内部監査実施指針:概要(20180302) [2-内部監査実施指針]
重要なのは、他のマネジメントと同様に、内部監査におけるPDCAサイクルの確立であり、作業工程(スクリプト)です。
少人数体制(1人体制)では、どうしても監査業務は独りよがりになりがちですし、時として、不備発生に気付かないこともあります。
これを防止するには、しっかりとした計画(P)が策定され、計画に基づいて実施(D)され、その進捗が検証(C)され、課題や問題を発見し改善(A)するというサイクルを明確になっている事です。特に、検証と改善は最も重要です。この点に関しては、品質管理プログラム実施(内部監査基準 4章)でも細かく求めているところです。
また、個別の監査でも、PDCAサイクルを確立することが必要です。それは、作業工程(スクリプト)として整理されている必要があります。スタートからゴールまでの手順、途中での修正方法なども決めておくことが必要でしょう。
この2点を踏まえて、実施要領を整理すると、大きく、以下の様に設定できます。
(1)監査の基本方針及び基本定格の策定と承認
(2)個別監査計画の策定
(3)予備調査の実施
(4)実施前準備
(5)監査通知
(6)実地監査(往査)
(7)監査結果の作成
(8)監査結果通知と是正改善要求の実施
(9)是正改善の確認
(10)監査結果報告書の作成(個別監査完了)
(11)フォロー監査
(12)エグゼクティブサマリー(監査報告)
上記、(2)~(11)までは、作業工程としてまとめる必要があります。
個々から順番に、解説していきます。
1:監査方針・監査計画(20180305) [2-内部監査実施指針]
内部監査基準 第5章:内部監査部門の運営 第1節 中・長期基本方針の策定 5.1.1 内部監査部門長は、組織体として対処すべき課題を意識し、内部監査が組織体の経営目標の効果的な達成に役立つように、内部監査部門を適切に運営しなければならない。 5.1.2 内部監査部門長は、組織体の中・長期計画に関連した内部監査部門の中・長期基本方針を策定しなければならない。当該基本方針には、内部監査の基本的方向性、要員の充実計画、システム化計画、予算および重要な技法を含めなければならない。 5.1.3 また、内部監査部門長は、内部監査部門の中・長期基本方針について最高経営者および取締役会の承認を得なければならず、経営環境の変化等に応じて、適時にこれを見直し、修正しなければならない。
(1)基本方針とは
組織の中長期計画に対応した「内部監査の中長期計画」を策定し、年次単位の監査方針を策定します。方針は、到達点をもとに、監査業務における重点課題を明確にすることが求められます。
それ程、長文でなくてもかまいません。
内部監査規程があれば、役割・目的などはすでに明示されているわけですから、中長期計画の中で、内部監査がどのような役割を発揮すべきなのかを整理することが重要なのです。
(2)基本計画とは
基本方針に基づき、具体的な年間の計画を策定します。
要素としては、監査対象や時期、人員体制、監査項目、予備調査の方法、採用する監査手続きなどを網羅します。
何より重要なのは、年次で行われるリスク・マネジメントの結果を考慮し、監査対象の優先順位を決め、監査重点を明らかにする「リスクベース監査」を基礎とする事です。そして、直属の代表理事と監事の意見を考慮し、策定する事です。
※「リスクベース監査」に関しては別の項目で解説します。
ワンポイントヒント
私は、監査計画策定に当たっては、可能な限り、事業部門統括(執行役員・統括部長)にヒアリングするようにしていました。代表理事の意見は最も重要ですが、それぞれの事業統括も部門マネジメントには苦労されています。懸念事項もたくさん抱えています。内部監査は問題を見つけて指摘する役割ではありません。問題を解決し、重大な問題に発展しないよう組織防衛の役割もありますし、アドバイザーでもあるわけです。ですから、率直に、部門の抱えている課題や改善したい点などを事業統括から聞き取り、内部監査計画に反映する事も必要と考えています。時間がなければ、内部メールでも構わないと思います。より多くの人から意見を聞くこと。独立的立場で公正に監査する事は、独善的になることとは違います。
(3)承認と組織周知
基本方針・基本計画は、直属の代表理事の承認を受け、組織内へ周知されることが必要です。そのこと自体が、内部統制の有効性を図ることになります。
統制の有効な組織であれば、内部監査計画は全ての事業所管理者が理解し、協力的に実施できるはずです。監査の日程調整や通知などで「聞いてない」などと抵抗する声が出れば、それこそ、統制の不備と言えるのです。
さて、内部監査全体の方針・計画がまとまれば、次は、個別監査計画の着手となります。
2:個別内部監査計画について(20180308) [2-内部監査実施指針]
オーソドックスな項目は以下の通りです。
1)監査対象及び対応責任者
2)監査人
3)監査目的
4)監査項目
5)監査対象範囲(業務や期間)
6)監査実施日・時間
7)監査手続き-往査時に行う事(現場視察や帳票点検、ヒアリング等)
私のいた生協では、こんな記載になっていました。
1)監査対象及び対応責任者
*「部署名」と「管理者(監査対応者)」を明記。
2)監査人
*内部監査室(白井貞信)・内部監査員(○○○○)
3)監査目的
○○年度内部監査計画に基づき、定期業務監査を実施する。
目標・予算管理、日常マネジメント、MS運用、人事労務、経理事務、供給管理、施設管理、順法管理、個人情報保護などの業務全般の監査を行い、是正・改善提案を通じて、経営に貢献する。
4)監査項目
*これが一番難しい項目でした。最終的には予備調査によって詳細を決定することになりますので、個別監査計画の段階では、重点項目として設定しうるものを列記しました。最終的には予備調査後の細目を決定していました。
例)宅配事業センターを対象とした場合
①事業進捗点検(予算管理・経費統制)
②MS運用・日常マネジメント点検
③人事労務管理・安全衛生・安全運転等
④経理事務管理(鍵・現金・金庫・小口現金管理・未収金管理等)
⑤供給管理状況(商品区分管理・品質管理・食品衛生管理状況)
⑥施設管理
⑦危機管理(消防法対応・大規模災害対応)
⑧コンプライアンス点検
⑨個人情報保護態勢(組合員データ管理・動態管理)
⑩部門固有リスク対応状況
5)監査対象範囲(業務や期間)
*対象とする期間や範囲ですので、○○年度分としていました。
6)監査実施日・時間
*事前に部門での日程調整を終えていますので、期日と時間を記載します。
7)監査手続き-往査時に行う事(現場視察や帳票点検、ヒアリング等)
*何をやるか。現場視察・作業点検・帳票点検・管理者ヒアリングなどの範囲で記載。
個別内部監査計画で重要なのは、監査対象と監査内容を代表理事が理解できる事です。これを見て、代表理事から、項目の追加や重点の補強、懸念事項の調査要請などを受け取ることが重要です。
また、私は、これを部門統括(執行役員や統括部長)へも提出し、内部監査の重点を理解してもらう事で、監査の結果が出た時に、課題の共有が進むツールになりました。
3:予備調査の実施①目的(20180309) [2-内部監査実施指針]
内部監査において、この工程がもっと重要です。
監査実施前に、監査対象のガバナンス・プロセス、リスク・マネジメント、コントロールの正確な把握と、リスクベース監査手法に基づく重点項目を抽出するという工程です。
平たく言えば、監査対象部署がどのような管理体制(管理者や副管理者・グループやチームなど)にあり、事業上のリスクは何があり対策が進んでいるか、そして、日常のマネジメントはどのように行われているかを事前に知っておくことです。そのうえで、事業損失につながるような重大なリスクを見逃さないために、何処に重点を置いて監査を行うかを想定する作業なのです。
その手法は、書面取り寄せによる情報収集や、内部統制項目の自己評価票(CSA)、事前訪問ヒアリング、リスク評価、経営情報(決算情報)、過去情報、KPI数値データ分析等ありますが、監査対象によって使い分ける必要があります。
監査(往査)でたっぷり時間をかけられる条件があればよいのですが、私のいた生協は、監査対象が約100カ所ありましたし、監査員の活動日数も限られており、監査対象にかけられる時間は1日程度でした。その中で、現場点検や帳票点検など現地でないとできないことも多く、管理者へのヒアリングは3時間程度でした。したがって、監査前にできるだけ多くの情報を入手し、リスクの高い項目を重点にして効率的に監査を行うことが求められていました。
それでも、例えば、経営情報やKPIデータなどは一括入手し、部門単位で事業所分析(比較分析)を行うことで合理的に行えますし、集中して行う作業でより事業所特性が判別しやすくなります。他の情報も、事業部門単位で分析する事が合理的に進むことも多く、短期集中でできます。幸い、決算データやKPIデータは、経理部や人事部、経営管理部などがイントラネット上に掲載しているため、入手しやすく、ない場合も管理部署へ要請して入手可能なので、少しの時間があれば作業に入れます。こういう情報収集と分析の時間をしっかりとっておくことが重要でしょう。
その結果というと変ですが、定期業務監査は、「部門業務監査」スタイルになりました。宅配事業で15カ所のセンターがあり、1か月程度の期間を設定して、順番に監査を行い、最終的に、部門監査報告に仕上げていくことになりました。
店舗も福祉事業も同様に部門監査として行い、事業所ごとの問題と部門共通の問題をピックアップしていくことでより効果的な監査結果を得ることにつながりました。
3:予備調査の実施②経営情報・KPI(20180312) [2-内部監査実施指針]
経営情報分析は、いわゆる決算情報の分析と評価の事です。監査実施前の直近の決算書を用います。ここで重要なのは、「予算管理システム」の有効性の評価です。
それぞれ事業所は、予算に基づき執行される必要があります。
経営上の評価では、時に、事業所の直接剰余や経常剰余に偏って評価しがちですが、そもそもの予算はどうなのか、予算に基づいて事業目標を達成し、経費予算内で執行されているかが統制上重要なのです。
その結果、直接剰余や経常剰余も予算との比較でどうなっているかを見ておく必要があります。
