内部監査員の育成(20180301) [1-内部監査]
ISO規格(品質・環境)の認証取得生協では、ISO19011(内部監査指針)に基づく「内部監査プログラム」を採用し、適合性・有効性の監査が実施されていると思います。
ISO19011(内部監査指針)は、内部監査プログラムを策定し、プログラム管理者による進捗管理と「チーム監査」を基礎としており、内部監査員には対応する企画に関する基礎教育と力量評価を行うことで、監査品質を担保することが求められています。そして、内部監査員は、独立した内部監査室に属しているのではなく、現業・管理部門などから選出する仕組みも含まれています。
私のいた生協では、ISO認証取得の際、ISO内部監査事務局(監査プログラム管理者)による監査体制を取り、、センターや店舗・福祉事業所・管理部門から内部監査員を選出し、監査員研修を実施し、年間2 ヶ所から4ヶ所ほど分担して監査を行ってきました。その後、内部監査室にISO 内部監査事務局機能が統合されたことを契機に、内部監査計画を統合し、内部監査室が事務局機能を果たす形で、「内部監査員制度による監査体制」へと変化させ、ISO 監査と内部統制監査を一体化し、「総合内部監査」という名称にして実施してきました。
その概要は以下の通りでした。
(1)内部監査室:監査計画の策定と進捗管理・監査結果報告のとりまとめ
(2)内部監査員:事業部門と管理部門から、選出。最大時24名:最新13名
(3)教育訓練:集合教育(外部講師から内部講師へ変更)1日研修
・ISO規格・内部統制・内部監査の基礎教育と往査時演習と効果測定テスト
(4)実施
・2名チーム制(チームリーダー)
・全領域監査(包括的監査)-1事業所1日設定。現場視察や作業点検・帳票点検含む
内部監査員制度として運用。年度初めに各部門から内部監査員候補を選出、専務理事による任命。
候補者は、次期管理者候補(課長級)を選出。
制度運用してみて以下のようなメリットとデメリットがありました。
(1)メリット
・内部監査員選出を部門内で調整することで内部監査への理解が進んだ。
・次期管理者を積極的に選出いただくことで、内部統制やマネジメントに関する教育が進んだ。
・自部門以外を監査することで、生協全体の事業や運営の理解が深まった。
※いわゆる、教育の場としての効果が高く、トップからも期待が強まりました。
(2)デメリット
・打合せや結果調整等、監査の進捗管理にかかる時間が増大。内部監査室業務が増加した。
・外部講師による教育(ISO講師)には限界があり、内部講師にならざるを得ず、結果として内部監査室の力量が問われることとなった。
長期的にみれば、内部監査の特殊性専門性の高い業務の経験者を増やすことができ、組織として内部監査や内部統制に関する知識の蓄積や経験の蓄積に繋がることが期待できます。
実際、私が一人体制で行っている監査に比べて、業務やマネジメントの評価(指摘)の幅は確実に広がりましたし、数年継続した内部監査員は、手順や監査視点などしっかり理解でき、スムーズな監査ができる力量がついていました。何より、多くの人がかかわることで、内部監査の重要性や役割を知る人が増えたことで、内部監査への期待や信頼は向上しました。
これから、内部監査を充実しようと考えておられるところでは、ぜひ、こうした内部監査員制度の運用を検討してみてください。
ISO19011(内部監査指針)は、内部監査プログラムを策定し、プログラム管理者による進捗管理と「チーム監査」を基礎としており、内部監査員には対応する企画に関する基礎教育と力量評価を行うことで、監査品質を担保することが求められています。そして、内部監査員は、独立した内部監査室に属しているのではなく、現業・管理部門などから選出する仕組みも含まれています。
私のいた生協では、ISO認証取得の際、ISO内部監査事務局(監査プログラム管理者)による監査体制を取り、、センターや店舗・福祉事業所・管理部門から内部監査員を選出し、監査員研修を実施し、年間2 ヶ所から4ヶ所ほど分担して監査を行ってきました。その後、内部監査室にISO 内部監査事務局機能が統合されたことを契機に、内部監査計画を統合し、内部監査室が事務局機能を果たす形で、「内部監査員制度による監査体制」へと変化させ、ISO 監査と内部統制監査を一体化し、「総合内部監査」という名称にして実施してきました。
その概要は以下の通りでした。
(1)内部監査室:監査計画の策定と進捗管理・監査結果報告のとりまとめ
(2)内部監査員:事業部門と管理部門から、選出。最大時24名:最新13名
(3)教育訓練:集合教育(外部講師から内部講師へ変更)1日研修
・ISO規格・内部統制・内部監査の基礎教育と往査時演習と効果測定テスト
(4)実施
・2名チーム制(チームリーダー)
・全領域監査(包括的監査)-1事業所1日設定。現場視察や作業点検・帳票点検含む
内部監査員制度として運用。年度初めに各部門から内部監査員候補を選出、専務理事による任命。
候補者は、次期管理者候補(課長級)を選出。
制度運用してみて以下のようなメリットとデメリットがありました。
(1)メリット
・内部監査員選出を部門内で調整することで内部監査への理解が進んだ。
・次期管理者を積極的に選出いただくことで、内部統制やマネジメントに関する教育が進んだ。
・自部門以外を監査することで、生協全体の事業や運営の理解が深まった。
※いわゆる、教育の場としての効果が高く、トップからも期待が強まりました。
(2)デメリット
・打合せや結果調整等、監査の進捗管理にかかる時間が増大。内部監査室業務が増加した。
・外部講師による教育(ISO講師)には限界があり、内部講師にならざるを得ず、結果として内部監査室の力量が問われることとなった。
長期的にみれば、内部監査の特殊性専門性の高い業務の経験者を増やすことができ、組織として内部監査や内部統制に関する知識の蓄積や経験の蓄積に繋がることが期待できます。
実際、私が一人体制で行っている監査に比べて、業務やマネジメントの評価(指摘)の幅は確実に広がりましたし、数年継続した内部監査員は、手順や監査視点などしっかり理解でき、スムーズな監査ができる力量がついていました。何より、多くの人がかかわることで、内部監査の重要性や役割を知る人が増えたことで、内部監査への期待や信頼は向上しました。
これから、内部監査を充実しようと考えておられるところでは、ぜひ、こうした内部監査員制度の運用を検討してみてください。
内部監査実施指針:概要(20180302) [2-内部監査実施指針]
重要なのは、他のマネジメントと同様に、内部監査におけるPDCAサイクルの確立であり、作業工程(スクリプト)です。
少人数体制(1人体制)では、どうしても監査業務は独りよがりになりがちですし、時として、不備発生に気付かないこともあります。
これを防止するには、しっかりとした計画(P)が策定され、計画に基づいて実施(D)され、その進捗が検証(C)され、課題や問題を発見し改善(A)するというサイクルを明確になっている事です。特に、検証と改善は最も重要です。この点に関しては、品質管理プログラム実施(内部監査基準 4章)でも細かく求めているところです。
また、個別の監査でも、PDCAサイクルを確立することが必要です。それは、作業工程(スクリプト)として整理されている必要があります。スタートからゴールまでの手順、途中での修正方法なども決めておくことが必要でしょう。
この2点を踏まえて、実施要領を整理すると、大きく、以下の様に設定できます。
(1)監査の基本方針及び基本定格の策定と承認
(2)個別監査計画の策定
(3)予備調査の実施
(4)実施前準備
(5)監査通知
(6)実地監査(往査)
(7)監査結果の作成
(8)監査結果通知と是正改善要求の実施
(9)是正改善の確認
(10)監査結果報告書の作成(個別監査完了)
(11)フォロー監査
(12)エグゼクティブサマリー(監査報告)
上記、(2)~(11)までは、作業工程としてまとめる必要があります。
個々から順番に、解説していきます。
1:監査方針・監査計画(20180305) [2-内部監査実施指針]
最初は、「監査方針・監査計画」です。
内部監査基準 第5章:内部監査部門の運営 第1節 中・長期基本方針の策定 5.1.1 内部監査部門長は、組織体として対処すべき課題を意識し、内部監査が組織体の経営目標の効果的な達成に役立つように、内部監査部門を適切に運営しなければならない。 5.1.2 内部監査部門長は、組織体の中・長期計画に関連した内部監査部門の中・長期基本方針を策定しなければならない。当該基本方針には、内部監査の基本的方向性、要員の充実計画、システム化計画、予算および重要な技法を含めなければならない。 5.1.3 また、内部監査部門長は、内部監査部門の中・長期基本方針について最高経営者および取締役会の承認を得なければならず、経営環境の変化等に応じて、適時にこれを見直し、修正しなければならない。
(1)基本方針とは
組織の中長期計画に対応した「内部監査の中長期計画」を策定し、年次単位の監査方針を策定します。方針は、到達点をもとに、監査業務における重点課題を明確にすることが求められます。
それ程、長文でなくてもかまいません。
内部監査規程があれば、役割・目的などはすでに明示されているわけですから、中長期計画の中で、内部監査がどのような役割を発揮すべきなのかを整理することが重要なのです。
(2)基本計画とは
基本方針に基づき、具体的な年間の計画を策定します。
要素としては、監査対象や時期、人員体制、監査項目、予備調査の方法、採用する監査手続きなどを網羅します。
何より重要なのは、年次で行われるリスク・マネジメントの結果を考慮し、監査対象の優先順位を決め、監査重点を明らかにする「リスクベース監査」を基礎とする事です。そして、直属の代表理事と監事の意見を考慮し、策定する事です。
※「リスクベース監査」に関しては別の項目で解説します。
ワンポイントヒント
私は、監査計画策定に当たっては、可能な限り、事業部門統括(執行役員・統括部長)にヒアリングするようにしていました。代表理事の意見は最も重要ですが、それぞれの事業統括も部門マネジメントには苦労されています。懸念事項もたくさん抱えています。内部監査は問題を見つけて指摘する役割ではありません。問題を解決し、重大な問題に発展しないよう組織防衛の役割もありますし、アドバイザーでもあるわけです。ですから、率直に、部門の抱えている課題や改善したい点などを事業統括から聞き取り、内部監査計画に反映する事も必要と考えています。時間がなければ、内部メールでも構わないと思います。より多くの人から意見を聞くこと。独立的立場で公正に監査する事は、独善的になることとは違います。
(3)承認と組織周知
基本方針・基本計画は、直属の代表理事の承認を受け、組織内へ周知されることが必要です。そのこと自体が、内部統制の有効性を図ることになります。
統制の有効な組織であれば、内部監査計画は全ての事業所管理者が理解し、協力的に実施できるはずです。監査の日程調整や通知などで「聞いてない」などと抵抗する声が出れば、それこそ、統制の不備と言えるのです。
さて、内部監査全体の方針・計画がまとまれば、次は、個別監査計画の着手となります。
内部監査基準 第5章:内部監査部門の運営 第1節 中・長期基本方針の策定 5.1.1 内部監査部門長は、組織体として対処すべき課題を意識し、内部監査が組織体の経営目標の効果的な達成に役立つように、内部監査部門を適切に運営しなければならない。 5.1.2 内部監査部門長は、組織体の中・長期計画に関連した内部監査部門の中・長期基本方針を策定しなければならない。当該基本方針には、内部監査の基本的方向性、要員の充実計画、システム化計画、予算および重要な技法を含めなければならない。 5.1.3 また、内部監査部門長は、内部監査部門の中・長期基本方針について最高経営者および取締役会の承認を得なければならず、経営環境の変化等に応じて、適時にこれを見直し、修正しなければならない。
(1)基本方針とは
組織の中長期計画に対応した「内部監査の中長期計画」を策定し、年次単位の監査方針を策定します。方針は、到達点をもとに、監査業務における重点課題を明確にすることが求められます。
それ程、長文でなくてもかまいません。
内部監査規程があれば、役割・目的などはすでに明示されているわけですから、中長期計画の中で、内部監査がどのような役割を発揮すべきなのかを整理することが重要なのです。
(2)基本計画とは
基本方針に基づき、具体的な年間の計画を策定します。
要素としては、監査対象や時期、人員体制、監査項目、予備調査の方法、採用する監査手続きなどを網羅します。
何より重要なのは、年次で行われるリスク・マネジメントの結果を考慮し、監査対象の優先順位を決め、監査重点を明らかにする「リスクベース監査」を基礎とする事です。そして、直属の代表理事と監事の意見を考慮し、策定する事です。
※「リスクベース監査」に関しては別の項目で解説します。
ワンポイントヒント
私は、監査計画策定に当たっては、可能な限り、事業部門統括(執行役員・統括部長)にヒアリングするようにしていました。代表理事の意見は最も重要ですが、それぞれの事業統括も部門マネジメントには苦労されています。懸念事項もたくさん抱えています。内部監査は問題を見つけて指摘する役割ではありません。問題を解決し、重大な問題に発展しないよう組織防衛の役割もありますし、アドバイザーでもあるわけです。ですから、率直に、部門の抱えている課題や改善したい点などを事業統括から聞き取り、内部監査計画に反映する事も必要と考えています。時間がなければ、内部メールでも構わないと思います。より多くの人から意見を聞くこと。独立的立場で公正に監査する事は、独善的になることとは違います。
(3)承認と組織周知
基本方針・基本計画は、直属の代表理事の承認を受け、組織内へ周知されることが必要です。そのこと自体が、内部統制の有効性を図ることになります。
統制の有効な組織であれば、内部監査計画は全ての事業所管理者が理解し、協力的に実施できるはずです。監査の日程調整や通知などで「聞いてない」などと抵抗する声が出れば、それこそ、統制の不備と言えるのです。
さて、内部監査全体の方針・計画がまとまれば、次は、個別監査計画の着手となります。
リスクベース監査(20180306) [3-内部監査参考情報]
監査計画の策定において、重要な要素として「リスクベース監査」があります。
内部監査基準 第2節 リスク評価に基づく計画の策定 5.2.1 内部監査部門長は、組織体の目標に適合するよう内部監査実施の優先順位を決定すべく、最低でも年次で行われるリスク評価の結果に基づいて内部監査計画を策定しなければならない。なお、リスク評価のプロセスにおいては、最高経営者および取締役会からの意見を考慮しなければならない。 5.2.2 また、内部監査部門長は、組織体内外の環境に重大な変化が生じた場合には、必要に応じリスク評価の結果を見直し、内部監査計画の変更を検討しなければならない。
この点については、IIA IPPFではさらに具体的な記載がされています。
2010-計画の策定 内部監査部門長は、組織体のゴールと調和するように内部監査部門の業務の優先順位を決定する為に、リスクベースの監査計画を策定しなければならない。 解釈指針: 内部監査部門長はリスクベースの監査計画を策定する責任がある。内部監査部門長はその策定にあたり、組織体のリスク・マネジメントのフレームワークを考慮するが、経営管理者が組織体の様々な活動又は部署の為に設定している、組織体が積極的に受容するリスクのレベル(リスク選考)等を利用する事ができる。 もしも組織体にリスク・マネジメントのフレームワークが存在しない場合には、最高経営者や取締役会からの意見を勘案した上で、内部監査部門長は、自分自身でリスクの判断をする。 内部監査部門長は、組織体のビジネス、リスク、業務、プログラム、システム、コントロール手段における変化に即応して、必要に応じ、監査計画を見直し、調整しなければならない。
内部監査基準やIPPFでは、内部統制システムで実施される「リスクマネジメント」の結果、「重点とされたリスク」について、内部監査部門として評価したうえで、監査計画に織り込んでいくことが必要としているわけです。
私のいた生協では、内部統制委員会で、年次のリスク評価を実施し、組織全体の重点リスクと、事業部門・部署の重点リスクを抽出し、統制強化策を策定していました。当然、この結果は内部監査において重点監査項目に挙げていました。
しかし、内部統制委員会のリスク評価に誤りがあった場合、全体として、リスクを見逃してしまう(監査リスクを産みだしてしまう)ことにつながりかねません。
したがって、「リスクマネジメントの結果」をベースに、内部監査室独自にリスク評価を行います。その要素の一つは、「前年度の内部監査の結果」です。前年度の監査報告において、内部統制上の不備事項(改善提案)としたものが、重点リスクに上がっていれば良いのですが、なければ追加します。
また、前年度の内部統制委員会や部門会議などで問題とされた事象もリスク項目として再評価します。
また、業務監査に絞ってみると、例えば、事業所管理者(所長・センター長等)が異動・交替した場合、マネジメントの変更が起きますので、それまで統制されていた業務が一時的に不備が生じ、結果的に大きな損失につながりかねないという事も想定されますので、リスクの一つと捉えられます。新規開設のセンターや店舗なども同様でしょう。
