされています。
2010-計画の策定 内部監査部門長は、組織体のゴールと調和するように内部監査部門の業務の優先順位を決定する為に、リスクベースの監査計画を策定しなければならない。 解釈指針: 内部監査部門長はリスクベースの監査計画を策定する責任がある。内部監査部門長はその策定にあたり、組織体のリスク・マネジメントのフレームワークを考慮するが、経営管理者が組織体の様々な活動又は部署の為に設定している、組織体が積極的に受容するリスクのレベル(リスク選考)等を利用する事ができる。 もしも組織体にリスク・マネジメントのフレームワークが存在しない場合には、最高経営者や取締役会からの意見を勘案した上で、内部監査部門長は、自分自身でリスクの判断をする。 内部監査部門長は、組織体のビジネス、リスク、業務、プログラム、システム、コントロール手段における変化に即応して、必要に応じ、監査計画を見直し、調整しなければならない。
内部監査基準やIPPFでは、内部統制システムで実施される「リスクマネジメント」の結果、「重点とされたリスク」について、内部監査部門として評価したうえで、監査計画に織り込んでいくことが必要としているわけです。
私のいた生協では、内部統制委員会で、年次のリスク評価を実施し、組織全体の重点リスクと、事業部門・部署の重点リスクを抽出し、統制強化策を策定していました。当然、この結果は内部監査において重点監査項目に挙げていました。
しかし、内部統制委員会のリスク評価に誤りがあった場合、全体として、リスクを見逃してしまう(監査リスクを産みだしてしまう)ことにつながりかねません。
したがって、「リスクマネジメントの結果」をベースに、内部監査室独自にリスク評価を行います。その要素の一つは、「前年度の内部監査の結果」です。前年度の監査報告において、内部統制上の不備事項(改善提案)としたものが、重点リスクに上がっていれば良いのですが、なければ追加します。
また、前年度の内部統制委員会や部門会議などで問題とされた事象もリスク項目として再評価します。
また、業務監査に絞ってみると、例えば、事業所管理者(所長・センター長等)が異動・交替した場合、マネジメントの変更が起きますので、それまで統制されていた業務が一時的に不備が生じ、結果的に大きな損失につながりかねないという事も想定されますので、リスクの一つと捉えられます。新規開設のセンターや店舗なども同様でしょう。
福祉事業では、制度改定が定期的に実施されます。ともすれば、制度改定への対応が遅れ、事業損失につながることも想定されます。これもリスクの一つでしょう。
このように、組織全体で実施するリスク評価だけでなく、内部監査はさらに詳細に綿密に、組織・事業・部署等のリスクをピックアップし、リスクの度合い(顕在化の際の損失の度合い)を考慮していくことが極めて重要だと思います。
なぜ、このようなリスクを取り込むかは、明確です。
リスクの顕在化はとりもなおさず、不祥事や事故、不正へ直結することであり、これを防止する事は、内部監査の重要な役割であるからです。
一方で、内部監査の資源(人的資源・時間や予算)には限りがあります。業務や事業の全てをもれなく監査することは不可能です。だからこぞ、リスクの重要性の高い処へ資源を集中する事が必要になります。=監査リスクの低減=
効率よく、アシュアランス(保証)するために、リスクベース監査の視点は欠かせないものなのです。・・・以前に記した「内部監査って役に立つの?①」で、具体的な事象も書いていますので、参考にしてみてください。
リスクベース監査については、「監査報告書の指摘事項と改善提案」(藤井範彰先生著)の中で、詳細に記載されていますので是非ご覧ください。
一部抜粋して掲載します。
リスクベース監査とは、リスクの評価に基づき、リスクの程度に応じて、組織的・体系的に監査対象・監査リソースの配分を決定する監査の事。 「組織的・体系的に」というのがポイントで、一定のルールを決めて、まず、リスクを評価し、その結果(高・中・低など)に応じて、システマティックにそれに合う監査手法を選ぶという、リスクと監査手法のリンゲージ(関連付け)を一定の法則性を持って行うという方法。
内部監査基準 第2節 リスク評価に基づく計画の策定 5.2.1 内部監査部門長は、組織体の目標に適合するよう内部監査実施の優先順位を決定すべく、最低でも年次で行われるリスク評価の結果に基づいて内部監査計画を策定しなければならない。なお、リスク評価のプロセスにおいては、最高経営者および取締役会からの意見を考慮しなければならない。 5.2.2 また、内部監査部門長は、組織体内外の環境に重大な変化が生じた場合には、必要に応じリスク評価の結果を見直し、内部監査計画の変更を検討しなければならない。
この点については、IIA IPPFではさらに具体的な記載がされています。