経営評価では、直接剰余や経常剰余或いは税引き前剰余が最重要ポイントになりますが、例えば、供給高が予算を割り込んでしまっていても、経費を大幅に削減することで直接剰余を確保すれば、経営上問題にはなりません。しかし、内部監査では、なぜ供給高が大幅に割り込んでいるのかの真因を探る必要があります。また、大幅に経費を抑制した場合、例えば、本来施設修繕のための物件費予算があったにもかかわらず未執行としたという事になると、労働安全衛生上の問題や資産管理上の問題に発展するリスクが高くなっているのではないかと考えなくてはいけません。その逆に、供給高(事業高)が予算を超過し、事業上よが大幅に予算を上回っていて、ついつい経費面でルーズになっているという事もあります。
どちらのケースでも、コントロール不全の顕在化と判断し、是正すべきポイントになります。こうしたことを経営情報の分析では特に力を入れていくことになります。
決算結果は、コントロールやマネジメントの結果を示しています。予算との乖離が著しい項目があれば、それに関連するマネジメントの不全を疑うことが監査の視点として重要です。
KPI分析は、主要な指標を使った分析の事です。
KPIデータ(キーポイントインディケーター)は、事業や組織でかなり違いがあり、管理部門の機能と密接に関連してきます。
例えば、人事総務部署では、人事労務上いくつもデータを持っています。労働時間もその一つでしょう。他にも、休日取得情報とか、労災事故などもデータ化されているでしょう。
経理部門では、未収金のデータや動態・出資金(増資・減資)情報、小口現金処理情報などもあるでしょう。
こうした管理部門で、モニタリングしている情報を切り出して、部門単位で並べて比較することで、事業所単位の管理レベルが判定できます。管理レベルに低い事業所をピックアップすることで監査項目の重点が絞れます。
また、こうした管理部門のデータを収集する事は、監査対象部署の分析だけでなく、そのデータの質・正確性等を見ることで「管理部署の機能評価」もできます。
事例として、労働時間管理データを分析しその結果を現場で検証すると、かなりの誤差が生じてきているとした場合、管理部署の情報管理レベルに問題はないかと見ることになります。それが、多くの事業所で見られるとすれば、明らかに時間管理システム(プロセス)の欠陥であり、内部統制上の重要な是正課題と考えることになります。
予備調査は現場監査の準備活動に留まらず、内部統制システムの妥当性・有効性評価にも使えるという事で、一石二鳥の取り組みでもあるわけです。
もうすこし、予備調査の解説を続けましょう。
3:予備調査の実施③内部統制自己評価票(20180313) [2-内部監査実施指針]
監事監査でよく見られる方法で、いくつかの質問項目に対して、監査対象部署からの回答・報告を入手して、事前に検討しています。内部監査でも同様の手法は有効だと思います。
私は、これを「書面調査」として実施していましたが、実は、監査対象部署にはかなりの負担になっていることがわかりました。また、質問内容が不明瞭で、何度もやり取りすることにもなりかねず、結局、年度方針や月次進捗報告などは、イントラネット上で入手できるため、途中でやめました。
これに代わって実施したのが、「コントロールセルフアセスメント(CSA):内部統制自己評価票」でした。仰々しく述べていますが、実は、これは、前任の内部監査担当が用いていた「監査チェックシート」の流用です。
前任の内部監査担当は、「監査チェックシート」評価を主にした監査を行っていました。チェックシートによる監査については別の項目で述べたいと思いますが、網羅性や監査深度の均一化等には有効な手法ですし、未熟な監査人には便利なものです。
これを見た時、これなら管理者自身がチェックすればいいじゃないかと思ったわけです。ただ、もっと有効に使えないかと考えて、先に述べた「コントロールマトリクス」の発想を加えました。
始めの年は、50項目くらいでしたが、何か歪な設問が多く、何度も何度も見直しをかけました。
結局、最終的に出来上がったものは、内部統制システムを構成するプロセス単位(予算管理・人事管理・労務管理等々)の17パーツに、5項目程度の設問(統制環境・リスク認識・統制活動・情報と伝達・モニタリングの視点で)を設定し、さらに事業部門ごとに8つほどのパーツを加えて、全体では125項目の設問に対して、4段階評価を行う形になりました。
開始当初は、事業所管理者から不満の声もありました。なにしろ125の項目を読むだけでもかなりの時間を要するわけですし、それを自己評価するなど慣れていなかったからです。
しかし、導入して3年目に変化がありました。
新任管理者にとって知っておくべきことが網羅できているとの評価をいただくようになったのです。また、「管理者研修では教えられない内部規程・基準・手順の理解が進む」とか、「自分の弱みが判ってマネジメントの改善につながる」といった声を聴けるようになりました。
実際、監査の際に管理者から自らの弱点に関して、克服するためのアドバイスを要請される場面も増えました。単に監査の予備調査のレベルを超えた副次効果があったのは驚きでした。
また、これを全事業所管理者で実施したことで、100を超えるデータとなり、集計分析することで組織の課題や傾向分析にも役立ちました。監事会からも高い評価を得ました。
話を戻しますが・・・
この「内部統制自己評価票(CSA)」は、個別にみれば、監査重点の絞り込み情報になります。監査対象部署管理者の弱点から、リスクの高い「管理プロセス」を絞ったり、マネジメント弱点(統制要素)を知ることで、より丁寧にヒアリングを行うことにつなげます。ここでも、「リスクベース」の考え方を用います。
これで、対象の概要を把握するための、書面調査・経営情報・KPI・内部統制自己評価までの情報収集と分析が終わりました。
いよいよ、次は、予備調査の最終段階、「リスク評価」です。
3:予備調査の実施④ リスク評価(20180314) [2-内部監査実施指針]
基本とするのは、内部統制で実施している「リスクマネジメント」の結果である「重点リスク」です。
私のいた生協では、「リスク管理規程」に基づき、年次でリスクアセスメントを行い、重点リスクを抽出し、コントロール強化計画を策定することになっており、概ね3月には重点リスクが決定します。
重点リスクは、組織全体と事業部門ごとの区分があり、10~15程度が重点リスクとされ、コントロール強化策(目標)を四半期ごとの進捗評価を行います。(リスクマネジメントについては別のところで解説します)
予備調査では、まず、この「リスク評価」を用います。監査対象部署によっては、該当しないリスクもありますので、一旦、監査対象における重点リスクをチェックするに留めます。
その上で、監査対象部署の固有リスクについて検討します。
例えば、管理体制の変更(管理者の異動・役割変更等)に伴うマネジメントリスクはないかという点もリスクの一つです。
私のいた生協では、宅配事業センターでのマネジメントは、センター長・副センター長・エリアマネジャーという運営体制が基本になります。そして、供給管理や経理・物流等の事業に関わる実務の主要部分は、副センター長が担っています。ですから、センター長の異動よりも副センター長の異動のほうがマネジメント上のリスクは高いと考えられます。また、その異動についても、エリアマネジャーから副センター長へ昇格する場合と、横異動とではかなり違ってきます。
数年前、センター長の若返りのため15センター中13のセンター長が一斉に異動したことがありました。大半は副センター長からの昇格でしたが、同時に副センター長も大幅に異動することになり、ほとんどのセンターのマネジメントラインが一新することになりました。これはかなりのリスクです。もちろん、それぞれセンター長や副センターに任命された方は力量もありますから、それ自体重要な問題と考えるべきではないかもしれませんが、やはり、力量差はありますし、センター長・副長・エリアマネジャーの連携・意思疎通なども微妙に違ってくるため、マネジメント上の不具合が生じるのは避けられません。これをリスクと認識するかしないかで監査内容はかなり違ってくると思います。
前年度発生した事故や不適合事象はどうかという点も重要です。
事故や不適合事象の発生は、リスクの顕在化に他なりませんから、統制(コントロール)の改善が必要です。その措置がしっかりできているかは監査の重要なポイントになるわけです。
同様に、前年度の内部監査の指摘事項もリスクの一つに入れておきます。監査による指摘事項は、是正改善措置が取られるはずですが、意図した通りにできているかは重要なポイントです。
この作業は、監査計画策定の際、監査対象を選定する際にすでに実施していますので、前もっての情報はまとまっているため、あまり時間はかかりません。
それでも、見落としや軽重評価の変更はありますし、代表理事や常勤監事からの示唆も踏まえていくことでより実態に即したリスク評価に仕上げることを目指します。
書面調査・経営情報・KPIデータ分析・内部統制自己評価・リスク評価等が終了すると、いよいよ、監査ワークシートの作成に入ります。
4:監査ワークシートの作成(20180315) [2-内部監査実施指針]
「ワークシート」は、実地監査(往査)に向けて、監査手続きや監査手順、ヒアリングの際の質問、現場や帳票点検の方法などをまとめたものです。
監査に許される時間は限界があります。より確実に有効に監査するためには、重点的にヒアリングや点検を行う項目を整理しておくことが必要です。
そして、監査重点となる部分では、想定されうる事象や問題について熟慮し、想定される原因・真因と改善提案についても検討しておくことが肝要です。
私のワークシートは、個別監査計画の「監査項目」を大項目として、次に内部統制の6つの要素を中項目に置いて、小項目に、ヒアリング時の質問と照合する帳票や証憑を記載していました。ヒアリング時の質問は、「オープンクエスチョン(HOW)」が中心で、その結果を証憑提示してもらう事で検証する形をとっていました。
例えば、宅配事象センター監査で見てみます。
大項目:事業進捗点検(予算管理プロセス)で考えると
中項目では
①予算作成過程-予算策定の指標はどのようなものを使ったか?・・予算作成シート検証
②予算実績評価-直近決算の結果をどう見ているか?・・供給高や経費執行・予算比や前年比
③運用管理-センター予算達成のためのマネジメントはどうしているか?
④月次・週次進捗監視-結果の監視はどのようにしているか?
⑤予算乖離事象-予算乖離(不足や超過)は起きていないか?その理由はどういうものか?
⑥年度末達成見通しと対策-年度見通しと具体的な対策はどうなっているか?