福祉事業では、制度改定が定期的に実施されます。ともすれば、制度改定への対応が遅れ、事業損失につながることも想定されます。これもリスクの一つでしょう。
このように、組織全体で実施するリスク評価だけでなく、内部監査はさらに詳細に綿密に、組織・事業・部署等のリスクをピックアップし、リスクの度合い(顕在化の際の損失の度合い)を考慮していくことが極めて重要だと思います。
なぜ、このようなリスクを取り込むかは、明確です。
リスクの顕在化はとりもなおさず、不祥事や事故、不正へ直結することであり、これを防止する事は、内部監査の重要な役割であるからです。
一方で、内部監査の資源(人的資源・時間や予算)には限りがあります。業務や事業の全てをもれなく監査することは不可能です。だからこぞ、リスクの重要性の高い処へ資源を集中する事が必要になります。=監査リスクの低減=
効率よく、アシュアランス(保証)するために、リスクベース監査の視点は欠かせないものなのです。・・・以前に記した「内部監査って役に立つの?①」で、具体的な事象も書いていますので、参考にしてみてください。
リスクベース監査については、「監査報告書の指摘事項と改善提案」(藤井範彰先生著)の中で、詳細に記載されていますので是非ご覧ください。
一部抜粋して掲載します。
リスクベース監査とは、リスクの評価に基づき、リスクの程度に応じて、組織的・体系的に監査対象・監査リソースの配分を決定する監査の事。 「組織的・体系的に」というのがポイントで、一定のルールを決めて、まず、リスクを評価し、その結果(高・中・低など)に応じて、システマティックにそれに合う監査手法を選ぶという、リスクと監査手法のリンゲージ(関連付け)を一定の法則性を持って行うという方法。
内部監査基準 第2節 リスク評価に基づく計画の策定 5.2.1 内部監査部門長は、組織体の目標に適合するよう内部監査実施の優先順位を決定すべく、最低でも年次で行われるリスク評価の結果に基づいて内部監査計画を策定しなければならない。なお、リスク評価のプロセスにおいては、最高経営者および取締役会からの意見を考慮しなければならない。 5.2.2 また、内部監査部門長は、組織体内外の環境に重大な変化が生じた場合には、必要に応じリスク評価の結果を見直し、内部監査計画の変更を検討しなければならない。
この点については、IIA IPPFではさらに具体的な記載がされています。
2010-計画の策定 内部監査部門長は、組織体のゴールと調和するように内部監査部門の業務の優先順位を決定する為に、リスクベースの監査計画を策定しなければならない。 解釈指針: 内部監査部門長はリスクベースの監査計画を策定する責任がある。内部監査部門長はその策定にあたり、組織体のリスク・マネジメントのフレームワークを考慮するが、経営管理者が組織体の様々な活動又は部署の為に設定している、組織体が積極的に受容するリスクのレベル(リスク選考)等を利用する事ができる。 もしも組織体にリスク・マネジメントのフレームワークが存在しない場合には、最高経営者や取締役会からの意見を勘案した上で、内部監査部門長は、自分自身でリスクの判断をする。 内部監査部門長は、組織体のビジネス、リスク、業務、プログラム、システム、コントロール手段における変化に即応して、必要に応じ、監査計画を見直し、調整しなければならない。
内部監査基準やIPPFでは、内部統制システムで実施される「リスクマネジメント」の結果、「重点とされたリスク」について、内部監査部門として評価したうえで、監査計画に織り込んでいくことが必要としているわけです。
私のいた生協では、内部統制委員会で、年次のリスク評価を実施し、組織全体の重点リスクと、事業部門・部署の重点リスクを抽出し、統制強化策を策定していました。当然、この結果は内部監査において重点監査項目に挙げていました。
しかし、内部統制委員会のリスク評価に誤りがあった場合、全体として、リスクを見逃してしまう(監査リスクを産みだしてしまう)ことにつながりかねません。
したがって、「リスクマネジメントの結果」をベースに、内部監査室独自にリスク評価を行います。その要素の一つは、「前年度の内部監査の結果」です。前年度の監査報告において、内部統制上の不備事項(改善提案)としたものが、重点リスクに上がっていれば良いのですが、なければ追加します。
また、前年度の内部統制委員会や部門会議などで問題とされた事象もリスク項目として再評価します。
また、業務監査に絞ってみると、例えば、事業所管理者(所長・センター長等)が異動・交替した場合、マネジメントの変更が起きますので、それまで統制されていた業務が一時的に不備が生じ、結果的に大きな損失につながりかねないという事も想定されますので、リスクの一つと捉えられます。新規開設のセンターや店舗なども同様でしょう。
福祉事業では、制度改定が定期的に実施されます。ともすれば、制度改定への対応が遅れ、事業損失につながることも想定されます。これもリスクの一つでしょう。
このように、組織全体で実施するリスク評価だけでなく、内部監査はさらに詳細に綿密に、組織・事業・部署等のリスクをピックアップし、リスクの度合い(顕在化の際の損失の度合い)を考慮していくことが極めて重要だと思います。
なぜ、このようなリスクを取り込むかは、明確です。
リスクの顕在化はとりもなおさず、不祥事や事故、不正へ直結することであり、これを防止する事は、内部監査の重要な役割であるからです。
一方で、内部監査の資源(人的資源・時間や予算)には限りがあります。業務や事業の全てをもれなく監査することは不可能です。だからこぞ、リスクの重要性の高い処へ資源を集中する事が必要になります。=監査リスクの低減=
効率よく、アシュアランス(保証)するために、リスクベース監査の視点は欠かせないものなのです。・・・以前に記した「内部監査って役に立つの?①」で、具体的な事象も書いていますので、参考にしてみてください。
リスクベース監査については、「監査報告書の指摘事項と改善提案」(藤井範彰先生著)の中で、詳細に記載されていますので是非ご覧ください。
一部抜粋して掲載します。
リスクベース監査とは、リスクの評価に基づき、リスクの程度に応じて、組織的・体系的に監査対象・監査リソースの配分を決定する監査の事。 「組織的・体系的に」というのがポイントで、一定のルールを決めて、まず、リスクを評価し、その結果(高・中・低など)に応じて、システマティックにそれに合う監査手法を選ぶという、リスクと監査手法のリンゲージ(関連付け)を一定の法則性を持って行うという方法。
コントロールマトリクス評価(20180307) [3-内部監査参考情報]
内部監査の主要な役割として、「ガバナンス・プロセス、リスク・マネジメントおよびコントロールの妥当性と有効性とを評価」することにあります。おそらく、皆さんの組織でも「内部統制基本規程」などで、内部監査の位置づけ・役割に関する記述(モニタリング)にも記されていると思います。短い言葉ですが、なかなか奥深いものです。
組織統治・危機管理・内部統制が、妥当であり、有効に機能しているかを評価する事は、それ程、容易いものではありません。あるべき姿が明確になっていること、そして、日常の運用においてしっかり機能している事をどういう尺度で判定すべきか、随分悩みました。
日常の運用における有効性は、例えば、業務監査を通じて、重大な問題や誤謬が発見されなかったという結果をもって、対象とした監査領域におけるアシュアランス(保証)は出来ると思いますが、そのためにはかなり幅広い監査を行う必要があります。もちろん、先に示した「リスクベース監査」によって、監査リスクは抑えられることで、補うことはできると考えます。そうした点では、より丁寧に監査を行うことで、有効性の評価はある程度可能でしょう。
では、妥当性の評価はどうでしょうか?
ガバナンス・リスクマネジメント・コントロールのあるべき姿(妥当な姿)を何を持って判断できるのでしょうか?
そこで考え付いたのが「コントロール・マトリクス・アセスメント(内部統制評価)」の手法でした。おそらく、同じような考え方で、すでに取り組んでおられるところもあると思いますが、少し解説させていただきます。
大雑把に言うと、「組織を俯瞰し、いくつかのプロセスに分類し、内部統制の構成要素を指標として評価する」方法です。
内部統制システムの整備の指針では、「6つの体制整備」が示されていました。
コンプライアンス体制・情報管理体制・リスク管理体制・業務の効率性確保の体制・経営管理体制(グループ管理体制)・監事監査体制の6つが示されていて、内部統制委員会や事務局はこの6つの体制の整備と進捗評価を行い、強化策を検討します。
当然、内部監査も同様の視点で評価すれば、事足りるのかもしれませんが、実際に行ってみると何かしっくり来ないのです。
実際の内部監査では、例えば、人事や労務管理、供給高や経費等の予算管理、安全運転や労働安全衛生、経理管理、食品衛生管理等々、日常業務を支える一つ一つのプロセスが間違いなく運用できているかを監査しています。その結果、ミスや誤謬が発見されれば指摘事項として是正や改善を促します。その監査プロセスと、前述の内部統制の6つの体制評価がリンクしなかった事がしっくりしない理由でした。
そこで、現状の組織全体にある主要なシステムを設定してみました。
順法管理・人事管理・労務管理・安全衛生・安全運転・情報管理・個人情報保護・予算管理・会計管理・資産管理・商品管理・供給管理・食品衛生管理・組合員動態管理・危機管理・環境管理(EMS)・業務管理(QMS)等にざっくりと分けてみることにしたのです。
この区分には、「内部規程」を拠り所にしました。
そして、これらを束ねて、内部統制システム(プロセス)という考え方にしました。(これは、のちに総合マネジメントシステムへと繋がりました)
その上で、一つ一つのプロセスを、内部統制の構成要素(COSOキューブ)である、統制環境・リスク評価・統制活動・情報と伝達・モニタリング・IT活用の6つで評価する事にしました。
横軸に、プロセスを置き、縦軸に構成要素を置き、マトリクスにしてますを埋めていくことにしたのです。
実際には、縦軸となる構成要素は、6つではなくさらに細分化しました。
統制環境では、法令・基本方針・行動規範・政策・ビジョン・中長期計画・年次方針を置きました。
リスク評価では、内部統制委員会が実施するリスクマネジメントの結果を入れました。
統制活動では、主管会議・主管部署・内部規程・基準や手順・教育訓練・インフラ資材と運用を置きました。
情報と伝達では、報告・連絡手段を入れました。
モニタリングでは、日常監視・定期モニタリング・是正改善方法・組織的レビュー・内部監査(会計監査・監事監査)を入れました。
IT活用では、関連するイントラネットの運用状況やファイルサーバーの設定を入れました。
こうして、表としてみた時、それぞれのプロセスの一つ一つのセルがしっかりと埋まっているところもあれば、空白になっているところもありました。空白部分は、プロセス上の不備と認識でき、理由を探ることになります。
実際に適用してみると、内部規程が整備されていても、リスク評価が年次で行われておらず、規程の改定がされず有効性を欠いている事があることが判りました。また、その要因として、主管会議がなかったり、主管部署が明確になっていなかったり、経営層の関与(管理者)が明確になっていなかったり、様々な問題が発見できました。
そして、これが、「内部統制上の不備事項」の候補と考えられ、実査(往査)で証憑・事象の集積を行うことで、不備の立証へと進めることができました。この結果を監査報告書にまとめ、「ガバナンス・リスクマネジメント・コントロールの妥当性と有効性の評価」として、示すことにつなげました。
同時に、マトリクスは、内部統制事務局や経営管理部とも共有することで、システム全体を管理する部署との目線合わせにもつながり、課題の共有と内部監査のアドバイザリー機能発揮にもつながりました。
最初はかなり面倒な作業になりますが、一度作成してしまえば、年次レビューによって効率的な作業に変わりますし、より有効な監査計画策定にもつながります。
組織統治・危機管理・内部統制が、妥当であり、有効に機能しているかを評価する事は、それ程、容易いものではありません。あるべき姿が明確になっていること、そして、日常の運用においてしっかり機能している事をどういう尺度で判定すべきか、随分悩みました。
日常の運用における有効性は、例えば、業務監査を通じて、重大な問題や誤謬が発見されなかったという結果をもって、対象とした監査領域におけるアシュアランス(保証)は出来ると思いますが、そのためにはかなり幅広い監査を行う必要があります。もちろん、先に示した「リスクベース監査」によって、監査リスクは抑えられることで、補うことはできると考えます。そうした点では、より丁寧に監査を行うことで、有効性の評価はある程度可能でしょう。
では、妥当性の評価はどうでしょうか?
ガバナンス・リスクマネジメント・コントロールのあるべき姿(妥当な姿)を何を持って判断できるのでしょうか?
そこで考え付いたのが「コントロール・マトリクス・アセスメント(内部統制評価)」の手法でした。おそらく、同じような考え方で、すでに取り組んでおられるところもあると思いますが、少し解説させていただきます。
大雑把に言うと、「組織を俯瞰し、いくつかのプロセスに分類し、内部統制の構成要素を指標として評価する」方法です。
内部統制システムの整備の指針では、「6つの体制整備」が示されていました。
コンプライアンス体制・情報管理体制・リスク管理体制・業務の効率性確保の体制・経営管理体制(グループ管理体制)・監事監査体制の6つが示されていて、内部統制委員会や事務局はこの6つの体制の整備と進捗評価を行い、強化策を検討します。
当然、内部監査も同様の視点で評価すれば、事足りるのかもしれませんが、実際に行ってみると何かしっくり来ないのです。
実際の内部監査では、例えば、人事や労務管理、供給高や経費等の予算管理、安全運転や労働安全衛生、経理管理、食品衛生管理等々、日常業務を支える一つ一つのプロセスが間違いなく運用できているかを監査しています。その結果、ミスや誤謬が発見されれば指摘事項として是正や改善を促します。その監査プロセスと、前述の内部統制の6つの体制評価がリンクしなかった事がしっくりしない理由でした。
そこで、現状の組織全体にある主要なシステムを設定してみました。
順法管理・人事管理・労務管理・安全衛生・安全運転・情報管理・個人情報保護・予算管理・会計管理・資産管理・商品管理・供給管理・食品衛生管理・組合員動態管理・危機管理・環境管理(EMS)・業務管理(QMS)等にざっくりと分けてみることにしたのです。
この区分には、「内部規程」を拠り所にしました。
そして、これらを束ねて、内部統制システム(プロセス)という考え方にしました。(これは、のちに総合マネジメントシステムへと繋がりました)
その上で、一つ一つのプロセスを、内部統制の構成要素(COSOキューブ)である、統制環境・リスク評価・統制活動・情報と伝達・モニタリング・IT活用の6つで評価する事にしました。
横軸に、プロセスを置き、縦軸に構成要素を置き、マトリクスにしてますを埋めていくことにしたのです。
実際には、縦軸となる構成要素は、6つではなくさらに細分化しました。
統制環境では、法令・基本方針・行動規範・政策・ビジョン・中長期計画・年次方針を置きました。
リスク評価では、内部統制委員会が実施するリスクマネジメントの結果を入れました。
統制活動では、主管会議・主管部署・内部規程・基準や手順・教育訓練・インフラ資材と運用を置きました。
情報と伝達では、報告・連絡手段を入れました。
モニタリングでは、日常監視・定期モニタリング・是正改善方法・組織的レビュー・内部監査(会計監査・監事監査)を入れました。
IT活用では、関連するイントラネットの運用状況やファイルサーバーの設定を入れました。
こうして、表としてみた時、それぞれのプロセスの一つ一つのセルがしっかりと埋まっているところもあれば、空白になっているところもありました。空白部分は、プロセス上の不備と認識でき、理由を探ることになります。
実際に適用してみると、内部規程が整備されていても、リスク評価が年次で行われておらず、規程の改定がされず有効性を欠いている事があることが判りました。また、その要因として、主管会議がなかったり、主管部署が明確になっていなかったり、経営層の関与(管理者)が明確になっていなかったり、様々な問題が発見できました。
そして、これが、「内部統制上の不備事項」の候補と考えられ、実査(往査)で証憑・事象の集積を行うことで、不備の立証へと進めることができました。この結果を監査報告書にまとめ、「ガバナンス・リスクマネジメント・コントロールの妥当性と有効性の評価」として、示すことにつなげました。
同時に、マトリクスは、内部統制事務局や経営管理部とも共有することで、システム全体を管理する部署との目線合わせにもつながり、課題の共有と内部監査のアドバイザリー機能発揮にもつながりました。
最初はかなり面倒な作業になりますが、一度作成してしまえば、年次レビューによって効率的な作業に変わりますし、より有効な監査計画策定にもつながります。
2:個別内部監査計画について(20180308) [2-内部監査実施指針]
年間の内部監査計画が完成し、代表理事に承認を受けたら、監査対象ごとの監査実施に関わる計画を策定します。これが「個別内部監査計画」です。