2010-計画の策定 内部監査部門長は、組織体のゴールと調和するように内部監査部門の業務の優先順位を決定する為に、リスクベースの監査計画を策定しなければならない。 解釈指針: 内部監査部門長はリスクベースの監査計画を策定する責任がある。内部監査部門長はその策定にあたり、組織体のリスク・マネジメントのフレームワークを考慮するが、経営管理者が組織体の様々な活動又は部署の為に設定している、組織体が積極的に受容するリスクのレベル(リスク選考)等を利用する事ができる。 もしも組織体にリスク・マネジメントのフレームワークが存在しない場合には、最高経営者や取締役会からの意見を勘案した上で、内部監査部門長は、自分自身でリスクの判断をする。 内部監査部門長は、組織体のビジネス、リスク、業務、プログラム、システム、コントロール手段における変化に即応して、必要に応じ、監査計画を見直し、調整しなければならない。
内部監査基準やIPPFでは、内部統制システムで実施される「リスクマネジメント」の結果、「重点とされたリスク」について、内部監査部門として評価したうえで、監査計画に織り込んでいくことが必要としているわけです。
私のいた生協では、内部統制委員会で、年次のリスク評価を実施し、組織全体の重点リスクと、事業部門・部署の重点リスクを抽出し、統制強化策を策定していました。当然、この結果は内部監査において重点監査項目に挙げていました。
しかし、内部統制委員会のリスク評価に誤りがあった場合、全体として、リスクを見逃してしまう(監査リスクを産みだしてしまう)ことにつながりかねません。
したがって、「リスクマネジメントの結果」をベースに、内部監査室独自にリスク評価を行います。その要素の一つは、「前年度の内部監査の結果」です。前年度の監査報告において、内部統制上の不備事項(改善提案)としたものが、重点リスクに上がっていれば良いのですが、なければ追加します。
また、前年度の内部統制委員会や部門会議などで問題とされた事象もリスク項目として再評価します。
また、業務監査に絞ってみると、例えば、事業所管理者(所長・センター長等)が異動・交替した場合、マネジメントの変更が起きますので、それまで統制されていた業務が一時的に不備が生じ、結果的に大きな損失につながりかねないという事も想定されますので、リスクの一つと捉えられます。新規開設のセンターや店舗なども同様でしょう。
福祉事業では、制度改定が定期的に実施されます。ともすれば、制度改定への対応が遅れ、事業損失につながることも想定されます。これもリスクの一つでしょう。
このように、組織全体で実施するリスク評価だけでなく、内部監査はさらに詳細に綿密に、組織・事業・部署等のリスクをピックアップし、リスクの度合い(顕在化の際の損失の度合い)を考慮していくことが極めて重要だと思います。
なぜ、このようなリスクを取り込むかは、明確です。
リスクの顕在化はとりもなおさず、不祥事や事故、不正へ直結することであり、これを防止する事は、内部監査の重要な役割であるからです。
一方で、内部監査の資源(人的資源・時間や予算)には限りがあります。業務や事業の全てをもれなく監査することは不可能です。だからこぞ、リスクの重要性の高い処へ資源を集中する事が必要になります。=監査リスクの低減=
効率よく、アシュアランス(保証)するために、リスクベース監査の視点は欠かせないものなのです。・・・以前に記した「内部監査って役に立つの?①」で、具体的な事象も書いていますので、参考にしてみてください。
リスクベース監査については、「監査報告書の指摘事項と改善提案」(藤井範彰先生著)の中で、詳細に記載されていますので是非ご覧ください。
一部抜粋して掲載します。
リスクベース監査とは、リスクの評価に基づき、リスクの程度に応じて、組織的・体系的に監査対象・監査リソースの配分を決定する監査の事。 「組織的・体系的に」というのがポイントで、一定のルールを決めて、まず、リスクを評価し、その結果(高・中・低など)に応じて、システマティックにそれに合う監査手法を選ぶという、リスクと監査手法のリンゲージ(関連付け)を一定の法則性を持って行うという方法。
2018-03-06 09:00
nice!(1)
コメント(0)
Facebook コメント
白井貞信 さん
生活協同組合で35年勤務し、最後の7年間は内部監査業務に携わっておりました。
この間の蓄積した経験と知識を活かして、内部監査の皆さんのサポートをさせていただきたいと考えております。
内部統制の構築支援や内部監査業務の実施支援、内部監査品質評価等のお手伝い、監査員養成研修サポート、経営分析等、生活協同組合の組織運営や経営・統制環境整備など、貴生協の状況に応じて、幅広くサポートさせていただきます。福祉事業の業務監査・マネジメント向上のための支援も致します。お気軽にお問い合わせください。
sadanobusirai@gmail.com
コメント 0