*予備調査の段階で、概ね答えは出ていますが、改めて、管理者の認識を確認するため、「HOW」の質問で検証します。予算乖離の事象もわかっていますが、その原因がどこにあるかを見つけるためには、予算策定段階や日常マネジメント・監視はどうか、有効な対策を持っているかなど、①~⑥の設問を行ったり来たりして深めることになります。
他の監査項目でも、同様の深め方が想定できますね。これを監査項目ごとに作成しますので、監査の進め方(シナリオ)が頭の中でほぼ固まってきます。
宅配事業や店舗・福祉事業では、同様の事業所運営スタイルを持っているため、事業部門単位で概ね同じパターンで作成しておいて、事業ごとの特性・課題を入れこんで部分修正する事で、効率よくワークシートを作成することができます。
重点を置きたいところを色で塗り分けることも有効です。あるいは、色を変えたテキストとか、パソコンの機能を有効に活用することで、作業の合理化は進めるべきです。
私は、こうした作業について、エクセルを活用しています。別の項目で詳細は述べたいと思いますが、一つの監査で、9種類ほどの書類が作成されます。すべての書類を間違いなく作成できるようにするために、一つの監査に一つのエクセルファイルを作成し、セルリンクを活用して同じ記述部分を繋いで省力化を行っています。これも一つの監査業務合理化のコツと言えるでしょう。
◆チェックリストとワークシートの違い
従来の監査の手法として、「チェックシート」を持ちいることがありました。
ISO監査では、チェックシートは必須とされています。
監査項目に照らして、いくつかの設問が策定され、〇[×]の評価や点数評価を行うのが一般的です。監査の標準化ができるとともに、網羅性を確保できる点で有効な方法ですし、結果を採点・数値化することも可能で、傾向分析にはかなり役立ちます。経験の少ない監査人・監査員制度の運用などではこの方法が入りやすく有効と言えます。
一方、ワークシートは、「監査シナリオ」とも言われ、監査時のヒアリングの進め方を整理しているものです。質問事項と照合すべき帳票・証憑を事前に記載したり、予見される事象の真因や改善提案まで記載します。実際の監査では、一つの問題事象が発見されるとそれを深堀することになり、予定時間ですべての項目を監査する為にはかなりのスキルが要求されます。
健康診断と人間ドックの違いを想定すると判り易いかもしれません。
チェックリストによる監査は、一般的な健康診断(項目が決まっていて、指標に照らして評価する)と言えます。看護師や検診センター技師での検査が主になります。
ワークシートによる監査は、人間ドックあるいは2次検診(精密検査)と言え、あらかじめ問題がありそうな部位へ高度な検査方法を用いて判定し、必要であれば追加検査を行うという形です。医師や専門の検査技師を必要としますね。
5:監査通知(21080316) [2-内部監査実施指針]
内部監査計画に基づき、監査実施の調整は、予備調査前の段階で行い、日程や時間や対応者等はあらかじめ明確にしておき、ワークシート作成が終了した段階で、監査対象へ実施通知を行います。概ね2週間前をめどに行うのが良いでしょう。
監査通知は、「通知書」と「ワークシート」を添えて行うと、監査対象がしっかりと準備することができ、スムーズな監査が期待できます。
通知書は、以下の項目を入れます。
*監査名称(定期業務監査・テーマ監査・特別監査等)
*監査対象部署
*監査対応者
*監査人
*実施期日
*実施時間
*監査目的(個別監査計画書からリンク)
*監査項目
・項目と準備要請事項(一覧表にすると判り易い)
*留意事項
・当日のスケジュールや特に用意いただくこと等。
帳票点検を行う場合は、点検したい帳票一覧と点検する期間を明記した一覧表も添えます。
私は、監査通知とワークシートと点検帳票一覧をセットにして、内部メールで送信していました。受信確認を取ることで承認されたものとしました。
同行監査員がいる場合(内部監査員制度の運用)、同じものを監査員にも送付し、監査準備を要請します。監査員には別途、監査記録を提出いただきますので、そのファイルも送付します。
不正調査を含む、特別監査(特命監査)の場合は直前の通知でした。
6:実地監査(往査)(20180319) [2-内部監査実施指針]
少し、整理しておきますと、以下のプロセスを終えました。
①監査方針・監査計画の策定と承認
②個別監査計画の策定
③予備調査
④監査前準備(ワークシート作成)
⑤監査通知
いずれも、ほぼデスクワークです。代表理事や部門統括責任者との調整や、イントラネットを使ったデータ収集、管理部門へのデータ要請など、細かい作業は多くなりますが、しっかりと進める事ですね。
さて、いよいよ実地監査に向かいます。非常に緊張するところですが、予備調査で得た情報がしっかりワークシートの反映できていれば、大丈夫です。
実地監査は、監査対象によって違いはありますが、標準的には以下の工程が想定されます。
①オープニング
・監査の目的やスケジュールを監査対応者と確認します。
・事前に要請してあった帳票類の準備や、現場の視察の案内役なども確認します。
②現場視察
・宅配事業のセンターや店舗、福祉事業所(通所など)では、施設や設備の管理状態、計測機器の運用状況などを確認します。また、作業の様子も視察します。
③帳票点検
・業務に関する様々な帳票の点検を行います。
④ヒアリング
・ワークシートをもとに、監査対象部署の責任者(監査対応者)へのヒアリングです。
・現場視察や帳票点検の結果も提示しながら進めます。
⑤クロージング
・監査の結果を取りまとめて、監査対応者へ報告します。
・監査の結果、問題がある所は指摘事項として、是正や改善の提案を行います。
・複数の監査員で実施した場合は、クロージング前に、監査員の協議時間を持つことが必要です。
私のところでは、事業毎で少し進め方が違います。
宅配事業センターは、午前中に現場視察や帳票点検を行い、午後にヒアリングとクロージングを行うスケジュールでした。ヒアリングは、3時間の設定です。1つのセンターでほぼ1日の監査でスケジュールを組んでいました。
店舗も、午前中に、売り場やバックヤード・加工場などの視察や帳票点検を行い、午後に店長ヒアリングとクロージングを組みました。ヒアリングは3時間です。
福祉事業は少し複雑です。通所事業で30分程度の施設点検を入れますが、帳票類はヒアリングの中で随時行う方法にしました。そして、通所介護・訪問介護・居宅介護支援などの事業区分管理者をヒアリング対象として、概ね120分を設定していました。これには理由があって、それぞれ事業区分ごとで、介護保険制度に基づく運用基準・ルールがあり、センシティブな個人情報も扱うため、できるだけ、集中して短時間で行うことが求められるからです。福祉事業に関する監査については別に処で詳細に述べたいと思います。
実地監査はだいたいこういう工程で進めますが、私が最も重要だと考えていたのは、監査対象からの協力をしっかり取り付ける事でした。
「何のための」「誰のための」監査なのかをしっかりとアピールすることです。
このブログの2番目の記事にも書きましたが、内部監査の役割をどのように考えているかが重要です。それは、内部監査基準に定められた「内部監査の本質」や「役割」だけでは理解できないと思います。特に、生活協同組合という組織における内部監査の果たすべき役割という視点からも重要な事です。
その点について、次の記事で述べたいと思います。
6:実地監査①現場視察(20180321) [2-内部監査実施指針]
最初は、「現場視察」です。
宅配事業センターや店舗、福祉事業(通所・入所等)等の事業所は、現場作業・業務があります。また、施設・設備・計測機器・マテハン・車両など様々なインフラを使用します。
ISO9001(品質MS)の規格で言えば、「7章:支援 1.資源」に入る領域です。
これらが適切に管理されているかを自らの目で確認することが現場視察の課題です。ですから、メモ(記録)と写真は必須です。異常を発見したらすぐに写真記録することが必要です。
視察時の着目点として、以下のような事が想定されます。
1.法令順守の領域として
①労働安全衛生の視点ー作業の安全措置・危険防止などの対策(手袋の着用や安全靴等も)
②消防法の視点ー報知器や消火器・防火シャッタ―などの設置と有効性
③食品衛生の視点―冷蔵冷凍設備の温度管理・作業場所の清掃・衛生管理・手洗いなどの実施
④環境法令の視点―産業廃棄物処理・フロン対策・危険物管理等、法令要件への準拠
⑤道交法の視点―車両の安全措置・点検管理・整備・清掃
⑥個人情報保護の視点ー書類管理・パソコンデータ管理
2.業務の効率性・合理性の視点
①事務所内の整理整頓-書類やデータ保管状況
②導線チェックー不要な作業導線の有無
3.資産保全の視点
①施設・設備の修繕や更新の実施状況
②固定資産台帳による資産点検―主要な資産が適切に計上されているか、廃棄処理手続きも含め
このような視点を持って、スピーディに点検していくことになります。
もちろん、運用ルールが不明なものもあると思いますが、それは現場で確認します。その際に、適切に回答できないようなことがあれば、ルールの教育が不十分と考えることができます。
作業導線や安全作業の確認には、実際に目の前で行ってもらう事もあります。正しい作業マニュアルが教育されているかも確認できます。
宅配事業センターは、ある程度、システム化されていて点検しやすいのですが、店舗は大変です。
特に、私のいた生協では、「開店時の品揃え」へのこだわりが強く、早朝作業が多くなり、開店前の1時間は、戦争の様な騒ぎになっているところもあって、落ち着いて点検できる状況ではありませんでした。
その回避策として、私は、店舗監査とは別に、売場点検活動を年2回集中して行っていました。監査とは別日程で、全ての店舗の売り場・全アイテムとバックヤード・加工場を点検するのです。これが意外に店長から高い評価を得ました。(本来、店舗事業本部から売場指導の役割を担うべき職員が配置されているはずで、なかなか機能していないのが悲しいですが)
福祉事業所では、特に通所介護(デイサービス)の現場視察には力を入れました。詳しくはまた、福祉事業監査の項目で述べますが、重要なのは、法令順守(介護保険制度・消防法・食品衛生法など)だけではなく、介護事故防止策の有効性点検です。
健常者にとっては何でもない段差やドアの開閉等も、高齢者や障がい者にとって問題がないかという視点で見る必要があります。もちろん、開設当初に、安全性確認はされているでしょうが、経年劣化による問題が見過ごされているケースもあります。
また、福祉事業はなかなか黒字化が難しいため、修繕したくても投資計画が承認されず、放置せざるを得ないような事例もあります。こういう事例には、内部監査がしっかりと指摘し、事業本部への働きかける役割が発揮できます。
現場視察の際には、利用者の感情を害さないよう細心の注意が必要でした。
どの現場でも共通していたのは、施設・設備・計測機器などの管理(保守点検)は、予算執行・事業所損益確保の課題の中で、管理者としては頭が痛い問題だということです。修繕したくてもできない、更新したくてもできない、壊れているけど先送りしている等、管理者自らが修繕計画を申請するのを躊躇う傾向をもっているのです。
ですから、内部監査として、しっかりの問題点を指摘する事で、実のところ、管理者は「内部監査の指摘があった」という理由をつけて、申請に踏み切ることができるというのも正直な思いだと感じました。
しかし、「作業点検」に関しては注意が必要です。
宅配センターや店舗・福祉事業等、様々な作業があり、主要な作業は手順やマニュアルが整備され、教育訓練も進んでいます。製造工場のように、何人もが同じ作業を行う場合、極めて重要な事です。ISO9001でも「第7章 支援 2:力量」の項目でその管理方法や評価方法を定める事が要求されており、業務の品質維持に大きな要素となっています。
しかし、人は機械ではありません。同じことを教育訓練されても、日常作業の中で「自己流」に陥りやすく、その結果、重大な事故につながります。安全運転との共通する視点です。
こうした多様な作業をどこまで点検できるか。悩ましい処でしょう。
私は、作業点検では、「リスクベース」視点を重視します。一つの作業プロセスの中で、重大な事故につながるリスクの高い箇所に絞って、現場で実地で確認するのです。
店舗で言えば、惣菜加工の「揚げ物作業」(やけど事故)や、鮮魚加工の「大型魚のカット作業」(刃物による事故)とか、宅配センターでは、出庫作業のドーリー片付け(転倒事故や接触事故)や、ドライアイス投入作業(冷凍やけど事故)といった具合です。前年度の労災事故記録から、頻度の高い事故を念頭に置いて点検する事でリスクを低減するのです。
少し長くなりましたが、現場視察もこうしてみると、すでにかなりの指摘すべき事項が浮かんでくるのではないでしょうか?