オーソドックスな項目は以下の通りです。
1)監査対象及び対応責任者
2)監査人
3)監査目的
4)監査項目
5)監査対象範囲(業務や期間)
6)監査実施日・時間
7)監査手続き-往査時に行う事(現場視察や帳票点検、ヒアリング等)
私のいた生協では、こんな記載になっていました。
1)監査対象及び対応責任者
*「部署名」と「管理者(監査対応者)」を明記。
2)監査人
*内部監査室(白井貞信)・内部監査員(○○○○)
3)監査目的
○○年度内部監査計画に基づき、定期業務監査を実施する。
目標・予算管理、日常マネジメント、MS運用、人事労務、経理事務、供給管理、施設管理、順法管理、個人情報保護などの業務全般の監査を行い、是正・改善提案を通じて、経営に貢献する。
4)監査項目
*これが一番難しい項目でした。最終的には予備調査によって詳細を決定することになりますので、個別監査計画の段階では、重点項目として設定しうるものを列記しました。最終的には予備調査後の細目を決定していました。
例)宅配事業センターを対象とした場合
①事業進捗点検(予算管理・経費統制)
②MS運用・日常マネジメント点検
③人事労務管理・安全衛生・安全運転等
④経理事務管理(鍵・現金・金庫・小口現金管理・未収金管理等)
⑤供給管理状況(商品区分管理・品質管理・食品衛生管理状況)
⑥施設管理
⑦危機管理(消防法対応・大規模災害対応)
⑧コンプライアンス点検
⑨個人情報保護態勢(組合員データ管理・動態管理)
⑩部門固有リスク対応状況
5)監査対象範囲(業務や期間)
*対象とする期間や範囲ですので、○○年度分としていました。
6)監査実施日・時間
*事前に部門での日程調整を終えていますので、期日と時間を記載します。
7)監査手続き-往査時に行う事(現場視察や帳票点検、ヒアリング等)
*何をやるか。現場視察・作業点検・帳票点検・管理者ヒアリングなどの範囲で記載。
個別内部監査計画で重要なのは、監査対象と監査内容を代表理事が理解できる事です。これを見て、代表理事から、項目の追加や重点の補強、懸念事項の調査要請などを受け取ることが重要です。
また、私は、これを部門統括(執行役員や統括部長)へも提出し、内部監査の重点を理解してもらう事で、監査の結果が出た時に、課題の共有が進むツールになりました。
オーソドックスな項目は以下の通りです。
1)監査対象及び対応責任者
2)監査人
3)監査目的
4)監査項目
5)監査対象範囲(業務や期間)
6)監査実施日・時間
7)監査手続き-往査時に行う事(現場視察や帳票点検、ヒアリング等)
私のいた生協では、こんな記載になっていました。
1)監査対象及び対応責任者
*「部署名」と「管理者(監査対応者)」を明記。
2)監査人
*内部監査室(白井貞信)・内部監査員(○○○○)
3)監査目的
○○年度内部監査計画に基づき、定期業務監査を実施する。
目標・予算管理、日常マネジメント、MS運用、人事労務、経理事務、供給管理、施設管理、順法管理、個人情報保護などの業務全般の監査を行い、是正・改善提案を通じて、経営に貢献する。
4)監査項目
*これが一番難しい項目でした。最終的には予備調査によって詳細を決定することになりますので、個別監査計画の段階では、重点項目として設定しうるものを列記しました。最終的には予備調査後の細目を決定していました。
例)宅配事業センターを対象とした場合
①事業進捗点検(予算管理・経費統制)
②MS運用・日常マネジメント点検
③人事労務管理・安全衛生・安全運転等
④経理事務管理(鍵・現金・金庫・小口現金管理・未収金管理等)
⑤供給管理状況(商品区分管理・品質管理・食品衛生管理状況)
⑥施設管理
⑦危機管理(消防法対応・大規模災害対応)
⑧コンプライアンス点検
⑨個人情報保護態勢(組合員データ管理・動態管理)
⑩部門固有リスク対応状況
5)監査対象範囲(業務や期間)
*対象とする期間や範囲ですので、○○年度分としていました。
6)監査実施日・時間
*事前に部門での日程調整を終えていますので、期日と時間を記載します。
7)監査手続き-往査時に行う事(現場視察や帳票点検、ヒアリング等)
*何をやるか。現場視察・作業点検・帳票点検・管理者ヒアリングなどの範囲で記載。
個別内部監査計画で重要なのは、監査対象と監査内容を代表理事が理解できる事です。これを見て、代表理事から、項目の追加や重点の補強、懸念事項の調査要請などを受け取ることが重要です。
また、私は、これを部門統括(執行役員や統括部長)へも提出し、内部監査の重点を理解してもらう事で、監査の結果が出た時に、課題の共有が進むツールになりました。
3:予備調査の実施①目的(20180309) [2-内部監査実施指針]
個別監査計画が出来たら、次は、予備調査です。
内部監査において、この工程がもっと重要です。
監査実施前に、監査対象のガバナンス・プロセス、リスク・マネジメント、コントロールの正確な把握と、リスクベース監査手法に基づく重点項目を抽出するという工程です。
平たく言えば、監査対象部署がどのような管理体制(管理者や副管理者・グループやチームなど)にあり、事業上のリスクは何があり対策が進んでいるか、そして、日常のマネジメントはどのように行われているかを事前に知っておくことです。そのうえで、事業損失につながるような重大なリスクを見逃さないために、何処に重点を置いて監査を行うかを想定する作業なのです。
その手法は、書面取り寄せによる情報収集や、内部統制項目の自己評価票(CSA)、事前訪問ヒアリング、リスク評価、経営情報(決算情報)、過去情報、KPI数値データ分析等ありますが、監査対象によって使い分ける必要があります。
監査(往査)でたっぷり時間をかけられる条件があればよいのですが、私のいた生協は、監査対象が約100カ所ありましたし、監査員の活動日数も限られており、監査対象にかけられる時間は1日程度でした。その中で、現場点検や帳票点検など現地でないとできないことも多く、管理者へのヒアリングは3時間程度でした。したがって、監査前にできるだけ多くの情報を入手し、リスクの高い項目を重点にして効率的に監査を行うことが求められていました。
それでも、例えば、経営情報やKPIデータなどは一括入手し、部門単位で事業所分析(比較分析)を行うことで合理的に行えますし、集中して行う作業でより事業所特性が判別しやすくなります。他の情報も、事業部門単位で分析する事が合理的に進むことも多く、短期集中でできます。幸い、決算データやKPIデータは、経理部や人事部、経営管理部などがイントラネット上に掲載しているため、入手しやすく、ない場合も管理部署へ要請して入手可能なので、少しの時間があれば作業に入れます。こういう情報収集と分析の時間をしっかりとっておくことが重要でしょう。
その結果というと変ですが、定期業務監査は、「部門業務監査」スタイルになりました。宅配事業で15カ所のセンターがあり、1か月程度の期間を設定して、順番に監査を行い、最終的に、部門監査報告に仕上げていくことになりました。
店舗も福祉事業も同様に部門監査として行い、事業所ごとの問題と部門共通の問題をピックアップしていくことでより効果的な監査結果を得ることにつながりました。
内部監査において、この工程がもっと重要です。
監査実施前に、監査対象のガバナンス・プロセス、リスク・マネジメント、コントロールの正確な把握と、リスクベース監査手法に基づく重点項目を抽出するという工程です。
平たく言えば、監査対象部署がどのような管理体制(管理者や副管理者・グループやチームなど)にあり、事業上のリスクは何があり対策が進んでいるか、そして、日常のマネジメントはどのように行われているかを事前に知っておくことです。そのうえで、事業損失につながるような重大なリスクを見逃さないために、何処に重点を置いて監査を行うかを想定する作業なのです。
その手法は、書面取り寄せによる情報収集や、内部統制項目の自己評価票(CSA)、事前訪問ヒアリング、リスク評価、経営情報(決算情報)、過去情報、KPI数値データ分析等ありますが、監査対象によって使い分ける必要があります。
監査(往査)でたっぷり時間をかけられる条件があればよいのですが、私のいた生協は、監査対象が約100カ所ありましたし、監査員の活動日数も限られており、監査対象にかけられる時間は1日程度でした。その中で、現場点検や帳票点検など現地でないとできないことも多く、管理者へのヒアリングは3時間程度でした。したがって、監査前にできるだけ多くの情報を入手し、リスクの高い項目を重点にして効率的に監査を行うことが求められていました。
それでも、例えば、経営情報やKPIデータなどは一括入手し、部門単位で事業所分析(比較分析)を行うことで合理的に行えますし、集中して行う作業でより事業所特性が判別しやすくなります。他の情報も、事業部門単位で分析する事が合理的に進むことも多く、短期集中でできます。幸い、決算データやKPIデータは、経理部や人事部、経営管理部などがイントラネット上に掲載しているため、入手しやすく、ない場合も管理部署へ要請して入手可能なので、少しの時間があれば作業に入れます。こういう情報収集と分析の時間をしっかりとっておくことが重要でしょう。
その結果というと変ですが、定期業務監査は、「部門業務監査」スタイルになりました。宅配事業で15カ所のセンターがあり、1か月程度の期間を設定して、順番に監査を行い、最終的に、部門監査報告に仕上げていくことになりました。
店舗も福祉事業も同様に部門監査として行い、事業所ごとの問題と部門共通の問題をピックアップしていくことでより効果的な監査結果を得ることにつながりました。
3:予備調査の実施②経営情報・KPI(20180312) [2-内部監査実施指針]
予備調査の続きで、もう少し個別の内容を解説します。
経営情報分析は、いわゆる決算情報の分析と評価の事です。監査実施前の直近の決算書を用います。ここで重要なのは、「予算管理システム」の有効性の評価です。
それぞれ事業所は、予算に基づき執行される必要があります。
経営上の評価では、時に、事業所の直接剰余や経常剰余に偏って評価しがちですが、そもそもの予算はどうなのか、予算に基づいて事業目標を達成し、経費予算内で執行されているかが統制上重要なのです。
その結果、直接剰余や経常剰余も予算との比較でどうなっているかを見ておく必要があります。
経営評価では、直接剰余や経常剰余或いは税引き前剰余が最重要ポイントになりますが、例えば、供給高が予算を割り込んでしまっていても、経費を大幅に削減することで直接剰余を確保すれば、経営上問題にはなりません。しかし、内部監査では、なぜ供給高が大幅に割り込んでいるのかの真因を探る必要があります。また、大幅に経費を抑制した場合、例えば、本来施設修繕のための物件費予算があったにもかかわらず未執行としたという事になると、労働安全衛生上の問題や資産管理上の問題に発展するリスクが高くなっているのではないかと考えなくてはいけません。その逆に、供給高(事業高)が予算を超過し、事業上よが大幅に予算を上回っていて、ついつい経費面でルーズになっているという事もあります。
どちらのケースでも、コントロール不全の顕在化と判断し、是正すべきポイントになります。こうしたことを経営情報の分析では特に力を入れていくことになります。
決算結果は、コントロールやマネジメントの結果を示しています。予算との乖離が著しい項目があれば、それに関連するマネジメントの不全を疑うことが監査の視点として重要です。
KPI分析は、主要な指標を使った分析の事です。
KPIデータ(キーポイントインディケーター)は、事業や組織でかなり違いがあり、管理部門の機能と密接に関連してきます。
例えば、人事総務部署では、人事労務上いくつもデータを持っています。労働時間もその一つでしょう。他にも、休日取得情報とか、労災事故などもデータ化されているでしょう。
経理部門では、未収金のデータや動態・出資金(増資・減資)情報、小口現金処理情報などもあるでしょう。
こうした管理部門で、モニタリングしている情報を切り出して、部門単位で並べて比較することで、事業所単位の管理レベルが判定できます。管理レベルに低い事業所をピックアップすることで監査項目の重点が絞れます。
また、こうした管理部門のデータを収集する事は、監査対象部署の分析だけでなく、そのデータの質・正確性等を見ることで「管理部署の機能評価」もできます。
事例として、労働時間管理データを分析しその結果を現場で検証すると、かなりの誤差が生じてきているとした場合、管理部署の情報管理レベルに問題はないかと見ることになります。それが、多くの事業所で見られるとすれば、明らかに時間管理システム(プロセス)の欠陥であり、内部統制上の重要な是正課題と考えることになります。
予備調査は現場監査の準備活動に留まらず、内部統制システムの妥当性・有効性評価にも使えるという事で、一石二鳥の取り組みでもあるわけです。
もうすこし、予備調査の解説を続けましょう。
経営情報分析は、いわゆる決算情報の分析と評価の事です。監査実施前の直近の決算書を用います。ここで重要なのは、「予算管理システム」の有効性の評価です。
それぞれ事業所は、予算に基づき執行される必要があります。
経営上の評価では、時に、事業所の直接剰余や経常剰余に偏って評価しがちですが、そもそもの予算はどうなのか、予算に基づいて事業目標を達成し、経費予算内で執行されているかが統制上重要なのです。
その結果、直接剰余や経常剰余も予算との比較でどうなっているかを見ておく必要があります。
経営評価では、直接剰余や経常剰余或いは税引き前剰余が最重要ポイントになりますが、例えば、供給高が予算を割り込んでしまっていても、経費を大幅に削減することで直接剰余を確保すれば、経営上問題にはなりません。しかし、内部監査では、なぜ供給高が大幅に割り込んでいるのかの真因を探る必要があります。また、大幅に経費を抑制した場合、例えば、本来施設修繕のための物件費予算があったにもかかわらず未執行としたという事になると、労働安全衛生上の問題や資産管理上の問題に発展するリスクが高くなっているのではないかと考えなくてはいけません。その逆に、供給高(事業高)が予算を超過し、事業上よが大幅に予算を上回っていて、ついつい経費面でルーズになっているという事もあります。
どちらのケースでも、コントロール不全の顕在化と判断し、是正すべきポイントになります。こうしたことを経営情報の分析では特に力を入れていくことになります。
決算結果は、コントロールやマネジメントの結果を示しています。予算との乖離が著しい項目があれば、それに関連するマネジメントの不全を疑うことが監査の視点として重要です。
KPI分析は、主要な指標を使った分析の事です。
KPIデータ(キーポイントインディケーター)は、事業や組織でかなり違いがあり、管理部門の機能と密接に関連してきます。
例えば、人事総務部署では、人事労務上いくつもデータを持っています。労働時間もその一つでしょう。他にも、休日取得情報とか、労災事故などもデータ化されているでしょう。
経理部門では、未収金のデータや動態・出資金(増資・減資)情報、小口現金処理情報などもあるでしょう。
こうした管理部門で、モニタリングしている情報を切り出して、部門単位で並べて比較することで、事業所単位の管理レベルが判定できます。管理レベルに低い事業所をピックアップすることで監査項目の重点が絞れます。
また、こうした管理部門のデータを収集する事は、監査対象部署の分析だけでなく、そのデータの質・正確性等を見ることで「管理部署の機能評価」もできます。
事例として、労働時間管理データを分析しその結果を現場で検証すると、かなりの誤差が生じてきているとした場合、管理部署の情報管理レベルに問題はないかと見ることになります。それが、多くの事業所で見られるとすれば、明らかに時間管理システム(プロセス)の欠陥であり、内部統制上の重要な是正課題と考えることになります。
予備調査は現場監査の準備活動に留まらず、内部統制システムの妥当性・有効性評価にも使えるという事で、一石二鳥の取り組みでもあるわけです。
もうすこし、予備調査の解説を続けましょう。
3:予備調査の実施③内部統制自己評価票(20180313) [2-内部監査実施指針]
予備調査の一つで、書面による情報収集があります。
監事監査でよく見られる方法で、いくつかの質問項目に対して、監査対象部署からの回答・報告を入手して、事前に検討しています。内部監査でも同様の手法は有効だと思います。
私は、これを「書面調査」として実施していましたが、実は、監査対象部署にはかなりの負担になっていることがわかりました。また、質問内容が不明瞭で、何度もやり取りすることにもなりかねず、結局、年度方針や月次進捗報告などは、イントラネット上で入手できるため、途中でやめました。
これに代わって実施したのが、「コントロールセルフアセスメント(CSA):内部統制自己評価票」でした。仰々しく述べていますが、実は、これは、前任の内部監査担当が用いていた「監査チェックシート」の流用です。
前任の内部監査担当は、「監査チェックシート」評価を主にした監査を行っていました。チェックシートによる監査については別の項目で述べたいと思いますが、網羅性や監査深度の均一化等には有効な手法ですし、未熟な監査人には便利なものです。
これを見た時、これなら管理者自身がチェックすればいいじゃないかと思ったわけです。ただ、もっと有効に使えないかと考えて、先に述べた「コントロールマトリクス」の発想を加えました。
始めの年は、50項目くらいでしたが、何か歪な設問が多く、何度も何度も見直しをかけました。