6:実地監査②帳票類の点検(20180322) [2-内部監査実施指針]
業務の結果は様々な帳票や記録として残されます。監査項目に沿って、検証可能な帳票を選定し、正確性・網羅性・保存性・有効性の観点で評価します。現在、様々な帳票の電子データ化が進んでいる点を考慮して、監査に際しては、使用可能なPCを提供いただくようにしておくことも必要です。
帳票の点検のポイントは4つです。
①正確性・・・記載事項・作成者・点検者などが正確か。
・書式に沿って必要事項が正しく記載され、必要な承認や決済印があるか、間違いを発見し、指摘し是正要求につなげやすいものです。しかし、ここで重要なのは、何故誤りが起きるか、原因を考える事。書式や手順に問題がないか、特定の事項に起きていないか、頻度はどうか、そういう見方をします。誤りの事実と同時に発生の原因を考えていくことです。
②網羅性・・・一定期間(必要期間)、抜けが無いように作成されているか。
・監査対象期間で、必要な書類が作成されている事。抜けがあれば、その期間に何があったかを確認する事。管理者や担当者の交代やルールの変更が要因であれば、運用プロセスの欠陥と考える必要があります。
③保存性・・・作成書類は整然とファイリングされ、必要期間分が保存されているか。
・書類は一定のルールに沿ってファイリングするのが基本です。長期間保管するものは特に重要です。そして必要に応じてすぐに取り出せることが必要です。ある特定の書類を指定して閲覧できるかを点検します。
④有効性・・・法令や内規に照らして、有効な書類となっているか。
・法廷書類や内部規定によって要求されるものが備わっているかも、重要です。適切な管理にはしっかり区分されている事も見ていきます。
上記の4つの視点で点検することは、「帳票の不備」という事実に照らして、マネジメントの不全につながる「真因」を思考することになります。
内部監査の目的は何か、今一度思い出して下さい。
帳票点検で不備帳票を発見し、指摘し是正要求するだけでなく、マネジメント改善を通じて経営に貢献するのです。
内部監査が敬遠される(疎ましがられる)理由の一つに、重箱の隅をつつくように、ミスを発見し問題事項として指摘し、一方的に是正・改善要請を行うような、「嫌がらせ」のような監査結果しか提示できないと受け止められているからです。(実際、ISO監査では規格要求事項に照らして、判定し、不適合を発見すると、是正指示を出す事になり、結果的に、かなり機械的で一方的な監査になりがちだったことを反省しています)
帳票点検を行い、発見したミスの要因について、監査対象部署とともに考える姿勢で臨めば、それほど疎ましがられることはないはずです。
次に、実際にどのような帳票を点検するかについて、視点と併せて述べます。
あとの、ワークシートとの関連もありますが,大雑把に以下の様な区分で帳票点検するとよいでしょう。
①法令順守:適用法令による届出・許可証・認可書・資格取得証明書等(掲示物も含め)
②人事労務:出退勤記録・届け出・雇用契約書・教育訓練記録
③安全衛生:安全衛生委員会開催記録・労災記録
④安全運転:教育訓練記録・事故違反報告・車両管理記録(車検点検等)
⑤会計管理:小口現金記録・金庫管理記録・稟議申請
⑥資産管理:固定資産管理台帳・施設点検表(日次記録)
⑦供給管理:商品仕入れや供給に関する伝票・現金入金表・レジ記録・販売管理表
⑧動態管理:加入書・脱退書・出資金管理(増資・減資)・利用登録・割引申請書
⑨業務管理:業務日報・週報・月報・お申し出(クレーム)管理表
具体的な帳票類・名称はそれぞれの生協で違うと思いますが、管理プロセスごとにかなり多種、存在することは判ると思います。すべてを点検するなどとても無理ですし、無駄です。
あとのヒアリング工程と関連し、リスクベース視点による重点リスク項目の帳票類は重点的に点検すると効率よい監査になると思います。
発見したミス帳票には、付箋を貼ったり、コピーを取るなどして、ヒアリングの際に提示できるように整理しておきます。
6:実地監査③ヒアリングの要領(20180323) [2-内部監査実施指針]
現場視察と帳票点検で集めた証拠(証憑)はいったん整理して、ヒアリング項目にメモしておきます。
ヒアリングは、私のところでは、概ね、事業所の管理者(センター長・店長・事業所長等)を対象者としていました。しかし、管理者の判断で、副長や副店長、エリアマネジャー等を同席させているところもありました。その傾向は、年々増えたように思います。
一つには、管理者だけでは答えられない、詳細な内容が質問されるためです。
もう一つは、管理者自身が、次期管理者育成のために監査を知ることがマネジメント力向上につながると考えたのが理由だと思います。特に、後者の受け止めが年々増えてきたように思います。
さて、ヒアリングですが、要領は簡単です。
監査項目に沿って、監査対応者へ、質問し回答を得るという事です。
「チェックシート」方式では、網羅的に設定された項目に沿って質問し、回答に基づいて評価(〇[×]や点数化)していくことになります。
「ワークシート」方式では、監査項目について「オープンクエスチョン」(HOW質問)で回答を得て、記録し、その内容を掘り下げていくことに力点を置きます。評価をするのではなく、回答を吟味し、問題がないかを考え、問題があれば真因を追及する「オープンクエスチョン」を繰り返していきます。ヒアリングと呼ぶより、ディスカッションと呼ぶ傾向が強いと考えています。また、現場視察や帳票点検で得られた証憑についても、その中で提示し、確認作業を行います。
少し、言い方を変えてみます。
ヒアリングのポイントは、「問題発見と真因究明」にあると考えます。
そのために、YES/NOの回答を得る質問(クローズドクエスチョン」は避け、できるだけ「どのように?」という質問(オープンクエスチョン)を多用するのです。
実際のヒアリングを少し紹介します。
私は、ヒアリングの順番として、どの事業所でも初めの4つの項目は同じでした。
①方針計画の確認
・ヒアリングの初めは、今年度の事業所方針・計画の概要を説明いただきます。書面調査であらかじめ理解している事ですが、文章では表現されていない思いまでは理解できていません。ですから、管理者自身に語っていただきます。すると、方針・計画に掲げた事と現実の進捗の矛盾点や、方針・計画自体に誤りがあるなど率直な思いが語られるのです。ここにリスクや監査指摘のヒントが隠れている事が多いのです。
②予算進捗確認
・次には、予算進捗確認を行います。方針・計画が予定通り進捗していれば、当然、予算は達成しているはずです。しかし、現実はそれほど甘くありません。直近の決算書を見ながら、達成状況を報告いただくことで、管理者自身が問題点を気付くこともあります。
・予算進捗の確認は2つに分かれます。一つは、供給高や供給剰余等、収入に関する部分。そして、経費執行に関する部分です。
・収入(事業高・事業総剰余)に関わる部分では、実施計画(仲間作りや利用者拡大・商品普及・GP設定など)の取り組み状況を深めていきます。予算未達成であれば、方針計画は正しかったのか、実施計画に問題はなかったかを深めることになります。
・経費執行に関しては、人件費と物件費に分けて深めます。人件費の執行状況で予算との乖離が大きい場合、人事上・労務管理上の問題がないかを考えます。採用が進んでいない、途中離職が多い、残業業時間が長い、等、マネジメント上の課題がそこには隠れているはずです。物件費に関しては、費目細目で見ていく必要があります。著しい予算乖離や前年との差などは、予算設定上の問題が隠れていることがありますし、事業所だけでなく、部門全体の問題という事もあります。
最終的に、事業所損益がどうなっているかを検証します。そして、損益改善のための課題について管理者とディスカッションできればほぼ目的は達していると言えます。
③コンプライアンス点検
コンプライアンス基本規程・順法管理規程に基づき、各事業所で適用される法令は一覧化されていましたので、これを用いました。ここで、帳票点検・現場視察で得た証憑を活用します。概ね、どの管理者も、「法令違反はない」という認識を持っています。しかし、実際には細部で問題は起きています。理由は、業務都合優先の意識から「まあいいか」という認識が生まれ、例えば、消防訓練が未実施(消防法)だったり、作業前の体操(安全衛生法)が行われていなかったり、名簿がカウンターに放置(個人情報保護法)されていたり、ちょっとした意識の低下から違反事象が生まれるわけです。是正要求は単純(禁止や徹底実施)に見えますが、実はかなり厄介です。法令順守の意識向上がカギですが、これは一朝一夕には進みません。じっくり話し合う必要があります。
④リスク認識確認
・組織全体の重点リスク、事業部門リスクは、内部統制委員会で策定されていますので、まずはその項目への対応を確認した後、事業所固有リスクについてヒアリングします。管理者の抱える不安や課題意識が率直に確認できます。そして、それが、「①方針計画の確認」ときちんとリンクできているかを検証します。リスクが高いと認識しながら、何の対策も取られていないとすれば、指摘事項となります。その要因を追及することで、事業所内マネジメントの改善や、内部統制システム改善の手がかりになるわけです。
方針計画の確認、事業進捗点検、コンプライアンス点検・リスク認識確認の4点は、監査の入り口として考えます。
実はここまでで、ヒアリングの半分の時間を要するケースもありました。
このあとは、各事業の特性とリスク評価を踏まえた「重点的なヒアリング」に入ります。
各事業のポイントは別の項目で述べたいと思います。
6:実地監査④監査クロージング(20180326) [2-内部監査実施指針]
クロージングの目的は、現場点検・帳票点検・ヒアリングを通じて得られた証拠をもとに、指摘事項のとりまとめと合意作りを行う事です。
複数人の監査員で監査する際は、現場視察・帳票点検・ヒアリングの内容を振り返り、指摘事項や所見に関する協議を行います。同じ事業所を監査していても、監査員によって、指摘の軽重は生まれます。しっかり時間を取って調整することが必要です。
したがって、まず、証拠の検証を行います。
証拠は、事実に基づき客観性が確認できることが重要です。現場や帳票については、写真や実物等が明確であるため、証拠としては有効です。一方、ヒアリングの中で、監査対象の回答・発言は、受け取り方によって変わってきます。ですから、回答・発言についてはしっかり吟味することが求められます。曖昧なものは極力排除する事です。
そうして整理した証拠から、指摘事項を絞り込んでいきます。
指摘事項の評価は、法令や内部規程等の基準に照らして行うことが基本です。監査員が感覚的におかしいと感じるものは主観的な判断に過ぎず、合意に至ることができません。あくまで、法令や内部規程等の基準が重要な物差しになるのです。
評価の基準は、それぞれの生協で設定されるべきだと思います。私のところでは、5段階(推奨事項・改善提案・観察事項・軽微な不適合・重大な不適合)の評価を行っていました。
推奨事項は、他の模範となる様な好事例・素晴らしい取り組みとしました。
改善提案は、現状で問題はないが、改善を通じて更に素晴らしい取り組みになるものとしました。
観察事項は、過去に発生した問題事象(現在は発生していない)で現状のコントロール(対策)が有効かどうか判断が難しく、経過を観察する必要のある事項です。
不適合は、基準に照らして明らかな誤り・ミスが確認される事象であり、その中で、プロセス不全により重大な損失につながるリスクが大きいと判断されるものが「重大な不適合」として区分指定ました。
実際の監査では、改善提案や観察事項、軽微な不適合が中心になっていました。
推奨事項は、意識的にみておかないと生まれにくく、監査員にとって苦労するところでした。
こうして、監査を通じて得られた証拠から指摘事項を整理した段階で、監査対応者を呼び、クロージングに入ります。
クロージングでは、まず、監査協力への謝意を述べた後、全体の講評(所見)を述べ、指摘事項の確認を行います。
以前は、クロージング前に所見所と指摘事項を書面にして、クロージングに入っていましたが、しっかりとした書面を作るには時間が不足しがちであり、合意を得る時間が不十分になる傾向にあったため、クロージングでは「監査メモ」を作成することにしました。