結局、最終的に出来上がったものは、内部統制システムを構成するプロセス単位(予算管理・人事管理・労務管理等々)の17パーツに、5項目程度の設問(統制環境・リスク認識・統制活動・情報と伝達・モニタリングの視点で)を設定し、さらに事業部門ごとに8つほどのパーツを加えて、全体では125項目の設問に対して、4段階評価を行う形になりました。
開始当初は、事業所管理者から不満の声もありました。なにしろ125の項目を読むだけでもかなりの時間を要するわけですし、それを自己評価するなど慣れていなかったからです。
しかし、導入して3年目に変化がありました。
新任管理者にとって知っておくべきことが網羅できているとの評価をいただくようになったのです。また、「管理者研修では教えられない内部規程・基準・手順の理解が進む」とか、「自分の弱みが判ってマネジメントの改善につながる」といった声を聴けるようになりました。
実際、監査の際に管理者から自らの弱点に関して、克服するためのアドバイスを要請される場面も増えました。単に監査の予備調査のレベルを超えた副次効果があったのは驚きでした。
また、これを全事業所管理者で実施したことで、100を超えるデータとなり、集計分析することで組織の課題や傾向分析にも役立ちました。監事会からも高い評価を得ました。
話を戻しますが・・・
この「内部統制自己評価票(CSA)」は、個別にみれば、監査重点の絞り込み情報になります。監査対象部署管理者の弱点から、リスクの高い「管理プロセス」を絞ったり、マネジメント弱点(統制要素)を知ることで、より丁寧にヒアリングを行うことにつなげます。ここでも、「リスクベース」の考え方を用います。
これで、対象の概要を把握するための、書面調査・経営情報・KPI・内部統制自己評価までの情報収集と分析が終わりました。
いよいよ、次は、予備調査の最終段階、「リスク評価」です。
監事監査でよく見られる方法で、いくつかの質問項目に対して、監査対象部署からの回答・報告を入手して、事前に検討しています。内部監査でも同様の手法は有効だと思います。
私は、これを「書面調査」として実施していましたが、実は、監査対象部署にはかなりの負担になっていることがわかりました。また、質問内容が不明瞭で、何度もやり取りすることにもなりかねず、結局、年度方針や月次進捗報告などは、イントラネット上で入手できるため、途中でやめました。
これに代わって実施したのが、「コントロールセルフアセスメント(CSA):内部統制自己評価票」でした。仰々しく述べていますが、実は、これは、前任の内部監査担当が用いていた「監査チェックシート」の流用です。
前任の内部監査担当は、「監査チェックシート」評価を主にした監査を行っていました。チェックシートによる監査については別の項目で述べたいと思いますが、網羅性や監査深度の均一化等には有効な手法ですし、未熟な監査人には便利なものです。
これを見た時、これなら管理者自身がチェックすればいいじゃないかと思ったわけです。ただ、もっと有効に使えないかと考えて、先に述べた「コントロールマトリクス」の発想を加えました。
始めの年は、50項目くらいでしたが、何か歪な設問が多く、何度も何度も見直しをかけました。
結局、最終的に出来上がったものは、内部統制システムを構成するプロセス単位(予算管理・人事管理・労務管理等々)の17パーツに、5項目程度の設問(統制環境・リスク認識・統制活動・情報と伝達・モニタリングの視点で)を設定し、さらに事業部門ごとに8つほどのパーツを加えて、全体では125項目の設問に対して、4段階評価を行う形になりました。
開始当初は、事業所管理者から不満の声もありました。なにしろ125の項目を読むだけでもかなりの時間を要するわけですし、それを自己評価するなど慣れていなかったからです。
しかし、導入して3年目に変化がありました。
新任管理者にとって知っておくべきことが網羅できているとの評価をいただくようになったのです。また、「管理者研修では教えられない内部規程・基準・手順の理解が進む」とか、「自分の弱みが判ってマネジメントの改善につながる」といった声を聴けるようになりました。
実際、監査の際に管理者から自らの弱点に関して、克服するためのアドバイスを要請される場面も増えました。単に監査の予備調査のレベルを超えた副次効果があったのは驚きでした。
また、これを全事業所管理者で実施したことで、100を超えるデータとなり、集計分析することで組織の課題や傾向分析にも役立ちました。監事会からも高い評価を得ました。
話を戻しますが・・・
この「内部統制自己評価票(CSA)」は、個別にみれば、監査重点の絞り込み情報になります。監査対象部署管理者の弱点から、リスクの高い「管理プロセス」を絞ったり、マネジメント弱点(統制要素)を知ることで、より丁寧にヒアリングを行うことにつなげます。ここでも、「リスクベース」の考え方を用います。
これで、対象の概要を把握するための、書面調査・経営情報・KPI・内部統制自己評価までの情報収集と分析が終わりました。
いよいよ、次は、予備調査の最終段階、「リスク評価」です。
3:予備調査の実施④ リスク評価(20180314) [2-内部監査実施指針]
情報収集が終われば、次は「リスク評価」の段階に入ります。
基本とするのは、内部統制で実施している「リスクマネジメント」の結果である「重点リスク」です。
私のいた生協では、「リスク管理規程」に基づき、年次でリスクアセスメントを行い、重点リスクを抽出し、コントロール強化計画を策定することになっており、概ね3月には重点リスクが決定します。
重点リスクは、組織全体と事業部門ごとの区分があり、10~15程度が重点リスクとされ、コントロール強化策(目標)を四半期ごとの進捗評価を行います。(リスクマネジメントについては別のところで解説します)
予備調査では、まず、この「リスク評価」を用います。監査対象部署によっては、該当しないリスクもありますので、一旦、監査対象における重点リスクをチェックするに留めます。
その上で、監査対象部署の固有リスクについて検討します。
例えば、管理体制の変更(管理者の異動・役割変更等)に伴うマネジメントリスクはないかという点もリスクの一つです。
私のいた生協では、宅配事業センターでのマネジメントは、センター長・副センター長・エリアマネジャーという運営体制が基本になります。そして、供給管理や経理・物流等の事業に関わる実務の主要部分は、副センター長が担っています。ですから、センター長の異動よりも副センター長の異動のほうがマネジメント上のリスクは高いと考えられます。また、その異動についても、エリアマネジャーから副センター長へ昇格する場合と、横異動とではかなり違ってきます。
数年前、センター長の若返りのため15センター中13のセンター長が一斉に異動したことがありました。大半は副センター長からの昇格でしたが、同時に副センター長も大幅に異動することになり、ほとんどのセンターのマネジメントラインが一新することになりました。これはかなりのリスクです。もちろん、それぞれセンター長や副センターに任命された方は力量もありますから、それ自体重要な問題と考えるべきではないかもしれませんが、やはり、力量差はありますし、センター長・副長・エリアマネジャーの連携・意思疎通なども微妙に違ってくるため、マネジメント上の不具合が生じるのは避けられません。これをリスクと認識するかしないかで監査内容はかなり違ってくると思います。
前年度発生した事故や不適合事象はどうかという点も重要です。
事故や不適合事象の発生は、リスクの顕在化に他なりませんから、統制(コントロール)の改善が必要です。その措置がしっかりできているかは監査の重要なポイントになるわけです。
同様に、前年度の内部監査の指摘事項もリスクの一つに入れておきます。監査による指摘事項は、是正改善措置が取られるはずですが、意図した通りにできているかは重要なポイントです。
この作業は、監査計画策定の際、監査対象を選定する際にすでに実施していますので、前もっての情報はまとまっているため、あまり時間はかかりません。
それでも、見落としや軽重評価の変更はありますし、代表理事や常勤監事からの示唆も踏まえていくことでより実態に即したリスク評価に仕上げることを目指します。
書面調査・経営情報・KPIデータ分析・内部統制自己評価・リスク評価等が終了すると、いよいよ、監査ワークシートの作成に入ります。
基本とするのは、内部統制で実施している「リスクマネジメント」の結果である「重点リスク」です。
私のいた生協では、「リスク管理規程」に基づき、年次でリスクアセスメントを行い、重点リスクを抽出し、コントロール強化計画を策定することになっており、概ね3月には重点リスクが決定します。
重点リスクは、組織全体と事業部門ごとの区分があり、10~15程度が重点リスクとされ、コントロール強化策(目標)を四半期ごとの進捗評価を行います。(リスクマネジメントについては別のところで解説します)
予備調査では、まず、この「リスク評価」を用います。監査対象部署によっては、該当しないリスクもありますので、一旦、監査対象における重点リスクをチェックするに留めます。
その上で、監査対象部署の固有リスクについて検討します。
例えば、管理体制の変更(管理者の異動・役割変更等)に伴うマネジメントリスクはないかという点もリスクの一つです。
私のいた生協では、宅配事業センターでのマネジメントは、センター長・副センター長・エリアマネジャーという運営体制が基本になります。そして、供給管理や経理・物流等の事業に関わる実務の主要部分は、副センター長が担っています。ですから、センター長の異動よりも副センター長の異動のほうがマネジメント上のリスクは高いと考えられます。また、その異動についても、エリアマネジャーから副センター長へ昇格する場合と、横異動とではかなり違ってきます。
数年前、センター長の若返りのため15センター中13のセンター長が一斉に異動したことがありました。大半は副センター長からの昇格でしたが、同時に副センター長も大幅に異動することになり、ほとんどのセンターのマネジメントラインが一新することになりました。これはかなりのリスクです。もちろん、それぞれセンター長や副センターに任命された方は力量もありますから、それ自体重要な問題と考えるべきではないかもしれませんが、やはり、力量差はありますし、センター長・副長・エリアマネジャーの連携・意思疎通なども微妙に違ってくるため、マネジメント上の不具合が生じるのは避けられません。これをリスクと認識するかしないかで監査内容はかなり違ってくると思います。
前年度発生した事故や不適合事象はどうかという点も重要です。
事故や不適合事象の発生は、リスクの顕在化に他なりませんから、統制(コントロール)の改善が必要です。その措置がしっかりできているかは監査の重要なポイントになるわけです。
同様に、前年度の内部監査の指摘事項もリスクの一つに入れておきます。監査による指摘事項は、是正改善措置が取られるはずですが、意図した通りにできているかは重要なポイントです。
この作業は、監査計画策定の際、監査対象を選定する際にすでに実施していますので、前もっての情報はまとまっているため、あまり時間はかかりません。
それでも、見落としや軽重評価の変更はありますし、代表理事や常勤監事からの示唆も踏まえていくことでより実態に即したリスク評価に仕上げることを目指します。
書面調査・経営情報・KPIデータ分析・内部統制自己評価・リスク評価等が終了すると、いよいよ、監査ワークシートの作成に入ります。
4:監査ワークシートの作成(20180315) [2-内部監査実施指針]
予備調査が終わると、次に、監査ワークシートの作成(監査前準備)に入ります。
「ワークシート」は、実地監査(往査)に向けて、監査手続きや監査手順、ヒアリングの際の質問、現場や帳票点検の方法などをまとめたものです。
監査に許される時間は限界があります。より確実に有効に監査するためには、重点的にヒアリングや点検を行う項目を整理しておくことが必要です。
そして、監査重点となる部分では、想定されうる事象や問題について熟慮し、想定される原因・真因と改善提案についても検討しておくことが肝要です。
私のワークシートは、個別監査計画の「監査項目」を大項目として、次に内部統制の6つの要素を中項目に置いて、小項目に、ヒアリング時の質問と照合する帳票や証憑を記載していました。ヒアリング時の質問は、「オープンクエスチョン(HOW)」が中心で、その結果を証憑提示してもらう事で検証する形をとっていました。
例えば、宅配事象センター監査で見てみます。
大項目:事業進捗点検(予算管理プロセス)で考えると
中項目では
①予算作成過程-予算策定の指標はどのようなものを使ったか?・・予算作成シート検証
②予算実績評価-直近決算の結果をどう見ているか?・・供給高や経費執行・予算比や前年比
③運用管理-センター予算達成のためのマネジメントはどうしているか?
④月次・週次進捗監視-結果の監視はどのようにしているか?
⑤予算乖離事象-予算乖離(不足や超過)は起きていないか?その理由はどういうものか?
⑥年度末達成見通しと対策-年度見通しと具体的な対策はどうなっているか?
*予備調査の段階で、概ね答えは出ていますが、改めて、管理者の認識を確認するため、「HOW」の質問で検証します。予算乖離の事象もわかっていますが、その原因がどこにあるかを見つけるためには、予算策定段階や日常マネジメント・監視はどうか、有効な対策を持っているかなど、①~⑥の設問を行ったり来たりして深めることになります。
他の監査項目でも、同様の深め方が想定できますね。これを監査項目ごとに作成しますので、監査の進め方(シナリオ)が頭の中でほぼ固まってきます。
宅配事業や店舗・福祉事業では、同様の事業所運営スタイルを持っているため、事業部門単位で概ね同じパターンで作成しておいて、事業ごとの特性・課題を入れこんで部分修正する事で、効率よくワークシートを作成することができます。
重点を置きたいところを色で塗り分けることも有効です。あるいは、色を変えたテキストとか、パソコンの機能を有効に活用することで、作業の合理化は進めるべきです。
私は、こうした作業について、エクセルを活用しています。別の項目で詳細は述べたいと思いますが、一つの監査で、9種類ほどの書類が作成されます。すべての書類を間違いなく作成できるようにするために、一つの監査に一つのエクセルファイルを作成し、セルリンクを活用して同じ記述部分を繋いで省力化を行っています。これも一つの監査業務合理化のコツと言えるでしょう。
◆チェックリストとワークシートの違い
従来の監査の手法として、「チェックシート」を持ちいることがありました。
ISO監査では、チェックシートは必須とされています。
監査項目に照らして、いくつかの設問が策定され、〇[×]の評価や点数評価を行うのが一般的です。監査の標準化ができるとともに、網羅性を確保できる点で有効な方法ですし、結果を採点・数値化することも可能で、傾向分析にはかなり役立ちます。経験の少ない監査人・監査員制度の運用などではこの方法が入りやすく有効と言えます。
一方、ワークシートは、「監査シナリオ」とも言われ、監査時のヒアリングの進め方を整理しているものです。質問事項と照合すべき帳票・証憑を事前に記載したり、予見される事象の真因や改善提案まで記載します。実際の監査では、一つの問題事象が発見されるとそれを深堀することになり、予定時間ですべての項目を監査する為にはかなりのスキルが要求されます。
健康診断と人間ドックの違いを想定すると判り易いかもしれません。
チェックリストによる監査は、一般的な健康診断(項目が決まっていて、指標に照らして評価する)と言えます。看護師や検診センター技師での検査が主になります。
ワークシートによる監査は、人間ドックあるいは2次検診(精密検査)と言え、あらかじめ問題がありそうな部位へ高度な検査方法を用いて判定し、必要であれば追加検査を行うという形です。医師や専門の検査技師を必要としますね。
「ワークシート」は、実地監査(往査)に向けて、監査手続きや監査手順、ヒアリングの際の質問、現場や帳票点検の方法などをまとめたものです。
監査に許される時間は限界があります。より確実に有効に監査するためには、重点的にヒアリングや点検を行う項目を整理しておくことが必要です。
そして、監査重点となる部分では、想定されうる事象や問題について熟慮し、想定される原因・真因と改善提案についても検討しておくことが肝要です。
私のワークシートは、個別監査計画の「監査項目」を大項目として、次に内部統制の6つの要素を中項目に置いて、小項目に、ヒアリング時の質問と照合する帳票や証憑を記載していました。ヒアリング時の質問は、「オープンクエスチョン(HOW)」が中心で、その結果を証憑提示してもらう事で検証する形をとっていました。
例えば、宅配事象センター監査で見てみます。
大項目:事業進捗点検(予算管理プロセス)で考えると
中項目では
①予算作成過程-予算策定の指標はどのようなものを使ったか?・・予算作成シート検証
②予算実績評価-直近決算の結果をどう見ているか?・・供給高や経費執行・予算比や前年比
③運用管理-センター予算達成のためのマネジメントはどうしているか?
④月次・週次進捗監視-結果の監視はどのようにしているか?
⑤予算乖離事象-予算乖離(不足や超過)は起きていないか?その理由はどういうものか?
⑥年度末達成見通しと対策-年度見通しと具体的な対策はどうなっているか?
*予備調査の段階で、概ね答えは出ていますが、改めて、管理者の認識を確認するため、「HOW」の質問で検証します。予算乖離の事象もわかっていますが、その原因がどこにあるかを見つけるためには、予算策定段階や日常マネジメント・監視はどうか、有効な対策を持っているかなど、①~⑥の設問を行ったり来たりして深めることになります。
他の監査項目でも、同様の深め方が想定できますね。これを監査項目ごとに作成しますので、監査の進め方(シナリオ)が頭の中でほぼ固まってきます。
宅配事業や店舗・福祉事業では、同様の事業所運営スタイルを持っているため、事業部門単位で概ね同じパターンで作成しておいて、事業ごとの特性・課題を入れこんで部分修正する事で、効率よくワークシートを作成することができます。
重点を置きたいところを色で塗り分けることも有効です。あるいは、色を変えたテキストとか、パソコンの機能を有効に活用することで、作業の合理化は進めるべきです。
私は、こうした作業について、エクセルを活用しています。別の項目で詳細は述べたいと思いますが、一つの監査で、9種類ほどの書類が作成されます。すべての書類を間違いなく作成できるようにするために、一つの監査に一つのエクセルファイルを作成し、セルリンクを活用して同じ記述部分を繋いで省力化を行っています。これも一つの監査業務合理化のコツと言えるでしょう。
◆チェックリストとワークシートの違い
従来の監査の手法として、「チェックシート」を持ちいることがありました。
ISO監査では、チェックシートは必須とされています。
監査項目に照らして、いくつかの設問が策定され、〇[×]の評価や点数評価を行うのが一般的です。監査の標準化ができるとともに、網羅性を確保できる点で有効な方法ですし、結果を採点・数値化することも可能で、傾向分析にはかなり役立ちます。経験の少ない監査人・監査員制度の運用などではこの方法が入りやすく有効と言えます。
一方、ワークシートは、「監査シナリオ」とも言われ、監査時のヒアリングの進め方を整理しているものです。質問事項と照合すべき帳票・証憑を事前に記載したり、予見される事象の真因や改善提案まで記載します。実際の監査では、一つの問題事象が発見されるとそれを深堀することになり、予定時間ですべての項目を監査する為にはかなりのスキルが要求されます。
健康診断と人間ドックの違いを想定すると判り易いかもしれません。
チェックリストによる監査は、一般的な健康診断(項目が決まっていて、指標に照らして評価する)と言えます。看護師や検診センター技師での検査が主になります。
ワークシートによる監査は、人間ドックあるいは2次検診(精密検査)と言え、あらかじめ問題がありそうな部位へ高度な検査方法を用いて判定し、必要であれば追加検査を行うという形です。医師や専門の検査技師を必要としますね。
5:監査通知(21080316) [2-内部監査実施指針]
監査前の最後の作業は、「監査通知」です。
内部監査計画に基づき、監査実施の調整は、予備調査前の段階で行い、日程や時間や対応者等はあらかじめ明確にしておき、ワークシート作成が終了した段階で、監査対象へ実施通知を行います。概ね2週間前をめどに行うのが良いでしょう。
監査通知は、「通知書」と「ワークシート」を添えて行うと、監査対象がしっかりと準備することができ、スムーズな監査が期待できます。
通知書は、以下の項目を入れます。
*監査名称(定期業務監査・テーマ監査・特別監査等)
*監査対象部署
*監査対応者
*監査人
*実施期日
*実施時間
*監査目的(個別監査計画書からリンク)
*監査項目
・項目と準備要請事項(一覧表にすると判り易い)
*留意事項
・当日のスケジュールや特に用意いただくこと等。
帳票点検を行う場合は、点検したい帳票一覧と点検する期間を明記した一覧表も添えます。
私は、監査通知とワークシートと点検帳票一覧をセットにして、内部メールで送信していました。受信確認を取ることで承認されたものとしました。
同行監査員がいる場合(内部監査員制度の運用)、同じものを監査員にも送付し、監査準備を要請します。監査員には別途、監査記録を提出いただきますので、そのファイルも送付します。
不正調査を含む、特別監査(特命監査)の場合は直前の通知でした。
内部監査計画に基づき、監査実施の調整は、予備調査前の段階で行い、日程や時間や対応者等はあらかじめ明確にしておき、ワークシート作成が終了した段階で、監査対象へ実施通知を行います。概ね2週間前をめどに行うのが良いでしょう。
監査通知は、「通知書」と「ワークシート」を添えて行うと、監査対象がしっかりと準備することができ、スムーズな監査が期待できます。
通知書は、以下の項目を入れます。
*監査名称(定期業務監査・テーマ監査・特別監査等)
*監査対象部署
*監査対応者
*監査人
*実施期日
*実施時間
*監査目的(個別監査計画書からリンク)
*監査項目
・項目と準備要請事項(一覧表にすると判り易い)
*留意事項
・当日のスケジュールや特に用意いただくこと等。
帳票点検を行う場合は、点検したい帳票一覧と点検する期間を明記した一覧表も添えます。
私は、監査通知とワークシートと点検帳票一覧をセットにして、内部メールで送信していました。受信確認を取ることで承認されたものとしました。
同行監査員がいる場合(内部監査員制度の運用)、同じものを監査員にも送付し、監査準備を要請します。監査員には別途、監査記録を提出いただきますので、そのファイルも送付します。
不正調査を含む、特別監査(特命監査)の場合は直前の通知でした。
6:実地監査(往査)(20180319) [2-内部監査実施指針]
いよいよ、監査対象へ出向いて監査を行います。
少し、整理しておきますと、以下のプロセスを終えました。
①監査方針・監査計画の策定と承認
②個別監査計画の策定
③予備調査
④監査前準備(ワークシート作成)
⑤監査通知
いずれも、ほぼデスクワークです。代表理事や部門統括責任者との調整や、イントラネットを使ったデータ収集、管理部門へのデータ要請など、細かい作業は多くなりますが、しっかりと進める事ですね。
さて、いよいよ実地監査に向かいます。非常に緊張するところですが、予備調査で得た情報がしっかりワークシートの反映できていれば、大丈夫です。
実地監査は、監査対象によって違いはありますが、標準的には以下の工程が想定されます。
①オープニング
・監査の目的やスケジュールを監査対応者と確認します。
・事前に要請してあった帳票類の準備や、現場の視察の案内役なども確認します。
②現場視察
・宅配事業のセンターや店舗、福祉事業所(通所など)では、施設や設備の管理状態、計測機器の運用状況などを確認します。また、作業の様子も視察します。
③帳票点検
・業務に関する様々な帳票の点検を行います。
④ヒアリング
・ワークシートをもとに、監査対象部署の責任者(監査対応者)へのヒアリングです。
・現場視察や帳票点検の結果も提示しながら進めます。
⑤クロージング
・監査の結果を取りまとめて、監査対応者へ報告します。
・監査の結果、問題がある所は指摘事項として、是正や改善の提案を行います。
・複数の監査員で実施した場合は、クロージング前に、監査員の協議時間を持つことが必要です。
私のところでは、事業毎で少し進め方が違います。
宅配事業センターは、午前中に現場視察や帳票点検を行い、午後にヒアリングとクロージングを行うスケジュールでした。ヒアリングは、3時間の設定です。1つのセンターでほぼ1日の監査でスケジュールを組んでいました。
店舗も、午前中に、売り場やバックヤード・加工場などの視察や帳票点検を行い、午後に店長ヒアリングとクロージングを組みました。ヒアリングは3時間です。
福祉事業は少し複雑です。通所事業で30分程度の施設点検を入れますが、帳票類はヒアリングの中で随時行う方法にしました。そして、通所介護・訪問介護・居宅介護支援などの事業区分管理者をヒアリング対象として、概ね120分を設定していました。これには理由があって、それぞれ事業区分ごとで、介護保険制度に基づく運用基準・ルールがあり、センシティブな個人情報も扱うため、できるだけ、集中して短時間で行うことが求められるからです。福祉事業に関する監査については別に処で詳細に述べたいと思います。
実地監査はだいたいこういう工程で進めますが、私が最も重要だと考えていたのは、監査対象からの協力をしっかり取り付ける事でした。
「何のための」「誰のための」監査なのかをしっかりとアピールすることです。
このブログの2番目の記事にも書きましたが、内部監査の役割をどのように考えているかが重要です。それは、内部監査基準に定められた「内部監査の本質」や「役割」だけでは理解できないと思います。特に、生活協同組合という組織における内部監査の果たすべき役割という視点からも重要な事です。
その点について、次の記事で述べたいと思います。
少し、整理しておきますと、以下のプロセスを終えました。
①監査方針・監査計画の策定と承認
②個別監査計画の策定
③予備調査
④監査前準備(ワークシート作成)
⑤監査通知
いずれも、ほぼデスクワークです。代表理事や部門統括責任者との調整や、イントラネットを使ったデータ収集、管理部門へのデータ要請など、細かい作業は多くなりますが、しっかりと進める事ですね。
さて、いよいよ実地監査に向かいます。非常に緊張するところですが、予備調査で得た情報がしっかりワークシートの反映できていれば、大丈夫です。
実地監査は、監査対象によって違いはありますが、標準的には以下の工程が想定されます。
①オープニング
・監査の目的やスケジュールを監査対応者と確認します。
・事前に要請してあった帳票類の準備や、現場の視察の案内役なども確認します。
②現場視察
・宅配事業のセンターや店舗、福祉事業所(通所など)では、施設や設備の管理状態、計測機器の運用状況などを確認します。また、作業の様子も視察します。
③帳票点検
・業務に関する様々な帳票の点検を行います。
④ヒアリング
・ワークシートをもとに、監査対象部署の責任者(監査対応者)へのヒアリングです。
・現場視察や帳票点検の結果も提示しながら進めます。
⑤クロージング
・監査の結果を取りまとめて、監査対応者へ報告します。
・監査の結果、問題がある所は指摘事項として、是正や改善の提案を行います。
・複数の監査員で実施した場合は、クロージング前に、監査員の協議時間を持つことが必要です。
私のところでは、事業毎で少し進め方が違います。
宅配事業センターは、午前中に現場視察や帳票点検を行い、午後にヒアリングとクロージングを行うスケジュールでした。ヒアリングは、3時間の設定です。1つのセンターでほぼ1日の監査でスケジュールを組んでいました。
店舗も、午前中に、売り場やバックヤード・加工場などの視察や帳票点検を行い、午後に店長ヒアリングとクロージングを組みました。ヒアリングは3時間です。
福祉事業は少し複雑です。通所事業で30分程度の施設点検を入れますが、帳票類はヒアリングの中で随時行う方法にしました。そして、通所介護・訪問介護・居宅介護支援などの事業区分管理者をヒアリング対象として、概ね120分を設定していました。これには理由があって、それぞれ事業区分ごとで、介護保険制度に基づく運用基準・ルールがあり、センシティブな個人情報も扱うため、できるだけ、集中して短時間で行うことが求められるからです。福祉事業に関する監査については別に処で詳細に述べたいと思います。
実地監査はだいたいこういう工程で進めますが、私が最も重要だと考えていたのは、監査対象からの協力をしっかり取り付ける事でした。
「何のための」「誰のための」監査なのかをしっかりとアピールすることです。
このブログの2番目の記事にも書きましたが、内部監査の役割をどのように考えているかが重要です。それは、内部監査基準に定められた「内部監査の本質」や「役割」だけでは理解できないと思います。特に、生活協同組合という組織における内部監査の果たすべき役割という視点からも重要な事です。
その点について、次の記事で述べたいと思います。
内部監査の役割を考える(20180320) [6-雑感・いろいろ]
実地監査に入るとき、監査対象の協力は欠かせません。
予備調査で監査対象をいかに理解しても、実地監査で必要な帳票が開示されなかったり、ヒアリングの質問に誠実に答えてもらえなければ、満足な監査結果は得られません。
着任2年目、初めて一人監査体制になった年。いろいろ考えた末に、監査計画をまとめ、個別監査計画や予備調査を行ったにもかかわらず、実地監査では満足のいく結果が出ませんでした。 特に、福祉事業部門では苦労しました。センターや店舗とは比べ物にならないくらい、難解でしたし、管理者の受け止め方も厳しいものでした。監査評価(監査後に監査対象からの評価を貰う)も散々なものでした。
翌年、その理由が判りました。 福祉事業所は、監督行政による「実地指導」を受けます。市役所や県庁の福祉部や介護保険部の指導課による立ち入り調査です。 制度・実施要領に照らして、様々な書類を検証し、不備を洗い出して厳しく指導、是正報告を要求されるものです。言葉は悪いですが、重箱の隅をつついて、小さなミスをほじくり出すような指導ケースもあるようです。 もちろん、まともな実地指導の方が多いはずですが、それでも、管理者は出来るだけぼろを出さないよう、実地指導前日には深夜まで(?)指導準備を行っています。
この「実地指導」と「内部監査」の違いが正しく理解されていなかった事から、同じように周到な準備をし、必要以外に口を開かない様な頑なな態度を取っていたようでした。指摘事項に関してもかなり抵抗する態度もありました。 これを知って、もしかしたら、センターや店舗でも同じように受け止めているかもしれないと思いました。外部の指導はほとんどないのですが、消防署や保健所の立ち入り調査と同様に思っていたのかもしれません。
もちろん、内部監査でも、不備や誤謬を発見し、是正・改善要請は行います。その点では、行政による実地指導・立ち入り調査と同じに見えます。
では、何が違うのか??
その一つは、監査対象(現場)の「ためになる役に立つ」監査をするということです。
業務時間を割いてもらう以上、監査を受ける側にプラスになる事を作る事が必要でしょう。
例えば、福祉事業では、行政指導が数年単位で入ります。その時、単純なミスや不備を必要以上に指摘されないよう、内部監査が事前に点検し、是正・改善点を発見しておくことで、行政の評価は向上するはずです。実際、そういう事業所が何カ所か出てきましたし、その成果は、他の福祉事業所へも報告され、内部監査をしっかり受ける事が重要だという認識が広がりました。その結果、近年は、「問題点はないでしょうか?実地指導は大丈夫でしょうか?」そんな質問を受けるようにもなりました。
また、センターでも、内部監査で施設管理の問題(消防設備の不備等)を指摘し是正したことで、消防署の立ち入り調査で高い評価を得たなどという事もありました。 内部監査の役割は組織を守る事です。それは、法令順守とか行政対応とか、そういう場面でははっきりとした成果が見られると思います。
もう一つ、監査対象(現場)の「ためになる」監査の例を紹介します。
宅配事業センターの監査で、供給品の返品処理に苦慮している点が問題としてあがりました。 統一的なルールが存在していない為に、センターごとばらばらに運用され、中には、職員が買い取り現金が金庫内にプールされているケースさえ見つかりました。これは、本来、マネジメントラインで解決すべき問題ですが、センター間で問題が共有されていなかったため、課題にされていませんでした。これを内部監査が指摘し、部門課題として、事業本部へ改善要請を行い、統一ルールが作られ、運用が始まりました。他にも、細かい業務プロセス上の矛盾や無駄を発見して、手順やルールの見直しを提案することで、業務改善につながった事例はいくつも生まれています。
監査を通じ、現場が抱えている悩みを解決へ導くことができるという認識が広がる中で、センターの対応は大きく変わりました。そのうち、監査前のオープニングの場面で、センター長から悩みを相談したいとの申し出をうけるようになりました。
内部監査基準では、「アシュアランスとアドバイザリー」機能を発揮して、組織の目標達成に貢献することが本質としています。 おそらく、経営者の視点で言えばそうなのでしょう。
しかし、監査を受ける立場からはどうでしょう? 忙しい業務の時間を割いて、内部監査に対応する事は大きな負担です。しかし、それ自体は事業数値を伸ばしたり、大きな利益を生み出す作業ではありません。できれば、内部監査を受けたくない(そんな時間を割きたくない)というのが本音ではないでしょうか。
だからこそ、「監査を受けてよかった。事業所の問題点が発見でき、解決する方法が見つかった」という実感が持てるような監査を組み立てていくことが重要だと考えます。
しかし、内部監査は万能ではありません。
発見した問題への解決策をすべて持っているわけではありません。だからこそ、ヒアリングの中で、問題について話し合う事。原因は何か、真因はどこにあるか、是正・改善するにはどうすれば良いか、一緒に考える姿勢こそ重要でしょう。現場にこそ有効な解決策はあるはずですから。
それでも解決できない問題は、「内部統制上の不備(システム改善)」の課題として、代表理事へ報告し、組織的に検討・解決するよう提言すればよいと考えます。
内部監査は、現場での是正・改善、システム上の是正・改善を通じて、組織を守る役割、経営に資する役割が果たせるものと考えています。
6:実地監査①現場視察(20180321) [2-内部監査実施指針]
実地監査のパーツを分けて解説します。
最初は、「現場視察」です。
宅配事業センターや店舗、福祉事業(通所・入所等)等の事業所は、現場作業・業務があります。また、施設・設備・計測機器・マテハン・車両など様々なインフラを使用します。
ISO9001(品質MS)の規格で言えば、「7章:支援 1.資源」に入る領域です。
これらが適切に管理されているかを自らの目で確認することが現場視察の課題です。ですから、メモ(記録)と写真は必須です。異常を発見したらすぐに写真記録することが必要です。
視察時の着目点として、以下のような事が想定されます。
1.法令順守の領域として
①労働安全衛生の視点ー作業の安全措置・危険防止などの対策(手袋の着用や安全靴等も)
②消防法の視点ー報知器や消火器・防火シャッタ―などの設置と有効性
③食品衛生の視点―冷蔵冷凍設備の温度管理・作業場所の清掃・衛生管理・手洗いなどの実施
④環境法令の視点―産業廃棄物処理・フロン対策・危険物管理等、法令要件への準拠
⑤道交法の視点―車両の安全措置・点検管理・整備・清掃
⑥個人情報保護の視点ー書類管理・パソコンデータ管理
2.業務の効率性・合理性の視点
①事務所内の整理整頓-書類やデータ保管状況
②導線チェックー不要な作業導線の有無
3.資産保全の視点
①施設・設備の修繕や更新の実施状況
②固定資産台帳による資産点検―主要な資産が適切に計上されているか、廃棄処理手続きも含め
このような視点を持って、スピーディに点検していくことになります。
もちろん、運用ルールが不明なものもあると思いますが、それは現場で確認します。その際に、適切に回答できないようなことがあれば、ルールの教育が不十分と考えることができます。
作業導線や安全作業の確認には、実際に目の前で行ってもらう事もあります。正しい作業マニュアルが教育されているかも確認できます。
宅配事業センターは、ある程度、システム化されていて点検しやすいのですが、店舗は大変です。
特に、私のいた生協では、「開店時の品揃え」へのこだわりが強く、早朝作業が多くなり、開店前の1時間は、戦争の様な騒ぎになっているところもあって、落ち着いて点検できる状況ではありませんでした。
その回避策として、私は、店舗監査とは別に、売場点検活動を年2回集中して行っていました。監査とは別日程で、全ての店舗の売り場・全アイテムとバックヤード・加工場を点検するのです。これが意外に店長から高い評価を得ました。(本来、店舗事業本部から売場指導の役割を担うべき職員が配置されているはずで、なかなか機能していないのが悲しいですが)
福祉事業所では、特に通所介護(デイサービス)の現場視察には力を入れました。詳しくはまた、福祉事業監査の項目で述べますが、重要なのは、法令順守(介護保険制度・消防法・食品衛生法など)だけではなく、介護事故防止策の有効性点検です。
健常者にとっては何でもない段差やドアの開閉等も、高齢者や障がい者にとって問題がないかという視点で見る必要があります。もちろん、開設当初に、安全性確認はされているでしょうが、経年劣化による問題が見過ごされているケースもあります。
また、福祉事業はなかなか黒字化が難しいため、修繕したくても投資計画が承認されず、放置せざるを得ないような事例もあります。こういう事例には、内部監査がしっかりと指摘し、事業本部への働きかける役割が発揮できます。
現場視察の際には、利用者の感情を害さないよう細心の注意が必要でした。
どの現場でも共通していたのは、施設・設備・計測機器などの管理(保守点検)は、予算執行・事業所損益確保の課題の中で、管理者としては頭が痛い問題だということです。修繕したくてもできない、更新したくてもできない、壊れているけど先送りしている等、管理者自らが修繕計画を申請するのを躊躇う傾向をもっているのです。
ですから、内部監査として、しっかりの問題点を指摘する事で、実のところ、管理者は「内部監査の指摘があった」という理由をつけて、申請に踏み切ることができるというのも正直な思いだと感じました。
しかし、「作業点検」に関しては注意が必要です。
宅配センターや店舗・福祉事業等、様々な作業があり、主要な作業は手順やマニュアルが整備され、教育訓練も進んでいます。製造工場のように、何人もが同じ作業を行う場合、極めて重要な事です。ISO9001でも「第7章 支援 2:力量」の項目でその管理方法や評価方法を定める事が要求されており、業務の品質維持に大きな要素となっています。
しかし、人は機械ではありません。同じことを教育訓練されても、日常作業の中で「自己流」に陥りやすく、その結果、重大な事故につながります。安全運転との共通する視点です。
こうした多様な作業をどこまで点検できるか。悩ましい処でしょう。
私は、作業点検では、「リスクベース」視点を重視します。一つの作業プロセスの中で、重大な事故につながるリスクの高い箇所に絞って、現場で実地で確認するのです。
店舗で言えば、惣菜加工の「揚げ物作業」(やけど事故)や、鮮魚加工の「大型魚のカット作業」(刃物による事故)とか、宅配センターでは、出庫作業のドーリー片付け(転倒事故や接触事故)や、ドライアイス投入作業(冷凍やけど事故)といった具合です。前年度の労災事故記録から、頻度の高い事故を念頭に置いて点検する事でリスクを低減するのです。
少し長くなりましたが、現場視察もこうしてみると、すでにかなりの指摘すべき事項が浮かんでくるのではないでしょうか?