「監査メモ」は、要点を列記したもので、クロージングの際に口頭で補強することになります。
クロージングでは、指摘事項の合意が重要です。指摘事項の説明と是正改善要請の内容を説明します。それについて、監査対象管理者からの意見を聞き、合意できたものを監査指摘とします。
客観的事実として有効な証拠があり、監査員による吟味がしっかりされたものであれば、合意は容易いはずです。監査後の是正・改善もしっかり進むと言えます。
指摘事項は、事実に基づき、監査対象との合意を得ること。合意がない事項は指摘できないことに注意し、丁寧に説明し合意を得る努力が必要となります。
指摘事項に関しては、別の項目でより詳細・具体的に解説いたします。
これで、現場監査は完了となります。次は、監査のまとめ(結果の作成)に入ります。
7:監査結果の作成(20180327) [2-内部監査実施指針]
手順は2段階。
①監査調書
監査では、ワークシートのほかにも、予備調査のデータ、現場での写真記録等、様々な情報が入手できます。これを、取り纏めたものが、「監査調書」です。
したがって、監査計画で整理した監査項目に沿って、細目まで記録化しておくことが重要であり、すべてが監査証拠となります。
1つの監査で、調書となるものは、予備調査から含めると膨大な量になることがあります。以前は、全て書面で残していましたが、ファイリング量もかなりになり、遡って取り出そうとすると労力がかかります。帳票点検の項目でも述べたように、記録類は、「正確性・網羅性・保全性・有効性」が重要なポイントです。監査記録も同様の視点で整理しなければなりません。そこで、私は、全ての帳票をPDF化して保存しました。年度別フォルダーの中に、業務監査や経営監査など監査区分のフォルダーを作成し、個別監査単位のフォルダーを置いていました。それと同時に、エクセルを使って帳票類のチェックシートを作り、セルリンクすることで必要な書類をすぐに取り出せるようにしましたし、点検も容易になりました。なにしろ、監査対象が100カ所近くに上り、時には同時並行で監査が進むこともあるため、こうした事務管理業務はパソコンを活用して合理化することは当然の事でした。
②所見書作成
調書の整理が終われば、所見書の作成に入ります。
監査における、第1 の成果物であり、監査の有効性を表現するものであり、吟味して完成させることに注力します。
「所見書」には、「監査目的・監査日時・監査対象と対応者・監査項目」を標準とし、「所見」と「指摘事項」を加えてまとめます。
◇所見
・「所見」とは、監査全体を通じた評価意見であり、監査を概括する内容になります。監査対象部署も、まず、この所見を読み、監査全体がどうだったのかを知る手掛かりになる所です。
・私は、「所見」については、1)優れている点(推奨事項)、2)問題点や課題、3)今後に期待する事の3点の順で整理していました。この書き方にしてからは、監査対象部署からの反応も良くなりました。
・そして、結語として「消極的アシュアランス」の文言を付けました。「消極的アシュアランス」とは、監査をした範囲(対象領域)において保証するということであり、対象部署全体でまったく問題がないというものではないという事を表明する事です。文例としては「監査した範囲においては、重大な不正や事業損失に直結するミスや誤謬は発見されませんでした。」という短文になります。言い訳ではなく、事実です。見ていないところまでは保証できないという事は当たり前です。・・これは、代表理事への報告の際に、「〇〇部署は問題なかったかね?」などと質問を受けることがあり、「問題ありませんでした。」と報告すると、代表理事はオールOKと誤解されかねないからです。
◇指摘事項
監査の成果物として最も重要なのが、「指摘事項」です。
監査対象部署にとっては、業務改善やシステム改善につながり、順法管理やマネジメントレベルが向上するような、是正措置や改善策を得る事が、最大の成果なのです。
ですから、監査で発見した事実と問題を基礎にして、その原因(真因)、改善への提案を判り易く表現することが必要です。可能な限り、発見した事実・問題から想定されるリスクを明記する事でより重要性が明確にできます。
この点に関しては、藤井範明先生の著書「監査報告書の指摘事項と改善提案(同文館出版)」を読まれる事をお勧めします。
かなり詳細に、有効な指摘とは何か、その考え方や視点、具体的な書式まで細かく解説されていてとても有効でした。これについては、また、別のところで詳しく解説させていただきたいと思います。
ここでは、3点だけポイントを挙げておきます。
①指摘事項は、発見した事実・想定されるリスク・是正改善提案の3点に分けて、表でまとめると理解されやすい。
②指摘事項の軽重については評価区分を用いると良い。(私は5段階区分:先に述べています)
③可能であれば、内部統制のカテゴリー区分(コントロールマトリクスの項目で述べた事)を用いて分類しておくと、部門単位や組織全体をまとめ、統制評価を行う際に有効。
ただ、最も重要なのは、改善提案や観察事項・不適合事項で評価した指摘事項が、監査対象部署に受け入れられ、具体的な是正・改善の取り組みにつながる事です。
8:監査結果通知と是正・改善要求書の発行(20180328) [2-内部監査実施指針]
① 監査対象へ、「所見書」と「監査調書(ヒアリング記録主体)」を送付し、結果通知とします。記載内容に関して、確認をいただくことを求めます。
② 所見書で明記した「指摘事項(発見した問題と原因・改善提案)」については、「是正・改善報告要求書」として、回答を要請します。
③指摘事項の軽重区分を行った場合、不適合とした事項は、速やかな是正と再発防止策が必要となります。観察事項や改善提案では、改善計画を求める事になります。
注意したいのは、監査はあくまで問題点を指摘し改善を提案する立場であるという事です。
それを実施するかどうかは監査対象の判断に任せる事です。無理に是正・改善をさせる事(指示する事)は越権行為になりますし、結果に責任を負うものではないはずです。
ISO監査では、この点が、内部監査基準とは異なる部分です。ISO19011では、是正改善要求の実施確認(フォロー)を強く求めていますし、記録確認も求めています。実際、外部審査の際、この点に力点を置いた内部監査部門審査を受けたことがあります。この認識の違いは、私も悩んだ時期がありました。
ただ、実地監査のプロセスの中で、ヒアリングとクロージングで、指摘事項の正当性が明確で、監査対象との合意ができたものは問題なく回答いただけるはずです。
ワンポイントアドバイス
当初は、監査結果のうち、「所見書」と「是正改善要求書」を文書で作成し、送付し返答をいただく手順でしたが、書類の未到達や紛失、回答書式の記入欄の設定課題(字数制限など)で、回答が戻るまでにかなり手間と時間が掛かりました。
そこで、監査記録類をエクセルファイル一つにまとめ、それを内部メール添付していく方法に切り替えました。送信(到達)の時間がほぼゼロとなり、受信確認も記録化できるため、確実性が向上します。エクセルですので、回答の字数制限はなく、かなり長文の回答や具体的な是正結果の写真記録等も添付されるようになりました。また、監査対象部署でも、パソコン作業でほぼ完了できることから回答時間も早くなりました。なにより、帳票管理・作業工程管理上でもミス防止に有効でした。
9:是正改善報告の確認(20180329) [2-内部監査実施指針]
監査指摘に関して、監査対象からの是正・改善の報告を受け、内容を確認することになります。
報告内容に関して、是正措置の実施が確認できるか、再発防止策が有効かの視点で吟味します。その際、監査対象が、指摘事項を真摯に受け止めているかがカギになります。回答があまりにも不充分であれば再度要請する事はあるでしょうが、完了への責任は持たない事が肝要です。これは、前の項目世哲明した通りです。
〇回答内容の吟味に関して
・指摘事項の評価区分のうち、不適合(軽微・重大)については、じっくり検証します。不適合事項は、すでにリスクが顕在化した状態ですから放置すれば、深刻な事態を招くことになります。まずは、是正(正しい状態に戻す事)が確実に行われたか。そして、再発防止策として有効となっているかを検討します。特に、法令違反に関する指摘事項は、速やかな是正が必要ですし、法令基準に沿っているかを検証することになります。
・観察事項(過去の事故やミス・経過観察が必要な事項)については、再発防止策の強化が有効かを検証します。また、同事象に関する監視(モニタリング)体制が強化できているかも重要なポイントになります。
・改善提案は、次年度の課題となるケースが多く、是正改善報告では確認しきれないのが実態と考えています。
ワンポイントアドバイス
是正改善報告書には、「監査対象部署からの監査評価(自由記入欄)」を設けました。いわゆる内部監査の査定です。はじめは、いくつかの評価ポイントへアンケートのような表でしたが、味気ない評価でしたので、敢えて自由記入欄にしました。
最初は、不平・不満・クレームが大量に記入されてくるのではないかと不安でしたが、概ね高評価でした。特に、新任管理者からは「自らのマネジメント力量の不足を確認でき、課題も整理でき良かった」とか「問題点に対して判り易い改善策・再発防止策を提案いただき、具体的な改善につなげることができた」などと喜びの声も出されていました。最も特徴的だったのは、福祉事業部門の監査後の評価でした。福祉事業所の管理者は、マネジメント教育が不十分な傾向にあり、監査で初めて内部規程やルールを知ったという人も多く、監査評価のほとんどが「勉強になった」との回答でした。
この「監査対象からの監査評価」は、監査品質プログラムにおける品質評価の客観的評価情報として活用できます。
10:監査結果報告書の作成・監査完了(20180330) [2-内部監査実施指針]
監査計画書・調書・所見書・是正改善報告書を監査資料とし、個別監査全体を取りまとめます。
監査目的や重点監査項目に照らして、適切に監査が実施され、有効な指摘と改善提案ができたか、監査対象が監査結果を真摯に受け止め、是正改善が進んだかをまとめる事です。
私は、一連の監査資料をエクセルファイルにしており、監査計画・通知書・ワークシート・調書・所見書・是正改善報告書・監査結果報告書まで、同じ項目はセルリンクした書式を使っていましたので、最終の「監査結果報告書」には、必要な項目は全てそれまでの工程で記入済みですから、「監査意見」を記入する欄が新たに設定されているだけでした。
「監査意見」には、個別監査全体を振り返り、監査対象の「次年度の課題と期待」を記入することにしました。また、時には、監査結果についてフォロー監査が必要かという点も記載しておきました。
そして、この監査結果報告書は、代表理事への報告(エグゼクティブサマリー)の資料となりますので、PDFにして整理しておきます。
◇フォロー監査に関して
監査の結果、不適合事項が指摘としてあがった場合、確実に是正・改善されているかをフォロー監査という形で実施する事が望ましいとされています。
年間計画の中で、期間を設定し、年内の個別監査を総括し、必要と判断されるところにはフォロー監査も行います。ただし、これはワンポイント監査の範囲ですので、手順としては、全ての指摘事項の是正・改善確認ではなく、不適合だけに絞って行う範囲です。
私の場合は、次年度監査計画の策定において、フォロー監査を組み込んでいくことにし、実施したのは一部(年度内で確実に是正すべき事項のみ)としていました。
一通り、個別監査の標準工程に沿って解説してきましたので、まとめの意味を込めて、標準工程表の図式を添付しておきます。
「システム監査」のポイント(20180419) [2-内部監査実施指針]
ここでいう「システム監査」は、内部統制の各システムの有効性を検証する事を主な目的としており、監査結果は、統制上の不備事項として、経営者(代表理事)への提言となるものです。
監査に当たっては、内部統制における「6 つの要素」(統制環境・リスク認識・統制活動・コミュニケーション・モニタリング・IT 活用)を軸に、PDCA サイクルが有効に機能し、是正・改善が進む仕組み(システム)となっているかという視点で検証します。