最初は、「現場視察」です。
宅配事業センターや店舗、福祉事業(通所・入所等)等の事業所は、現場作業・業務があります。また、施設・設備・計測機器・マテハン・車両など様々なインフラを使用します。
ISO9001(品質MS)の規格で言えば、「7章:支援 1.資源」に入る領域です。
これらが適切に管理されているかを自らの目で確認することが現場視察の課題です。ですから、メモ(記録)と写真は必須です。異常を発見したらすぐに写真記録することが必要です。
視察時の着目点として、以下のような事が想定されます。
1.法令順守の領域として
①労働安全衛生の視点ー作業の安全措置・危険防止などの対策(手袋の着用や安全靴等も)
②消防法の視点ー報知器や消火器・防火シャッタ―などの設置と有効性
③食品衛生の視点―冷蔵冷凍設備の温度管理・作業場所の清掃・衛生管理・手洗いなどの実施
④環境法令の視点―産業廃棄物処理・フロン対策・危険物管理等、法令要件への準拠
⑤道交法の視点―車両の安全措置・点検管理・整備・清掃
⑥個人情報保護の視点ー書類管理・パソコンデータ管理
2.業務の効率性・合理性の視点
①事務所内の整理整頓-書類やデータ保管状況
②導線チェックー不要な作業導線の有無
3.資産保全の視点
①施設・設備の修繕や更新の実施状況
②固定資産台帳による資産点検―主要な資産が適切に計上されているか、廃棄処理手続きも含め
このような視点を持って、スピーディに点検していくことになります。
もちろん、運用ルールが不明なものもあると思いますが、それは現場で確認します。その際に、適切に回答できないようなことがあれば、ルールの教育が不十分と考えることができます。
作業導線や安全作業の確認には、実際に目の前で行ってもらう事もあります。正しい作業マニュアルが教育されているかも確認できます。
宅配事業センターは、ある程度、システム化されていて点検しやすいのですが、店舗は大変です。
特に、私のいた生協では、「開店時の品揃え」へのこだわりが強く、早朝作業が多くなり、開店前の1時間は、戦争の様な騒ぎになっているところもあって、落ち着いて点検できる状況ではありませんでした。
その回避策として、私は、店舗監査とは別に、売場点検活動を年2回集中して行っていました。監査とは別日程で、全ての店舗の売り場・全アイテムとバックヤード・加工場を点検するのです。これが意外に店長から高い評価を得ました。(本来、店舗事業本部から売場指導の役割を担うべき職員が配置されているはずで、なかなか機能していないのが悲しいですが)
福祉事業所では、特に通所介護(デイサービス)の現場視察には力を入れました。詳しくはまた、福祉事業監査の項目で述べますが、重要なのは、法令順守(介護保険制度・消防法・食品衛生法など)だけではなく、介護事故防止策の有効性点検です。
健常者にとっては何でもない段差やドアの開閉等も、高齢者や障がい者にとって問題がないかという視点で見る必要があります。もちろん、開設当初に、安全性確認はされているでしょうが、経年劣化による問題が見過ごされているケースもあります。
また、福祉事業はなかなか黒字化が難しいため、修繕したくても投資計画が承認されず、放置せざるを得ないような事例もあります。こういう事例には、内部監査がしっかりと指摘し、事業本部への働きかける役割が発揮できます。
現場視察の際には、利用者の感情を害さないよう細心の注意が必要でした。
どの現場でも共通していたのは、施設・設備・計測機器などの管理(保守点検)は、予算執行・事業所損益確保の課題の中で、管理者としては頭が痛い問題だということです。修繕したくてもできない、更新したくてもできない、壊れているけど先送りしている等、管理者自らが修繕計画を申請するのを躊躇う傾向をもっているのです。
ですから、内部監査として、しっかりの問題点を指摘する事で、実のところ、管理者は「内部監査の指摘があった」という理由をつけて、申請に踏み切ることができるというのも正直な思いだと感じました。
しかし、「作業点検」に関しては注意が必要です。
宅配センターや店舗・福祉事業等、様々な作業があり、主要な作業は手順やマニュアルが整備され、教育訓練も進んでいます。製造工場のように、何人もが同じ作業を行う場合、極めて重要な事です。ISO9001でも「第7章 支援 2:力量」の項目でその管理方法や評価方法を定める事が要求されており、業務の品質維持に大きな要素となっています。
しかし、人は機械ではありません。同じことを教育訓練されても、日常作業の中で「自己流」に陥りやすく、その結果、重大な事故につながります。安全運転との共通する視点です。
こうした多様な作業をどこまで点検できるか。悩ましい処でしょう。
私は、作業点検では、「リスクベース」視点を重視します。一つの作業プロセスの中で、重大な事故につながるリスクの高い箇所に絞って、現場で実地で確認するのです。
店舗で言えば、惣菜加工の「揚げ物作業」(やけど事故)や、鮮魚加工の「大型魚のカット作業」(刃物による事故)とか、宅配センターでは、出庫作業のドーリー片付け(転倒事故や接触事故)や、ドライアイス投入作業(冷凍やけど事故)といった具合です。前年度の労災事故記録から、頻度の高い事故を念頭に置いて点検する事でリスクを低減するのです。
少し長くなりましたが、現場視察もこうしてみると、すでにかなりの指摘すべき事項が浮かんでくるのではないでしょうか?
6:実地監査②帳票類の点検(20180322) [2-内部監査実施指針]
実地監査の二つ目は、「帳票類の点検」です。
業務の結果は様々な帳票や記録として残されます。監査項目に沿って、検証可能な帳票を選定し、正確性・網羅性・保存性・有効性の観点で評価します。現在、様々な帳票の電子データ化が進んでいる点を考慮して、監査に際しては、使用可能なPCを提供いただくようにしておくことも必要です。
帳票の点検のポイントは4つです。
①正確性・・・記載事項・作成者・点検者などが正確か。
・書式に沿って必要事項が正しく記載され、必要な承認や決済印があるか、間違いを発見し、指摘し是正要求につなげやすいものです。しかし、ここで重要なのは、何故誤りが起きるか、原因を考える事。書式や手順に問題がないか、特定の事項に起きていないか、頻度はどうか、そういう見方をします。誤りの事実と同時に発生の原因を考えていくことです。
②網羅性・・・一定期間(必要期間)、抜けが無いように作成されているか。
・監査対象期間で、必要な書類が作成されている事。抜けがあれば、その期間に何があったかを確認する事。管理者や担当者の交代やルールの変更が要因であれば、運用プロセスの欠陥と考える必要があります。
③保存性・・・作成書類は整然とファイリングされ、必要期間分が保存されているか。
・書類は一定のルールに沿ってファイリングするのが基本です。長期間保管するものは特に重要です。そして必要に応じてすぐに取り出せることが必要です。ある特定の書類を指定して閲覧できるかを点検します。
④有効性・・・法令や内規に照らして、有効な書類となっているか。
・法廷書類や内部規定によって要求されるものが備わっているかも、重要です。適切な管理にはしっかり区分されている事も見ていきます。
上記の4つの視点で点検することは、「帳票の不備」という事実に照らして、マネジメントの不全につながる「真因」を思考することになります。
内部監査の目的は何か、今一度思い出して下さい。
帳票点検で不備帳票を発見し、指摘し是正要求するだけでなく、マネジメント改善を通じて経営に貢献するのです。
内部監査が敬遠される(疎ましがられる)理由の一つに、重箱の隅をつつくように、ミスを発見し問題事項として指摘し、一方的に是正・改善要請を行うような、「嫌がらせ」のような監査結果しか提示できないと受け止められているからです。(実際、ISO監査では規格要求事項に照らして、判定し、不適合を発見すると、是正指示を出す事になり、結果的に、かなり機械的で一方的な監査になりがちだったことを反省しています)
帳票点検を行い、発見したミスの要因について、監査対象部署とともに考える姿勢で臨めば、それほど疎ましがられることはないはずです。
次に、実際にどのような帳票を点検するかについて、視点と併せて述べます。
あとの、ワークシートとの関連もありますが,大雑把に以下の様な区分で帳票点検するとよいでしょう。
①法令順守:適用法令による届出・許可証・認可書・資格取得証明書等(掲示物も含め)
②人事労務:出退勤記録・届け出・雇用契約書・教育訓練記録
③安全衛生:安全衛生委員会開催記録・労災記録
④安全運転:教育訓練記録・事故違反報告・車両管理記録(車検点検等)
⑤会計管理:小口現金記録・金庫管理記録・稟議申請
⑥資産管理:固定資産管理台帳・施設点検表(日次記録)
⑦供給管理:商品仕入れや供給に関する伝票・現金入金表・レジ記録・販売管理表
⑧動態管理:加入書・脱退書・出資金管理(増資・減資)・利用登録・割引申請書
⑨業務管理:業務日報・週報・月報・お申し出(クレーム)管理表
具体的な帳票類・名称はそれぞれの生協で違うと思いますが、管理プロセスごとにかなり多種、存在することは判ると思います。すべてを点検するなどとても無理ですし、無駄です。
あとのヒアリング工程と関連し、リスクベース視点による重点リスク項目の帳票類は重点的に点検すると効率よい監査になると思います。
発見したミス帳票には、付箋を貼ったり、コピーを取るなどして、ヒアリングの際に提示できるように整理しておきます。
業務の結果は様々な帳票や記録として残されます。監査項目に沿って、検証可能な帳票を選定し、正確性・網羅性・保存性・有効性の観点で評価します。現在、様々な帳票の電子データ化が進んでいる点を考慮して、監査に際しては、使用可能なPCを提供いただくようにしておくことも必要です。
帳票の点検のポイントは4つです。
①正確性・・・記載事項・作成者・点検者などが正確か。
・書式に沿って必要事項が正しく記載され、必要な承認や決済印があるか、間違いを発見し、指摘し是正要求につなげやすいものです。しかし、ここで重要なのは、何故誤りが起きるか、原因を考える事。書式や手順に問題がないか、特定の事項に起きていないか、頻度はどうか、そういう見方をします。誤りの事実と同時に発生の原因を考えていくことです。
②網羅性・・・一定期間(必要期間)、抜けが無いように作成されているか。
・監査対象期間で、必要な書類が作成されている事。抜けがあれば、その期間に何があったかを確認する事。管理者や担当者の交代やルールの変更が要因であれば、運用プロセスの欠陥と考える必要があります。
③保存性・・・作成書類は整然とファイリングされ、必要期間分が保存されているか。
・書類は一定のルールに沿ってファイリングするのが基本です。長期間保管するものは特に重要です。そして必要に応じてすぐに取り出せることが必要です。ある特定の書類を指定して閲覧できるかを点検します。
④有効性・・・法令や内規に照らして、有効な書類となっているか。
・法廷書類や内部規定によって要求されるものが備わっているかも、重要です。適切な管理にはしっかり区分されている事も見ていきます。
上記の4つの視点で点検することは、「帳票の不備」という事実に照らして、マネジメントの不全につながる「真因」を思考することになります。
内部監査の目的は何か、今一度思い出して下さい。
帳票点検で不備帳票を発見し、指摘し是正要求するだけでなく、マネジメント改善を通じて経営に貢献するのです。
内部監査が敬遠される(疎ましがられる)理由の一つに、重箱の隅をつつくように、ミスを発見し問題事項として指摘し、一方的に是正・改善要請を行うような、「嫌がらせ」のような監査結果しか提示できないと受け止められているからです。(実際、ISO監査では規格要求事項に照らして、判定し、不適合を発見すると、是正指示を出す事になり、結果的に、かなり機械的で一方的な監査になりがちだったことを反省しています)
帳票点検を行い、発見したミスの要因について、監査対象部署とともに考える姿勢で臨めば、それほど疎ましがられることはないはずです。
次に、実際にどのような帳票を点検するかについて、視点と併せて述べます。
あとの、ワークシートとの関連もありますが,大雑把に以下の様な区分で帳票点検するとよいでしょう。
①法令順守:適用法令による届出・許可証・認可書・資格取得証明書等(掲示物も含め)
②人事労務:出退勤記録・届け出・雇用契約書・教育訓練記録
③安全衛生:安全衛生委員会開催記録・労災記録
④安全運転:教育訓練記録・事故違反報告・車両管理記録(車検点検等)
⑤会計管理:小口現金記録・金庫管理記録・稟議申請
⑥資産管理:固定資産管理台帳・施設点検表(日次記録)
⑦供給管理:商品仕入れや供給に関する伝票・現金入金表・レジ記録・販売管理表
⑧動態管理:加入書・脱退書・出資金管理(増資・減資)・利用登録・割引申請書
⑨業務管理:業務日報・週報・月報・お申し出(クレーム)管理表
具体的な帳票類・名称はそれぞれの生協で違うと思いますが、管理プロセスごとにかなり多種、存在することは判ると思います。すべてを点検するなどとても無理ですし、無駄です。
あとのヒアリング工程と関連し、リスクベース視点による重点リスク項目の帳票類は重点的に点検すると効率よい監査になると思います。
発見したミス帳票には、付箋を貼ったり、コピーを取るなどして、ヒアリングの際に提示できるように整理しておきます。
6:実地監査③ヒアリングの要領(20180323) [2-内部監査実施指針]
いよいよ、ヒアリングです。
現場視察と帳票点検で集めた証拠(証憑)はいったん整理して、ヒアリング項目にメモしておきます。
ヒアリングは、私のところでは、概ね、事業所の管理者(センター長・店長・事業所長等)を対象者としていました。しかし、管理者の判断で、副長や副店長、エリアマネジャー等を同席させているところもありました。その傾向は、年々増えたように思います。
一つには、管理者だけでは答えられない、詳細な内容が質問されるためです。
もう一つは、管理者自身が、次期管理者育成のために監査を知ることがマネジメント力向上につながると考えたのが理由だと思います。特に、後者の受け止めが年々増えてきたように思います。
さて、ヒアリングですが、要領は簡単です。
監査項目に沿って、監査対応者へ、質問し回答を得るという事です。
「チェックシート」方式では、網羅的に設定された項目に沿って質問し、回答に基づいて評価(〇[×]や点数化)していくことになります。
「ワークシート」方式では、監査項目について「オープンクエスチョン」(HOW質問)で回答を得て、記録し、その内容を掘り下げていくことに力点を置きます。評価をするのではなく、回答を吟味し、問題がないかを考え、問題があれば真因を追及する「オープンクエスチョン」を繰り返していきます。ヒアリングと呼ぶより、ディスカッションと呼ぶ傾向が強いと考えています。また、現場視察や帳票点検で得られた証憑についても、その中で提示し、確認作業を行います。
少し、言い方を変えてみます。
ヒアリングのポイントは、「問題発見と真因究明」にあると考えます。
そのために、YES/NOの回答を得る質問(クローズドクエスチョン」は避け、できるだけ「どのように?」という質問(オープンクエスチョン)を多用するのです。
実際のヒアリングを少し紹介します。
私は、ヒアリングの順番として、どの事業所でも初めの4つの項目は同じでした。
①方針計画の確認
・ヒアリングの初めは、今年度の事業所方針・計画の概要を説明いただきます。書面調査であらかじめ理解している事ですが、文章では表現されていない思いまでは理解できていません。ですから、管理者自身に語っていただきます。すると、方針・計画に掲げた事と現実の進捗の矛盾点や、方針・計画自体に誤りがあるなど率直な思いが語られるのです。ここにリスクや監査指摘のヒントが隠れている事が多いのです。
②予算進捗確認
・次には、予算進捗確認を行います。方針・計画が予定通り進捗していれば、当然、予算は達成しているはずです。しかし、現実はそれほど甘くありません。直近の決算書を見ながら、達成状況を報告いただくことで、管理者自身が問題点を気付くこともあります。
・予算進捗の確認は2つに分かれます。一つは、供給高や供給剰余等、収入に関する部分。そして、経費執行に関する部分です。
・収入(事業高・事業総剰余)に関わる部分では、実施計画(仲間作りや利用者拡大・商品普及・GP設定など)の取り組み状況を深めていきます。予算未達成であれば、方針計画は正しかったのか、実施計画に問題はなかったかを深めることになります。
・経費執行に関しては、人件費と物件費に分けて深めます。人件費の執行状況で予算との乖離が大きい場合、人事上・労務管理上の問題がないかを考えます。採用が進んでいない、途中離職が多い、残業業時間が長い、等、マネジメント上の課題がそこには隠れているはずです。物件費に関しては、費目細目で見ていく必要があります。著しい予算乖離や前年との差などは、予算設定上の問題が隠れていることがありますし、事業所だけでなく、部門全体の問題という事もあります。
最終的に、事業所損益がどうなっているかを検証します。そして、損益改善のための課題について管理者とディスカッションできればほぼ目的は達していると言えます。
③コンプライアンス点検
コンプライアンス基本規程・順法管理規程に基づき、各事業所で適用される法令は一覧化されていましたので、これを用いました。ここで、帳票点検・現場視察で得た証憑を活用します。概ね、どの管理者も、「法令違反はない」という認識を持っています。しかし、実際には細部で問題は起きています。理由は、業務都合優先の意識から「まあいいか」という認識が生まれ、例えば、消防訓練が未実施(消防法)だったり、作業前の体操(安全衛生法)が行われていなかったり、名簿がカウンターに放置(個人情報保護法)されていたり、ちょっとした意識の低下から違反事象が生まれるわけです。是正要求は単純(禁止や徹底実施)に見えますが、実はかなり厄介です。法令順守の意識向上がカギですが、これは一朝一夕には進みません。じっくり話し合う必要があります。