業務監査を行う中で発見された不具合の真因を探っていくと、規程や基準の問題や、管理の仕組みや体制の問題等、監査対象部署だけでは是正・改善できない問題と認識する場合があります。また、テーマ監査から、いくつかの管理システム同士で齟齬があり、管理システム全体として不具合を生じている事を発見する場合があります。
こうした事象を基に、個々のシステムの評価と、内部統制システムの有効性について評価することになります。いわゆる「全体最適」を重要な視点に置いておくことで進めていきます。
〇監査事例
*目的
・内部統制システムの整備と運用を検証し、システムの改善提案を行う。
*監査要領
・対象は、内部統制管理部署(管理部・内部統制事務局)
・業務監査やテーマ監査の結果を監査証拠として、各システムの不備(内部統制上の不備事項)に対して、該当するシステムの改善課題を確認する。
〇留意すべき事項
l 業務監査の中で、例えば、予算進捗点検を通じて、年次予算自体の目標値が著しく高い設定され、明らかな乖離が見つかる事があります。いわゆる「無理な経営目標の設定」が根本原因と判断される場合では、内部監査としては、問題化する事は慎重にならざるを得ないと思います。
l 事業予算は、理事会(常任理事会)決定・総代会承認を経ており、ガバナンス領域・経営領域に踏み込む事になるからです。
l しかし、「予算管理システム」の視点で監査する事は可能です。予算策定には、予算管理規程や予算作成手順等に基づき運用されているはずで、この「業務プロセス」に問題はなかったかという視点で、検証する事は、内部監査の対象範囲と言えます。
l 例えば、各部署から次年度予算案が集約され、事業部門単位で精査・合算されるような手順であれば、大きなかい離は抑制されます。しかし、「上位下達」(あるいは専門部署の作成)で、部署管理者のあずかり知らぬところで決定されていれば、大きなかい離は免れません。計上ミスすら発見されない危険性があります。このように、プロセス上の問題と捉えれば、内部監査からの問題点を指摘し、改善提案も実行性が高まると考えられます。
l ちょっと回りくどい言い方になりましたが、理事会や常務理事会の専決事項であっても、業務ラインが関与するプロセスがあれば、内部監査の対象領域としてしっかり監査し、システム上の問題として取り上げ、改善提案できると考えても良いのではないかという事です。
l もう一つ付け加えると、この「システム監査」の結果について最も関心が高いのは、監事(会)だという事です。監事監査では、内部統制の評価(決算の適正性・理事職員の業務の有効性など)が最重要課題です。内部監査の行う「内部統制システム監査」の結果は、監事監査の基礎資料として重視されます。その点も踏まえ、正確かつ具体的な事象をもって問題点を報告する必要があると思います。
11:経営者への報告(20180420) [2-内部監査実施指針]
◆ 経営者(代表理事)への報告(エグゼクティブサマリー)は、「監査報告書」として、いくつかの「個別監査結果報告書」をまとめた形で行います。同時に、監事(会)へも報告を行うことも望ましいと考えます。
◆ また、監査対象によっては、是正・改善が必要な場合、適切な措置を講じる事ができる部門責任者(常勤理事・執行役員・統括部長等)へも報告します。
◆ 監査報告は、個別監査毎、月次・半期・年次等の定期報告、部門毎などに分けて報告する事が望ましいでしょう。
◆ 監査報告は、内部監査の最も重要な成果物であり、その内容は、経営に資するものであることが求められます。
内部監査基準では、「第8章 内部監査の報告とフォローアップ」で以下のように定められています。
第1節 内部監査結果の報告
8.1.1 内部監査部門長は、内部監査の結果を、最高経営者、取締役会、監査役(会)または監査委員会、および指摘事項等に関し適切な措置を講じ得るその他の者に報告しなければならない。
8.1.2 内部監査の結果には、十分かつ適切な監査証拠に基づいた内部監査人の意見を含めなければならない。
8.1.3 内部監査人は、意見の表明にあたって、最高経営者、取締役会およびその他の利害関係者のニーズを考慮しなければならない。
8.1.4 報告は、正確、客観的、明瞭、簡潔、建設的、完全かつ適時なものでなければならない。
8.1.5 報告は、原則として文書によらなければならない。ただし、緊急性および重要性の高い場合には、口頭による報告を優先することができる。
第2節 内部監査報告書
8.2.1 内部監査部門長は、最終報告として、内部監査報告書を作成しなければならない。
8.2.2 内部監査人は、実効性の高い内部監査報告書の作成と、迅速な是正措置の実現を促し、内部監査の実施効果と信頼性をより一層高めるため、内部監査報告書の作成に先立って、対象部門や関連部門への結果の説明、問題点の相互確認を行うなど、意思の
疎通を十分に図らなければならない。
8.2.3 内部監査人は、内部監査報告書に内部監査の目標と範囲、内部監査人の意見、勧告および是正措置の計画を含めなければならない。
8.2.4 内部監査部門長は、必要に応じて、内部監査報告書に総合意見を記載しなければならない。
8.2.5 内部監査部門長は、内部監査報告書に重大な誤謬または脱漏があった場合には、訂正した情報を、当該内部監査報告書を配付したすべての関係者に伝達しなければなら
ない。
〇代表理事への報告は、経営改善・内部統制強化の助言となるものにしなければならないと考えます。監査を通じて発見した指摘事項の原因を深堀し、統制強化のポイントを明確にした低減となっているかを慎重に吟味する必要があります。現場で是正・完了する些末な事象まで報告する必要はありません。
〇監事(会)への報告は、代表理事や部門責任者の対応・意思を含めて報告する事が望ましいと考えます。
《監査報告書の項目例》
(1)監査概要
*報告書対象期間内の個別監査の概要(種別・対象・実施日・監査目的等)
(2)総合所見
* 対象期間内の個別監査全体を概括する監査所見
(3)個別所見
* 個別監査ごとの所見(個別監査報告書の所見の引用)
(4)内部統制上の不備事項
1 内部統制(システム)に関する重要な不備事項
2 統制が未整備でリスクが高い状態にある事項
3 統制に不具合があり、改善が必要な事項
4 組織共通にシステム運用が不完全な状態にある事項
(5)補足情報
* 不備事項とはならないが、懸念される事項があれば補足情報として記載。
(6)個別監査報告書(添付資料)
あとのところで、より価値のある監査報告を作成するためのポイントを解説します。
代表理事だけでなく組織全体に意味のある監査報告をどう作るか、内部監査人の最大の腕の見せ所です。
12 法定監査との連携(20180427) [2-内部監査実施指針]
日本内部監査協会:内部監査基準9.0.1
わが国の法律に基づく監査制度としては、金融商品取引法による公認会計士または監査法人の監査、会社法等による監査役または監査委員会の監査、会計監査人の監査、民法による監事監査、地方自治法による監査委員および包括外部監査人の監査、会計検査院の検査等々がある。これらの監査は、内部統制の適切な整備・運用を前提としている。
内部監査は、法定監査の基礎的前提としてのガバナンス・プロセス、リスク・マネジメントおよびコントロールを独立的に検討および評価することにより、法定監査の実効性を高める一方で、必要に応じて、法定監査の結果を内部監査に活用しなければならない。これによって、内部監査と法定監査は相互補完的な関係を維持することができる。
l 監事監査と会計監査、内部監査を三様監査と呼びます。法令根拠を持つ監査(法定監査)は、監事監査と会計監査であり、健全な経営・運営を保証するものです。
l 監事監査の対象は、代表理事・理事会であり、経営全般を領域としています。
l 会計監査は、決算の適正性を保証するものですが、近年、監査法人による監査の中で、「内部統制システムのプロセス評価」も含まれるようになっています。
l 内部監査は、法定監査の実効性を高める役割を持ち、監事(会)・監査法人(会計監査)との連携を進める事は、内部監査の成果をさらに高める事に繋がります。
l 具体的な実施例
① 定期報告会
・ 監事監査として、「内部統制の整備状況の評価」を行うに当たり、内部監査の報告を求められる。定期報告会として、内部監査の年次計画の確認と結果の確認などで、年間1回・2回等の開催で実施される。
② 三様監査会議
・ 監事会が主催し、会計監査(監査法人等)と内部監査を招請し、監査情報の共有を図る機会として実施。
③ 常勤監事懇談会
・ 日常的な連携として、内部監査と常勤監事の懇談会の実施。月次定例や不定期開催で、情報交換。
三様監査の連携には、監事(会)が主導的な役割を発揮します。
内部監査としては、代表理事への報告と同時に監事(会)への報告の場を確保することで、仮に、代表理事に関わる重大な事案を発見した場合にも適正な対処が可能になります。また、内部監査を通じ、経営上の課題や問題を発見し、代表理事の対応が不適切と思われる場合、監事(会)への報告ラインを保持しておくことで、監査結果の有効性を高める事ができます。
■私の経験から
内部監査着任当初は、監査室長が常勤監事と面談していたようですが、2年目に入り、一人体制となった時、常勤監事との関係についてなかなかイメージできませんでした。
そんな時に、常勤監事から定期報告の要請がありました。前任の内部監査室長も、内部監査計画と内部監査結果の報告を行うようになっていたようで、とりあえず踏襲することにしました。
その時、常勤監事から要請されたのは、年次内部監査計画の提出・半期の報告・年間の報告でした。監事会のスケジュールに沿って、6月(総代会後)に年度内部監査計画の確認、11月に半期報告、翌年5月に年間報告という形でした。内部監査のスケジュールとは3ヶ月ほどのずれが生じていました。
初めての報告では、何処まで報告すべきか判らず、代表理事(専務理事)へ報告したものをそのまま報告しました。監事会としては、前年度(前任者)報告と比べ、膨大な量の報告となっていたことに驚かれたようで、常勤監事も少し困惑されていました。
その後、幾度か、常勤監事と話し合いを持ち、内部監査報告を定期化する事とし、月次報告を代表理事と常勤監事へ同時期に行う事、年間では、監事会との3回の定期協議会の開催を行う事にしました。こうしたことで、内部監査の業務は代表理事と常勤監事の両方にしっかり報告できるようになりました。(ダブルレーポーティングラインの確保)また、内部監査の結果に関して、常勤監事から大変有効な示唆をいただく機会にもなり、監査に当たってのものの見方や指摘の在り方、あるいは経営層の認識や問題などもご教示いただき、さらに深い監査へのエネルギーになりました。
常勤監事(監事会)としても、内部監査の報告をもとに、監事監査の対象や重点などに活用されていましたし、内部監査の指摘事項に対する経営層の対応・対策の実施について、より現実的な監査に進むことができているとの意見もいただきました。
4年目には、監事会と監査法人(会計監査)と内部監査の三様監査ミーティングを年3回開催することになりました。それまでも、監査法人からは、会計監査で発見した誤謬や不備に関して、個別問い合わせはありましたが、公式の情報交換の場はありませんでした。定期ミーティングを持つようになり、さらに情報交換の機会が増え、情報の共有や問題事象へのアプローチについて調整を行うなど、有効性は高まったと思います。
もっとも助かったのは、経営管理部や経理部を対象とした業務監査に際して、監査法人監査で発見された誤謬や不備を予備情報として活用できたことです。私にとっては、経理や経営領域は、専門性が高くシステム化されているため、なかなか取り組みにくい領域でしたが、監査法人の結果を活用する事で、業務プロセスに力点を置いた内部監査ができることは有効でした。ある意味、監査法人を「ピアオーディット」として活用した事にもなると思います。
内部監査の品質管理プログラム(20180507) [2-内部監査実施指針]
皆さんが実施されている内部監査は、組織や経営者にとって、充分な結果を提供できる、監査品質を保持できているでしょうか?また、年々、改善向上する仕組みを持っているでしょうか?