④リスク認識確認
・組織全体の重点リスク、事業部門リスクは、内部統制委員会で策定されていますので、まずはその項目への対応を確認した後、事業所固有リスクについてヒアリングします。管理者の抱える不安や課題意識が率直に確認できます。そして、それが、「①方針計画の確認」ときちんとリンクできているかを検証します。リスクが高いと認識しながら、何の対策も取られていないとすれば、指摘事項となります。その要因を追及することで、事業所内マネジメントの改善や、内部統制システム改善の手がかりになるわけです。
方針計画の確認、事業進捗点検、コンプライアンス点検・リスク認識確認の4点は、監査の入り口として考えます。
実はここまでで、ヒアリングの半分の時間を要するケースもありました。
このあとは、各事業の特性とリスク評価を踏まえた「重点的なヒアリング」に入ります。
各事業のポイントは別の項目で述べたいと思います。
現場視察と帳票点検で集めた証拠(証憑)はいったん整理して、ヒアリング項目にメモしておきます。
ヒアリングは、私のところでは、概ね、事業所の管理者(センター長・店長・事業所長等)を対象者としていました。しかし、管理者の判断で、副長や副店長、エリアマネジャー等を同席させているところもありました。その傾向は、年々増えたように思います。
一つには、管理者だけでは答えられない、詳細な内容が質問されるためです。
もう一つは、管理者自身が、次期管理者育成のために監査を知ることがマネジメント力向上につながると考えたのが理由だと思います。特に、後者の受け止めが年々増えてきたように思います。
さて、ヒアリングですが、要領は簡単です。
監査項目に沿って、監査対応者へ、質問し回答を得るという事です。
「チェックシート」方式では、網羅的に設定された項目に沿って質問し、回答に基づいて評価(〇[×]や点数化)していくことになります。
「ワークシート」方式では、監査項目について「オープンクエスチョン」(HOW質問)で回答を得て、記録し、その内容を掘り下げていくことに力点を置きます。評価をするのではなく、回答を吟味し、問題がないかを考え、問題があれば真因を追及する「オープンクエスチョン」を繰り返していきます。ヒアリングと呼ぶより、ディスカッションと呼ぶ傾向が強いと考えています。また、現場視察や帳票点検で得られた証憑についても、その中で提示し、確認作業を行います。
少し、言い方を変えてみます。
ヒアリングのポイントは、「問題発見と真因究明」にあると考えます。
そのために、YES/NOの回答を得る質問(クローズドクエスチョン」は避け、できるだけ「どのように?」という質問(オープンクエスチョン)を多用するのです。
実際のヒアリングを少し紹介します。
私は、ヒアリングの順番として、どの事業所でも初めの4つの項目は同じでした。
①方針計画の確認
・ヒアリングの初めは、今年度の事業所方針・計画の概要を説明いただきます。書面調査であらかじめ理解している事ですが、文章では表現されていない思いまでは理解できていません。ですから、管理者自身に語っていただきます。すると、方針・計画に掲げた事と現実の進捗の矛盾点や、方針・計画自体に誤りがあるなど率直な思いが語られるのです。ここにリスクや監査指摘のヒントが隠れている事が多いのです。
②予算進捗確認
・次には、予算進捗確認を行います。方針・計画が予定通り進捗していれば、当然、予算は達成しているはずです。しかし、現実はそれほど甘くありません。直近の決算書を見ながら、達成状況を報告いただくことで、管理者自身が問題点を気付くこともあります。
・予算進捗の確認は2つに分かれます。一つは、供給高や供給剰余等、収入に関する部分。そして、経費執行に関する部分です。
・収入(事業高・事業総剰余)に関わる部分では、実施計画(仲間作りや利用者拡大・商品普及・GP設定など)の取り組み状況を深めていきます。予算未達成であれば、方針計画は正しかったのか、実施計画に問題はなかったかを深めることになります。
・経費執行に関しては、人件費と物件費に分けて深めます。人件費の執行状況で予算との乖離が大きい場合、人事上・労務管理上の問題がないかを考えます。採用が進んでいない、途中離職が多い、残業業時間が長い、等、マネジメント上の課題がそこには隠れているはずです。物件費に関しては、費目細目で見ていく必要があります。著しい予算乖離や前年との差などは、予算設定上の問題が隠れていることがありますし、事業所だけでなく、部門全体の問題という事もあります。
最終的に、事業所損益がどうなっているかを検証します。そして、損益改善のための課題について管理者とディスカッションできればほぼ目的は達していると言えます。
③コンプライアンス点検
コンプライアンス基本規程・順法管理規程に基づき、各事業所で適用される法令は一覧化されていましたので、これを用いました。ここで、帳票点検・現場視察で得た証憑を活用します。概ね、どの管理者も、「法令違反はない」という認識を持っています。しかし、実際には細部で問題は起きています。理由は、業務都合優先の意識から「まあいいか」という認識が生まれ、例えば、消防訓練が未実施(消防法)だったり、作業前の体操(安全衛生法)が行われていなかったり、名簿がカウンターに放置(個人情報保護法)されていたり、ちょっとした意識の低下から違反事象が生まれるわけです。是正要求は単純(禁止や徹底実施)に見えますが、実はかなり厄介です。法令順守の意識向上がカギですが、これは一朝一夕には進みません。じっくり話し合う必要があります。
④リスク認識確認
・組織全体の重点リスク、事業部門リスクは、内部統制委員会で策定されていますので、まずはその項目への対応を確認した後、事業所固有リスクについてヒアリングします。管理者の抱える不安や課題意識が率直に確認できます。そして、それが、「①方針計画の確認」ときちんとリンクできているかを検証します。リスクが高いと認識しながら、何の対策も取られていないとすれば、指摘事項となります。その要因を追及することで、事業所内マネジメントの改善や、内部統制システム改善の手がかりになるわけです。
方針計画の確認、事業進捗点検、コンプライアンス点検・リスク認識確認の4点は、監査の入り口として考えます。
実はここまでで、ヒアリングの半分の時間を要するケースもありました。
このあとは、各事業の特性とリスク評価を踏まえた「重点的なヒアリング」に入ります。
各事業のポイントは別の項目で述べたいと思います。
6:実地監査④監査クロージング(20180326) [2-内部監査実施指針]
ヒアリングが終了すると、監査クロージングです。いわゆる実地監査のまとめです。「講評」と呼ぶところもあるようです。
クロージングの目的は、現場点検・帳票点検・ヒアリングを通じて得られた証拠をもとに、指摘事項のとりまとめと合意作りを行う事です。
複数人の監査員で監査する際は、現場視察・帳票点検・ヒアリングの内容を振り返り、指摘事項や所見に関する協議を行います。同じ事業所を監査していても、監査員によって、指摘の軽重は生まれます。しっかり時間を取って調整することが必要です。
したがって、まず、証拠の検証を行います。
証拠は、事実に基づき客観性が確認できることが重要です。現場や帳票については、写真や実物等が明確であるため、証拠としては有効です。一方、ヒアリングの中で、監査対象の回答・発言は、受け取り方によって変わってきます。ですから、回答・発言についてはしっかり吟味することが求められます。曖昧なものは極力排除する事です。
そうして整理した証拠から、指摘事項を絞り込んでいきます。
指摘事項の評価は、法令や内部規程等の基準に照らして行うことが基本です。監査員が感覚的におかしいと感じるものは主観的な判断に過ぎず、合意に至ることができません。あくまで、法令や内部規程等の基準が重要な物差しになるのです。
評価の基準は、それぞれの生協で設定されるべきだと思います。私のところでは、5段階(推奨事項・改善提案・観察事項・軽微な不適合・重大な不適合)の評価を行っていました。
推奨事項は、他の模範となる様な好事例・素晴らしい取り組みとしました。
改善提案は、現状で問題はないが、改善を通じて更に素晴らしい取り組みになるものとしました。
観察事項は、過去に発生した問題事象(現在は発生していない)で現状のコントロール(対策)が有効かどうか判断が難しく、経過を観察する必要のある事項です。
不適合は、基準に照らして明らかな誤り・ミスが確認される事象であり、その中で、プロセス不全により重大な損失につながるリスクが大きいと判断されるものが「重大な不適合」として区分指定ました。
実際の監査では、改善提案や観察事項、軽微な不適合が中心になっていました。
推奨事項は、意識的にみておかないと生まれにくく、監査員にとって苦労するところでした。
こうして、監査を通じて得られた証拠から指摘事項を整理した段階で、監査対応者を呼び、クロージングに入ります。
クロージングでは、まず、監査協力への謝意を述べた後、全体の講評(所見)を述べ、指摘事項の確認を行います。
以前は、クロージング前に所見所と指摘事項を書面にして、クロージングに入っていましたが、しっかりとした書面を作るには時間が不足しがちであり、合意を得る時間が不十分になる傾向にあったため、クロージングでは「監査メモ」を作成することにしました。
「監査メモ」は、要点を列記したもので、クロージングの際に口頭で補強することになります。
クロージングでは、指摘事項の合意が重要です。指摘事項の説明と是正改善要請の内容を説明します。それについて、監査対象管理者からの意見を聞き、合意できたものを監査指摘とします。
客観的事実として有効な証拠があり、監査員による吟味がしっかりされたものであれば、合意は容易いはずです。監査後の是正・改善もしっかり進むと言えます。
指摘事項は、事実に基づき、監査対象との合意を得ること。合意がない事項は指摘できないことに注意し、丁寧に説明し合意を得る努力が必要となります。
指摘事項に関しては、別の項目でより詳細・具体的に解説いたします。
これで、現場監査は完了となります。次は、監査のまとめ(結果の作成)に入ります。
クロージングの目的は、現場点検・帳票点検・ヒアリングを通じて得られた証拠をもとに、指摘事項のとりまとめと合意作りを行う事です。
複数人の監査員で監査する際は、現場視察・帳票点検・ヒアリングの内容を振り返り、指摘事項や所見に関する協議を行います。同じ事業所を監査していても、監査員によって、指摘の軽重は生まれます。しっかり時間を取って調整することが必要です。
したがって、まず、証拠の検証を行います。
証拠は、事実に基づき客観性が確認できることが重要です。現場や帳票については、写真や実物等が明確であるため、証拠としては有効です。一方、ヒアリングの中で、監査対象の回答・発言は、受け取り方によって変わってきます。ですから、回答・発言についてはしっかり吟味することが求められます。曖昧なものは極力排除する事です。
そうして整理した証拠から、指摘事項を絞り込んでいきます。
指摘事項の評価は、法令や内部規程等の基準に照らして行うことが基本です。監査員が感覚的におかしいと感じるものは主観的な判断に過ぎず、合意に至ることができません。あくまで、法令や内部規程等の基準が重要な物差しになるのです。
評価の基準は、それぞれの生協で設定されるべきだと思います。私のところでは、5段階(推奨事項・改善提案・観察事項・軽微な不適合・重大な不適合)の評価を行っていました。
推奨事項は、他の模範となる様な好事例・素晴らしい取り組みとしました。
改善提案は、現状で問題はないが、改善を通じて更に素晴らしい取り組みになるものとしました。
観察事項は、過去に発生した問題事象(現在は発生していない)で現状のコントロール(対策)が有効かどうか判断が難しく、経過を観察する必要のある事項です。
不適合は、基準に照らして明らかな誤り・ミスが確認される事象であり、その中で、プロセス不全により重大な損失につながるリスクが大きいと判断されるものが「重大な不適合」として区分指定ました。
実際の監査では、改善提案や観察事項、軽微な不適合が中心になっていました。
推奨事項は、意識的にみておかないと生まれにくく、監査員にとって苦労するところでした。
こうして、監査を通じて得られた証拠から指摘事項を整理した段階で、監査対応者を呼び、クロージングに入ります。
クロージングでは、まず、監査協力への謝意を述べた後、全体の講評(所見)を述べ、指摘事項の確認を行います。
以前は、クロージング前に所見所と指摘事項を書面にして、クロージングに入っていましたが、しっかりとした書面を作るには時間が不足しがちであり、合意を得る時間が不十分になる傾向にあったため、クロージングでは「監査メモ」を作成することにしました。
「監査メモ」は、要点を列記したもので、クロージングの際に口頭で補強することになります。
クロージングでは、指摘事項の合意が重要です。指摘事項の説明と是正改善要請の内容を説明します。それについて、監査対象管理者からの意見を聞き、合意できたものを監査指摘とします。
客観的事実として有効な証拠があり、監査員による吟味がしっかりされたものであれば、合意は容易いはずです。監査後の是正・改善もしっかり進むと言えます。
指摘事項は、事実に基づき、監査対象との合意を得ること。合意がない事項は指摘できないことに注意し、丁寧に説明し合意を得る努力が必要となります。
指摘事項に関しては、別の項目でより詳細・具体的に解説いたします。
これで、現場監査は完了となります。次は、監査のまとめ(結果の作成)に入ります。
7:監査結果の作成(20180327) [2-内部監査実施指針]
実地監査が終わると、監査の結果をまとめます。
手順は2段階。
①監査調書
監査では、ワークシートのほかにも、予備調査のデータ、現場での写真記録等、様々な情報が入手できます。これを、取り纏めたものが、「監査調書」です。
したがって、監査計画で整理した監査項目に沿って、細目まで記録化しておくことが重要であり、すべてが監査証拠となります。
1つの監査で、調書となるものは、予備調査から含めると膨大な量になることがあります。以前は、全て書面で残していましたが、ファイリング量もかなりになり、遡って取り出そうとすると労力がかかります。帳票点検の項目でも述べたように、記録類は、「正確性・網羅性・保全性・有効性」が重要なポイントです。監査記録も同様の視点で整理しなければなりません。そこで、私は、全ての帳票をPDF化して保存しました。年度別フォルダーの中に、業務監査や経営監査など監査区分のフォルダーを作成し、個別監査単位のフォルダーを置いていました。それと同時に、エクセルを使って帳票類のチェックシートを作り、セルリンクすることで必要な書類をすぐに取り出せるようにしましたし、点検も容易になりました。なにしろ、監査対象が100カ所近くに上り、時には同時並行で監査が進むこともあるため、こうした事務管理業務はパソコンを活用して合理化することは当然の事でした。
②所見書作成
調書の整理が終われば、所見書の作成に入ります。
監査における、第1 の成果物であり、監査の有効性を表現するものであり、吟味して完成させることに注力します。
「所見書」には、「監査目的・監査日時・監査対象と対応者・監査項目」を標準とし、「所見」と「指摘事項」を加えてまとめます。
◇所見
・「所見」とは、監査全体を通じた評価意見であり、監査を概括する内容になります。監査対象部署も、まず、この所見を読み、監査全体がどうだったのかを知る手掛かりになる所です。
・私は、「所見」については、1)優れている点(推奨事項)、2)問題点や課題、3)今後に期待する事の3点の順で整理していました。この書き方にしてからは、監査対象部署からの反応も良くなりました。
・そして、結語として「消極的アシュアランス」の文言を付けました。「消極的アシュアランス」とは、監査をした範囲(対象領域)において保証するということであり、対象部署全体でまったく問題がないというものではないという事を表明する事です。文例としては「監査した範囲においては、重大な不正や事業損失に直結するミスや誤謬は発見されませんでした。」という短文になります。言い訳ではなく、事実です。見ていないところまでは保証できないという事は当たり前です。・・これは、代表理事への報告の際に、「〇〇部署は問題なかったかね?」などと質問を受けることがあり、「問題ありませんでした。」と報告すると、代表理事はオールOKと誤解されかねないからです。
◇指摘事項
監査の成果物として最も重要なのが、「指摘事項」です。
監査対象部署にとっては、業務改善やシステム改善につながり、順法管理やマネジメントレベルが向上するような、是正措置や改善策を得る事が、最大の成果なのです。
ですから、監査で発見した事実と問題を基礎にして、その原因(真因)、改善への提案を判り易く表現することが必要です。可能な限り、発見した事実・問題から想定されるリスクを明記する事でより重要性が明確にできます。
この点に関しては、藤井範明先生の著書「監査報告書の指摘事項と改善提案(同文館出版)」を読まれる事をお勧めします。
かなり詳細に、有効な指摘とは何か、その考え方や視点、具体的な書式まで細かく解説されていてとても有効でした。これについては、また、別のところで詳しく解説させていただきたいと思います。
ここでは、3点だけポイントを挙げておきます。
①指摘事項は、発見した事実・想定されるリスク・是正改善提案の3点に分けて、表でまとめると理解されやすい。
②指摘事項の軽重については評価区分を用いると良い。(私は5段階区分:先に述べています)
③可能であれば、内部統制のカテゴリー区分(コントロールマトリクスの項目で述べた事)を用いて分類しておくと、部門単位や組織全体をまとめ、統制評価を行う際に有効。
ただ、最も重要なのは、改善提案や観察事項・不適合事項で評価した指摘事項が、監査対象部署に受け入れられ、具体的な是正・改善の取り組みにつながる事です。