内部監査も一つに業務プロセス・システムです。
システムである以上、PDCAサイクルをもって、絶えず品質向上に取り組むことが肝要です。
この点について、日本内部監査協会の「内部監査基準」では、第4章「内部監査の品質管理」で以下の様に示されています。
第4章 内部監査の品質管理
第1節 品質管理プログラムの作成と保持
4.1.1 内部監査部門長は、内部監査の品質を合理的に保証し、その品質を継続的に改善していくために、品質管理プログラムを作成、保持し、適時に見直さなければならない。
4.1.2 品質管理プログラムは、内部監査部門および内部監査人が当協会の定める「倫理綱要」および「内部監査基準」を遵守していることを評価できるものでなければならない。
第2節 品質管理プログラムによる評価の実施
4.2.1 内部監査部門長は、品質管理プログラムに内部監査活動の有効性および効率性を持続的に監視する品質評価を含めなければならない。品質評価は内部評価および外部評価から成る。
4.2.2 内部評価は、以下の事項から構成されなければならない。なお、②に掲げる評価は、少なくとも年に1回、実施されなければならない。
① 内部監査部門の日常的業務に組み込まれた継続的モニタリング
② 定期的自己評価、または組織体内の内部監査の実施について十分な知識を有する内部監査部門以外の者によって実施される定期的評価
4.2.3 外部評価は、内部評価と比較して内部監査の品質をより客観的に評価する手段として有効であるため、組織体外部の適格かつ独立の者によって、少なくとも5年ごとに実施されなければならない。
第3節 品質管理プログラムによる評価結果の報告
4.3.1 内部監査部門長は、少なくとも年に1回、品質管理プログラムによる評価結果を最高経営者、取締役会および監査役(会)または監査委員会に報告しなければならない。
第4節 「基準に従って実施された」旨の記載
4.4.1 内部監査が、品質管理プログラムによる評価によって、「倫理綱要」および「内部監査基準」を遵守していると認められた場合には、内部監査に係る報告書において、「一般社団法人日本内部監査協会の定める『倫理綱要』および『内部監査基準』に従って内部監査が実施されている」旨を記載することができる。
第5節 基準から逸脱した場合の報告
4.5.1 内部監査部門長は、「倫理綱要」および「内部監査基準」から逸脱していると認められた事実が内部監査の監査範囲または監査結果に重要な影響を与える場合には、その逸脱事項とその影響および是正措置を最高経営者、取締役会および監査役(会)または監査委員会にすみやかに報告しなければならない。
かなり、高度な事が要求されていますが、簡単に捉えれば、内部監査においても「PDCAサイクルを持った品質管理マネジメントを行う必要がある」という事です。
内部監査室として、複数人以上の内部監査員を配置し、組織的な監査が実施されているところでは、内部監査室長(部門長)の主要な業務として成立できると思いますが、私の様に「一人体制」や「兼務体制」では、なかなか難しいものです。
この点に関しては、内部監査協会の「品質評価ガイド」で以下の様な補足文章があります。
「品質評価ガイドP92-93抜粋」
第4章 小規模な内部監査部門の品質評価の推進
2008年のIIAの品質評価の進捗に関するグローバル調査に参加した内部監査部門のうち、日本では67%、その他の国でも53%が、内部監査要員5人以下の小規模な部門であった。小規模な内部監査部門にとっても、品質の維持・向上の推進は重要な課題であるが、内部監査要員1~2名の内部監査部門の品質は、内部監査人個人の専門性に依存するところが大きく、規模が多少大きくなり3~5人になっても、内部監査部門長や核になる内部監査人が異動・退職すれば、その内部監査部門の品質に重大な影響をもたらす場合が少なくない。
したがって小規模な内部監査部門の品質の維持・向上を推進するためには、まずは内部監査人の専門性をいかに向上させるかが鍵であることが多い。
(1)内部監査人の専門性
小規模な内部監査部門に限ったことではないが、内部監査人の専門性を向上させるには、まず、自己研鑽から始めることが肝要であり、日本内部監査協会ほかから多数発行されている書籍をその参考文献として使用することが推奨される。
また、OJT(On the Job Training)により、上司、先輩、同僚から訓練を受けることも、他の業務と同様に役立つ。更に内部監査部門の管理業務に、内部評価・継続的モニタリングを組み込むことにより、内部監査人の専門性を高める体系的な指導が可能になる。
しかし、小規模内部監査部門では、部内で内部監査に関する専門教育を行うことは、人材やノウハウが限定されるなどの理由から容易ではないと推測される。その対案として、日本内部監査協会の主催する内部監査の講習会・実務演習を活用することや、内部監査の専門資格取得にチャレンジすることが有効である。
また、協会の定例的な研究会に参加し、自ら積極的に内部監査人の友人・知人を作ることを推奨したい。同じ業種や規模の内部監査部門とネットワークを持っていればなお効果的である。もちろん内部監査人として秘密の保持に差し支えない範囲ではあるが、内部監査の進め方、テーマの選定方法、報告書のまとめ方、社長への説明方法などを相談できる相手ができれば、専門性を高めることにつながる。
こうした機会を活用しながら部門全体の内部監査人の専門性を維持・向上させることが大切である。
(2)品質評価の推進
専門性を備えた小規模な内部監査部門にとって品質評価への期待は大きい。
そこでまず、内部評価・定期的レビューに取り組むことが推奨される。内部評価・定期的レビューの評価者に選任された者は、評価の過程を通じて基準や実践要綱の理解が深まり、後に外部評価を受ける準備にもなる。
外部評価の費用については内部監査部門の規模にかかわらず関心があると思われるが、一般的に、規模が小さい内部監査部門ほど外部評価の費用の負担感は大きいと考える。
そこで品質評価で先行する北米でも外部評価の費用負担を勘案し、外部評価の簡易版である「自己評価と独立した検証」を選ぶ内部監査部門がある。2007年にIIA国際本部が実施した100件の外部評価のうち、約3分の1は、自己評価と独立した検証であった。
また、日本以外のその他の国では、外部評価を公認会計士事務所や内部監査のプロバイダーに依頼せずに、3つの独立した組織間でお互いに評価者を提供しピア・レビューを実施している例が約1割見られた。これは外部への支払費用を軽減するという意味で注目に値する。
日本ではフル外部評価の実施例は少なく、かつ自己評価と独立した検証の実施例も寡聞にして知らない。今後、小規模な内部監査部門の外部評価の推進には、自己評価と独立した検証やピア・レビューの取り組みを推進することが肝要である。
これらの様々な工夫により、コストを抑えた品質評価の選択肢が増えれば、小規模な内部監査部門での品質評価への取り組みが進むと考えられる。
少し長い文章ではありますが、要約すると、少人数監査部門では、内部評価と定期レビューに取り組むこと、そして、ピアレビュー(同業他社3社以上)の仕組みを導入し、監査品質の評価を受けることが有効だという事です。
私も、一人監査体制だったため、自分の実施している監査を評価し、問題点を発見し改善することはなかなか難しく、どうしても独りよがりになっているのではないかと考えがちでした。
克服のために、近隣生協との交流を通じ、監査結果の相互報告を通じ、所見や指摘事項・改善提案の内容に関して、意見を聞く機会を大事にしていました。そして、これをさらに発展させて、独自の品質評価プログラムを作成するところまで到達できましたので、次のところで具体的な内容をご紹介したいと思います。
補足になりますが、
ISO規格(品質・環境)認証では、外部審査機関によって、ISO内部監査については、ISO19011規格に基づき、監査プログラムの策定や実施管理、プログラム改善の取り組みについて評価を受けることになりますが、それも、ISO規格(品質と環境)の領域内に限定されるものです。
私も、都合5回、外部審査を受けましたが、あくまで、ISO/マネジメントシステムの有効性と適合性を確認するために、マネジメントシステムに組み込まれた「モニタリング機能」の一つとして、内部監査が機能しているかの判断のための審査であり、内部監査の内容評価ではなく、プロセス評価に留まっているため、品質向上につながる内容としては、充分とは思えませんでした。(外部審査機関の力量の問題も大きいと思いますので、他の生協では有効なところもあるでしょうから、私見の範囲としてください。誤解のないよう、お願いします。)
小規模監査部門の品質評価(20180508) [2-内部監査実施指針]
小規模監査部門(1人体制や兼務体制等)を前提にした、監査品質プログラムについて、近隣生協との交流会で提案した内容をそのまま掲載します。
実行に移すことはできませんでしたが、交流会の中で議論し、部分的に実施する中で、ある程度、有効だと確認できましたので、今後の参考にしていただければと思います。
(少し量が多いので2回に分けて掲載します。)
(1)考え方
l 内部監査の品質向上のために、品質管理プログラムを策定し、実施する。その評価結果は、直属する代表理事へ報告する。
l 品質管理プログラムは、品質評価を基礎に、評価結果に基づき継続的改善ができるものにする。品質評価にあたっては、内部評価と外部評価を活用する。
l 内部評価は、自己評価となり、客観性が保証できないため、監査対象部署からの評価(個別監査評価)を基礎資料に加えることが必要である。
l 外部評価は、自組織が委託する「監査法人」や近隣生協の内部監査(ピアレビュー)を評価者とすることが妥当である。
品質管理プログラムとして、日本内部監査協会から「ガイドライン」が提示されている。これを参考として実施する事が望ましいが、かなり高度な内容であり、組織的監査(複数人以上の監査員配置)を前提としており、少人数あるいは一人体制での適用は難しい。内部監査基準をベースにした、品質評価シートを提供しており、これをベースに内部評価・外部評価を実施する事を推奨する。
|
品質管理プログラムの概念 |
|
(1)品質評価の必要性 |
|
内部監査は、独立性と客観性を持ち、リスク・マネジメント、コントロール(内部統制)、ガバナンスの各プロセスの有効性を評価し、組織体の目標達成に貢献することを目指しており、組織体の任意の活動ではあるが、自律的な行動を求められる。そのために、品質評価が内部監査部門の品質を高める動機付けとなり、結果として、組織体の目標達成への更なる貢献が可能になる。 |
|
(2)品質評価のフレームワーク |
|
このプログラムは、内部監査部門の基準等への適合性の評価、内部監査部門の効率性と有効性の評価、そして改善の機会を明らかにすることが可能なように設計される。体系的には、内部評価・継続的モニタリング、内部評価・定期的レビュー、外部評価から構成されている。 |
|
(3)内部評価・継続的モニタリング |