手順は2段階。
①監査調書
監査では、ワークシートのほかにも、予備調査のデータ、現場での写真記録等、様々な情報が入手できます。これを、取り纏めたものが、「監査調書」です。
したがって、監査計画で整理した監査項目に沿って、細目まで記録化しておくことが重要であり、すべてが監査証拠となります。
1つの監査で、調書となるものは、予備調査から含めると膨大な量になることがあります。以前は、全て書面で残していましたが、ファイリング量もかなりになり、遡って取り出そうとすると労力がかかります。帳票点検の項目でも述べたように、記録類は、「正確性・網羅性・保全性・有効性」が重要なポイントです。監査記録も同様の視点で整理しなければなりません。そこで、私は、全ての帳票をPDF化して保存しました。年度別フォルダーの中に、業務監査や経営監査など監査区分のフォルダーを作成し、個別監査単位のフォルダーを置いていました。それと同時に、エクセルを使って帳票類のチェックシートを作り、セルリンクすることで必要な書類をすぐに取り出せるようにしましたし、点検も容易になりました。なにしろ、監査対象が100カ所近くに上り、時には同時並行で監査が進むこともあるため、こうした事務管理業務はパソコンを活用して合理化することは当然の事でした。
②所見書作成
調書の整理が終われば、所見書の作成に入ります。
監査における、第1 の成果物であり、監査の有効性を表現するものであり、吟味して完成させることに注力します。
「所見書」には、「監査目的・監査日時・監査対象と対応者・監査項目」を標準とし、「所見」と「指摘事項」を加えてまとめます。
◇所見
・「所見」とは、監査全体を通じた評価意見であり、監査を概括する内容になります。監査対象部署も、まず、この所見を読み、監査全体がどうだったのかを知る手掛かりになる所です。
・私は、「所見」については、1)優れている点(推奨事項)、2)問題点や課題、3)今後に期待する事の3点の順で整理していました。この書き方にしてからは、監査対象部署からの反応も良くなりました。
・そして、結語として「消極的アシュアランス」の文言を付けました。「消極的アシュアランス」とは、監査をした範囲(対象領域)において保証するということであり、対象部署全体でまったく問題がないというものではないという事を表明する事です。文例としては「監査した範囲においては、重大な不正や事業損失に直結するミスや誤謬は発見されませんでした。」という短文になります。言い訳ではなく、事実です。見ていないところまでは保証できないという事は当たり前です。・・これは、代表理事への報告の際に、「〇〇部署は問題なかったかね?」などと質問を受けることがあり、「問題ありませんでした。」と報告すると、代表理事はオールOKと誤解されかねないからです。
◇指摘事項
監査の成果物として最も重要なのが、「指摘事項」です。
監査対象部署にとっては、業務改善やシステム改善につながり、順法管理やマネジメントレベルが向上するような、是正措置や改善策を得る事が、最大の成果なのです。
ですから、監査で発見した事実と問題を基礎にして、その原因(真因)、改善への提案を判り易く表現することが必要です。可能な限り、発見した事実・問題から想定されるリスクを明記する事でより重要性が明確にできます。
この点に関しては、藤井範明先生の著書「監査報告書の指摘事項と改善提案(同文館出版)」を読まれる事をお勧めします。
かなり詳細に、有効な指摘とは何か、その考え方や視点、具体的な書式まで細かく解説されていてとても有効でした。これについては、また、別のところで詳しく解説させていただきたいと思います。
ここでは、3点だけポイントを挙げておきます。
①指摘事項は、発見した事実・想定されるリスク・是正改善提案の3点に分けて、表でまとめると理解されやすい。
②指摘事項の軽重については評価区分を用いると良い。(私は5段階区分:先に述べています)
③可能であれば、内部統制のカテゴリー区分(コントロールマトリクスの項目で述べた事)を用いて分類しておくと、部門単位や組織全体をまとめ、統制評価を行う際に有効。
ただ、最も重要なのは、改善提案や観察事項・不適合事項で評価した指摘事項が、監査対象部署に受け入れられ、具体的な是正・改善の取り組みにつながる事です。
8:監査結果通知と是正・改善要求書の発行(20180328) [2-内部監査実施指針]
監査結果の作成作業が終わると、監査結果を監査対象へ通知し、指摘事項に関して「是正改善要求」を行う段階になります。
① 監査対象へ、「所見書」と「監査調書(ヒアリング記録主体)」を送付し、結果通知とします。記載内容に関して、確認をいただくことを求めます。
② 所見書で明記した「指摘事項(発見した問題と原因・改善提案)」については、「是正・改善報告要求書」として、回答を要請します。
③指摘事項の軽重区分を行った場合、不適合とした事項は、速やかな是正と再発防止策が必要となります。観察事項や改善提案では、改善計画を求める事になります。
注意したいのは、監査はあくまで問題点を指摘し改善を提案する立場であるという事です。
それを実施するかどうかは監査対象の判断に任せる事です。無理に是正・改善をさせる事(指示する事)は越権行為になりますし、結果に責任を負うものではないはずです。
ISO監査では、この点が、内部監査基準とは異なる部分です。ISO19011では、是正改善要求の実施確認(フォロー)を強く求めていますし、記録確認も求めています。実際、外部審査の際、この点に力点を置いた内部監査部門審査を受けたことがあります。この認識の違いは、私も悩んだ時期がありました。
ただ、実地監査のプロセスの中で、ヒアリングとクロージングで、指摘事項の正当性が明確で、監査対象との合意ができたものは問題なく回答いただけるはずです。
ワンポイントアドバイス
当初は、監査結果のうち、「所見書」と「是正改善要求書」を文書で作成し、送付し返答をいただく手順でしたが、書類の未到達や紛失、回答書式の記入欄の設定課題(字数制限など)で、回答が戻るまでにかなり手間と時間が掛かりました。
そこで、監査記録類をエクセルファイル一つにまとめ、それを内部メール添付していく方法に切り替えました。送信(到達)の時間がほぼゼロとなり、受信確認も記録化できるため、確実性が向上します。エクセルですので、回答の字数制限はなく、かなり長文の回答や具体的な是正結果の写真記録等も添付されるようになりました。また、監査対象部署でも、パソコン作業でほぼ完了できることから回答時間も早くなりました。なにより、帳票管理・作業工程管理上でもミス防止に有効でした。
① 監査対象へ、「所見書」と「監査調書(ヒアリング記録主体)」を送付し、結果通知とします。記載内容に関して、確認をいただくことを求めます。
② 所見書で明記した「指摘事項(発見した問題と原因・改善提案)」については、「是正・改善報告要求書」として、回答を要請します。
③指摘事項の軽重区分を行った場合、不適合とした事項は、速やかな是正と再発防止策が必要となります。観察事項や改善提案では、改善計画を求める事になります。
注意したいのは、監査はあくまで問題点を指摘し改善を提案する立場であるという事です。
それを実施するかどうかは監査対象の判断に任せる事です。無理に是正・改善をさせる事(指示する事)は越権行為になりますし、結果に責任を負うものではないはずです。
ISO監査では、この点が、内部監査基準とは異なる部分です。ISO19011では、是正改善要求の実施確認(フォロー)を強く求めていますし、記録確認も求めています。実際、外部審査の際、この点に力点を置いた内部監査部門審査を受けたことがあります。この認識の違いは、私も悩んだ時期がありました。
ただ、実地監査のプロセスの中で、ヒアリングとクロージングで、指摘事項の正当性が明確で、監査対象との合意ができたものは問題なく回答いただけるはずです。
ワンポイントアドバイス
当初は、監査結果のうち、「所見書」と「是正改善要求書」を文書で作成し、送付し返答をいただく手順でしたが、書類の未到達や紛失、回答書式の記入欄の設定課題(字数制限など)で、回答が戻るまでにかなり手間と時間が掛かりました。
そこで、監査記録類をエクセルファイル一つにまとめ、それを内部メール添付していく方法に切り替えました。送信(到達)の時間がほぼゼロとなり、受信確認も記録化できるため、確実性が向上します。エクセルですので、回答の字数制限はなく、かなり長文の回答や具体的な是正結果の写真記録等も添付されるようになりました。また、監査対象部署でも、パソコン作業でほぼ完了できることから回答時間も早くなりました。なにより、帳票管理・作業工程管理上でもミス防止に有効でした。
9:是正改善報告の確認(20180329) [2-内部監査実施指針]
「是正改善要求書」を発行すると、一定期間を置いて「是正改善計画報告書」の提出を受けます。
監査指摘に関して、監査対象からの是正・改善の報告を受け、内容を確認することになります。
報告内容に関して、是正措置の実施が確認できるか、再発防止策が有効かの視点で吟味します。その際、監査対象が、指摘事項を真摯に受け止めているかがカギになります。回答があまりにも不充分であれば再度要請する事はあるでしょうが、完了への責任は持たない事が肝要です。これは、前の項目世哲明した通りです。
〇回答内容の吟味に関して
・指摘事項の評価区分のうち、不適合(軽微・重大)については、じっくり検証します。不適合事項は、すでにリスクが顕在化した状態ですから放置すれば、深刻な事態を招くことになります。まずは、是正(正しい状態に戻す事)が確実に行われたか。そして、再発防止策として有効となっているかを検討します。特に、法令違反に関する指摘事項は、速やかな是正が必要ですし、法令基準に沿っているかを検証することになります。
・観察事項(過去の事故やミス・経過観察が必要な事項)については、再発防止策の強化が有効かを検証します。また、同事象に関する監視(モニタリング)体制が強化できているかも重要なポイントになります。
・改善提案は、次年度の課題となるケースが多く、是正改善報告では確認しきれないのが実態と考えています。
ワンポイントアドバイス
是正改善報告書には、「監査対象部署からの監査評価(自由記入欄)」を設けました。いわゆる内部監査の査定です。はじめは、いくつかの評価ポイントへアンケートのような表でしたが、味気ない評価でしたので、敢えて自由記入欄にしました。
最初は、不平・不満・クレームが大量に記入されてくるのではないかと不安でしたが、概ね高評価でした。特に、新任管理者からは「自らのマネジメント力量の不足を確認でき、課題も整理でき良かった」とか「問題点に対して判り易い改善策・再発防止策を提案いただき、具体的な改善につなげることができた」などと喜びの声も出されていました。最も特徴的だったのは、福祉事業部門の監査後の評価でした。福祉事業所の管理者は、マネジメント教育が不十分な傾向にあり、監査で初めて内部規程やルールを知ったという人も多く、監査評価のほとんどが「勉強になった」との回答でした。
この「監査対象からの監査評価」は、監査品質プログラムにおける品質評価の客観的評価情報として活用できます。
監査指摘に関して、監査対象からの是正・改善の報告を受け、内容を確認することになります。
報告内容に関して、是正措置の実施が確認できるか、再発防止策が有効かの視点で吟味します。その際、監査対象が、指摘事項を真摯に受け止めているかがカギになります。回答があまりにも不充分であれば再度要請する事はあるでしょうが、完了への責任は持たない事が肝要です。これは、前の項目世哲明した通りです。
〇回答内容の吟味に関して
・指摘事項の評価区分のうち、不適合(軽微・重大)については、じっくり検証します。不適合事項は、すでにリスクが顕在化した状態ですから放置すれば、深刻な事態を招くことになります。まずは、是正(正しい状態に戻す事)が確実に行われたか。そして、再発防止策として有効となっているかを検討します。特に、法令違反に関する指摘事項は、速やかな是正が必要ですし、法令基準に沿っているかを検証することになります。
・観察事項(過去の事故やミス・経過観察が必要な事項)については、再発防止策の強化が有効かを検証します。また、同事象に関する監視(モニタリング)体制が強化できているかも重要なポイントになります。
・改善提案は、次年度の課題となるケースが多く、是正改善報告では確認しきれないのが実態と考えています。
ワンポイントアドバイス
是正改善報告書には、「監査対象部署からの監査評価(自由記入欄)」を設けました。いわゆる内部監査の査定です。はじめは、いくつかの評価ポイントへアンケートのような表でしたが、味気ない評価でしたので、敢えて自由記入欄にしました。
最初は、不平・不満・クレームが大量に記入されてくるのではないかと不安でしたが、概ね高評価でした。特に、新任管理者からは「自らのマネジメント力量の不足を確認でき、課題も整理でき良かった」とか「問題点に対して判り易い改善策・再発防止策を提案いただき、具体的な改善につなげることができた」などと喜びの声も出されていました。最も特徴的だったのは、福祉事業部門の監査後の評価でした。福祉事業所の管理者は、マネジメント教育が不十分な傾向にあり、監査で初めて内部規程やルールを知ったという人も多く、監査評価のほとんどが「勉強になった」との回答でした。
この「監査対象からの監査評価」は、監査品質プログラムにおける品質評価の客観的評価情報として活用できます。
10:監査結果報告書の作成・監査完了(20180330) [2-内部監査実施指針]
個別監査の最後の工程は「監査結果報告書の作成」です。
監査計画書・調書・所見書・是正改善報告書を監査資料とし、個別監査全体を取りまとめます。
監査目的や重点監査項目に照らして、適切に監査が実施され、有効な指摘と改善提案ができたか、監査対象が監査結果を真摯に受け止め、是正改善が進んだかをまとめる事です。
私は、一連の監査資料をエクセルファイルにしており、監査計画・通知書・ワークシート・調書・所見書・是正改善報告書・監査結果報告書まで、同じ項目はセルリンクした書式を使っていましたので、最終の「監査結果報告書」には、必要な項目は全てそれまでの工程で記入済みですから、「監査意見」を記入する欄が新たに設定されているだけでした。
「監査意見」には、個別監査全体を振り返り、監査対象の「次年度の課題と期待」を記入することにしました。また、時には、監査結果についてフォロー監査が必要かという点も記載しておきました。
そして、この監査結果報告書は、代表理事への報告(エグゼクティブサマリー)の資料となりますので、PDFにして整理しておきます。
◇フォロー監査に関して
監査の結果、不適合事項が指摘としてあがった場合、確実に是正・改善されているかをフォロー監査という形で実施する事が望ましいとされています。
年間計画の中で、期間を設定し、年内の個別監査を総括し、必要と判断されるところにはフォロー監査も行います。ただし、これはワンポイント監査の範囲ですので、手順としては、全ての指摘事項の是正・改善確認ではなく、不適合だけに絞って行う範囲です。
私の場合は、次年度監査計画の策定において、フォロー監査を組み込んでいくことにし、実施したのは一部(年度内で確実に是正すべき事項のみ)としていました。
一通り、個別監査の標準工程に沿って解説してきましたので、まとめの意味を込めて、標準工程表の図式を添付しておきます。
監査計画書・調書・所見書・是正改善報告書を監査資料とし、個別監査全体を取りまとめます。
監査目的や重点監査項目に照らして、適切に監査が実施され、有効な指摘と改善提案ができたか、監査対象が監査結果を真摯に受け止め、是正改善が進んだかをまとめる事です。
私は、一連の監査資料をエクセルファイルにしており、監査計画・通知書・ワークシート・調書・所見書・是正改善報告書・監査結果報告書まで、同じ項目はセルリンクした書式を使っていましたので、最終の「監査結果報告書」には、必要な項目は全てそれまでの工程で記入済みですから、「監査意見」を記入する欄が新たに設定されているだけでした。
「監査意見」には、個別監査全体を振り返り、監査対象の「次年度の課題と期待」を記入することにしました。また、時には、監査結果についてフォロー監査が必要かという点も記載しておきました。
そして、この監査結果報告書は、代表理事への報告(エグゼクティブサマリー)の資料となりますので、PDFにして整理しておきます。
◇フォロー監査に関して
監査の結果、不適合事項が指摘としてあがった場合、確実に是正・改善されているかをフォロー監査という形で実施する事が望ましいとされています。
年間計画の中で、期間を設定し、年内の個別監査を総括し、必要と判断されるところにはフォロー監査も行います。ただし、これはワンポイント監査の範囲ですので、手順としては、全ての指摘事項の是正・改善確認ではなく、不適合だけに絞って行う範囲です。
私の場合は、次年度監査計画の策定において、フォロー監査を組み込んでいくことにし、実施したのは一部(年度内で確実に是正すべき事項のみ)としていました。
一通り、個別監査の標準工程に沿って解説してきましたので、まとめの意味を込めて、標準工程表の図式を添付しておきます。
白井貞信 さん
生活協同組合で35年勤務し、最後の7年間は内部監査業務に携わっておりました。
この間の蓄積した経験と知識を活かして、内部監査の皆さんのサポートをさせていただきたいと考えております。
内部統制の構築支援や内部監査業務の実施支援、内部監査品質評価等のお手伝い、監査員養成研修サポート、経営分析等、生活協同組合の組織運営や経営・統制環境整備など、貴生協の状況に応じて、幅広くサポートさせていただきます。福祉事業の業務監査・マネジメント向上のための支援も致します。お気軽にお問い合わせください。
sadanobusirai@gmail.com