|
内部評価・継続的モニタリングとは、内部監査部門の管理業務にモニタリング機能を体系的に組み込み、継続的に品質評価を行い、改善活動を行うことである。 |
|
(4)内部評価・定期的レビュー |
|
内部評価・定期的レビューとは、組織体内の評価者が、IIAの品質評価マニュアル(以下、品質評価マニュアル)と本ガイドに沿って、内部監査部門の基準等への適合状況を定期的に判定することである。 |
|
(5)外部評価 |
|
外部評価とは、組織体外の適格にしてかつ独立した評価者により行われる評価であり、最低でも5年に一度実施することが求められている。外部評価には、フル外部評価と、自己評価と独立した検証の2つの方法がある。 |
|
(6)品質評価基準 |
|
品質評価の基準は、構成要素の一部として基準に含まれ、内部監査部門が遵守すべき項目として定められており、①品質のアシュアランスと改善のプログラム、②評価の実施要件、③内部評価、④外部評価、⑤報告、⑥基準への適合の表現の使用、⑦不適合の開示、の7つの要素から構成されている。 |
|
■補足事項―少人数監査部門における外部評価方法-ピアレビュー |
|
ピア・レビューは外部評価を受けようとする3つ以上の独立した組織が、お互いに評価者を提供するものである。ピア・レビューは外部評価の費用を低減する。 |
|
1.内部監査の品質管理プログラム(例) |
|
(1)目的 |
|
内部監査の品質評価は、品質評価を行うこと自体が目的ではなく、内部監査の品質評価を通じて、内部監査部門の品質を維持・向上させることを目的としている。 |
|
(2)品質評価の体系 |
|
品質のアシュアランスと改善のプログラムは、次の3種類の品質評価から構成されており、すべてを実施する必要がある。 |
|
①内部評価・継続的モニタリング |
|
内部監査部門の日常の管理業務に組み込み、内部監査部門の管理者が継続的に品質評価を実施する。 具体的には、個別監査実施後、監査計画・実施状況・監査報告のレビューと、監査対象部署からの監査に関するフィードバックの受領と分析、規程や手続きの遵守状況などを検証し、発見事項をまとめ、改善を行うこととする。 |
|
②内部評価・定期レビュー |
|
内部監査部門長に任命された部門内の評価者が実施するか、または内部監査部門以外に内部監査の実務の十分な知識を持つ者が組織体内にいれば、その者に実施させてもよい。年一度の頻度で実施する。 具体的には、内部監査基準・倫理要綱(IIA基準)や内部監査規程への適合性水準を評価するものであり、年に一度、内部監査のあらゆる側面を対象に評価し、まとめる事とする。(年度レビュー報告) |
|
③外部評価 |
|
外部の適格にしてかつ独立した評価者を選任し、最低でも5年に一度、定期的に実施する。 具体的には、「自己評価と独立した検証」の手法を用い、内部監査基準・倫理要綱(IIA基準)や内部監査規程への適合性の評価や、内部監査の有効性や効率性の評価、内部監査のベストプラクティスを適用する改善の機会を明らかにするものとする。 「自己評価」では、IIA基準を基に策定したチェック票を用いた「簡易評価方式」を採用とし、「定期的レビュー」も基礎資料に含めるものとする。 「独立した検証」は、ピアレビュー方式とし、近隣生協の内部監査部門を評価人に選定し、「標準工程表」と「標準仕様書」を用いて実施するものとする。 |
|
(4)品質評価の活用 |
|
品質評価の結果は、内部監査部門の品質の維持・向上へ活かすことが重要である。 継続的モニタリング・定期レビュー・外部評価の中での発見事項は、内部監査のベストプラクティスを適用する機会と捉え、確実に是正・改善につなげる。 また、品質評価結果は、最高経営者へ報告され、監査品質のアシュアランスと改善プログラムが承認されることを確実にする。 |
|
(5)プログラム関連文書 |
|
○標準工程表 ○標準仕様書・・実施計画書・評価実施要領、予備調査書、ワークシート、評価調書、評価書 |
小規模監査部門の品質評価②(20180509) [2-内部監査実施指針]
実際の品質評価の標準工程を整理してみました。
大枠では、内部監査の標準工程と同様に、PDCAサイクルで設計しています。
|
標準工程表と仕様書一覧 |
|||
|
|
フェーズ |
作業内容 |
仕様書 |
|
0 |
工程確認 |
・評価人の選定と主任評価人の選出 ・全体スケジュール策定 ・予備調査書の策定の通知 |
⓪品質評価プログラム実施計画書 |
|
1 |
予備調査 |
監査部門(評価対象)への理解を進めるための■評価人による資料読み込み ・組織概況 ・内部統制・マネジメントシステム・リスクマネジメント等の運用状況 ・前年度監査報告書 |
①予備調査書 |
|
2 |
手順策定 |
■評価人による協議 ・評価手続きの決定 ・評価重点ポイントの策定 ・評価シート内容の確認 ・閲覧準備書類の洗い出し |
②評価実施要領 ・スケジュール ・評価シート ・閲覧準備書類一覧 |
|
3 |
現場調査 |
■実施 ・評価シート項目に基づき、対象となる内部監査部門(内部監査人)へのヒアリングと関連帳票点検 ・不備事項の深堀(真因追及) |
③現地調査実施記録 ・評価シート ・重要事項証憑 |
|
4 |
評価 |
■評価人による協議 ・現地調査実施記録をもとに、評価調書の策定。 ・評価人の評価一致を図るためのディスカッション |
④評価調書 ⑤評価管理プログラム評価書 |
|
5 |
結果報告 |
評価調書から導かれる「評価書」をもとに、対象の内部監査部門への報告と合意形成。 |
⑥エグゼクティブサマリー |
〇評価シート(例)
評価に当たって使用する「評価シート」の例です。
内部監査基準の項目を基本に置いています。到達点(評価)は評価人に任せることとしました。単
なる点数評価ではなく、不備項目の発見に使用する事。重要なのは、不備項目に対して「真因追及」を行い、品質向上のための提案ができるようにくみ上げることです。
|
設 問 |
評価 |
|
|
第1章 |
Q1.内部監査の本質を正しく理解しているか? |
|
|
第2章 |
Q2.内部監査部門の独立性と客観性が保持されているか? |
|
|
Q3.内部監査部門の組織上の位置づけは最高経営者直属で、監査報告の「ダブルレポーティングライン」は確保されているか? |
|
|
|
Q4.内部監査規程は作成され、適時見直しされ、最高経営者での承認を受けているか? |
|
|
|
第3章 |
Q5.内部監査人(部門担当)は必要な能力を有し、日常的に研鑽しているか? |
|
|
Q6.内部監査人として「正当な注意」を払い、留意すべき9項目を理解しているか? |
|
|
|
第4章 |
Q7.「品質管理プログラム」が策定され、保持できているか? |
|
|
Q8.品質管理プログラムには、自己評価(年1回の定期自己評価と継続的モニタリング)と外部評価(組織体外5年に一度)が組み込まれているか? |
|
|
|
Q9.品質管理プログラムによる評価結果は最高経営者と監事に報告されているか? |
|
|
|
第5章 |
Q10.内部監査部門の中長期計画が策定されているか? |
|
|
Q11.監査計画は、リスク評価に基づいて優先順位が決定されているか? |
|
|
|
Q12.内部監査計画は最高経営者に報告され承認を受けているか? |
|
|
|
Q13.監査計画を実施するために必要な人的資源・インフラ・資金は確保できているか? |
|
|
|
Q14.監査計画策定に際して、監事・会計監査、その他の関連部署との調整はできているか? |
|
|
|
Q15.監査結果は、最高責任者へ定期的に報告されているか? |
|
|
|
第6章 |
Q16.監査対象範囲は、経営諸活動全般となっているか? |
|
|
Q17.ガバナンス・プロセスの有効性を評価し、改善に貢献しているか? |
|
|
|
Q18.リスク・マネジメントの妥当性及び有効性を評価し、その改善に貢献しているか? |
|
|
|
Q19.コントロールの妥当性及び有効性を評価するとともに、業務諸活動の合法性と合理性を評価し、効果的なコントロール手段を維持するよう貢献しているか? |
|
|
|
第6章の解釈 |
Q20.監査範囲は、監査対象部署の「目標・運営体制・リスクマネジメント・統制及び法令順守」を適切に含んだものとなっているか? |
|
|
第7章 |
Q21.個別監査では、目標・範囲・時期・資源等を含む計画が策定され、部門長による承認がされているか? |
|
|
Q22個別監査前に、予備調査を行っているか? |
|
|
|
Q23.監査にあたって、十分かつ正確・適切な監査証拠の取得と、評価と結論をえているか? |
|
|
|
Q24.監査結論に至る過程を正確に調書として記録し保存・管理しているか? |
|
|
|
第8章 |
Q25.監査結果は、監査対処部署へ文書で報告し、指摘事項に関し適切な措置を講じる手続きが取られているか? |
|
|
Q26.内部監査報告書の内容は実効性の高いものとなっているか? |
|
|
|
Q27.監査によって得られた情報保護・秘匿事項は順守されているか? |
|
|
|
Q28.アドバイザリー業務を行った場合、対象部署のニーズに応じたものとなっているか? |
|
|
|
Q29.フォローアッププロセス(是正措置確認)は適切に実施されているか? |
|
|
|
第9章 |
Q30.会計士・監事との連携(三様監査)はできているか? |
|
(4)ピア・レビューの勧め
l 少人数の内部監査部門(1名~3名程度)では、監査員個人の専門性に依存するケースが多くまります。だからこそ、内部監査部門の品質評価は重要になるのですが、外部へ委託するにはコスト負担が大きすぎる問題があります。
l そこで、自己評価と独立した検証方式(SAIV:Self-Assessment with Independent Validation)を採用することが有効だと考えます。
l 全国の生協では、地域単位の交流会が広がっていますし、事業連合単位での組織的な連帯・連携も進んでいます。この単位で、お互いに評価者を提供し、ピア・レビューを実施することを推奨します。事業連合単位での相互評価を行う事は、単協固有の課題だけでなく、事業連合単位の課題を発見できるという副産物も得られるとともに、スキルの交流や向上にも寄与できるとおもいます。
l 初めから、品質評価と考えず、まずは、それぞれが取り組んでいる監査の実態を交流することを通じ、問題を共有する関係になる事から取り組みましょう。
l また、監査手順などもおそらく大きく違っている事も想定されるため、標準となる監査プログラムを持つ事が必要になるでしょう。私から提供している「内部監査指針」なども参考にしていただければ幸いです。
少し回りくどい記述も多いのですが、品質管理に関する概念やプロセスはご理解いただけるのではないでしょうか?特に、地域単位で交流会が広がる中、こうした品質管理の取り組みをキーワードにすることで、必然性が生まれ、切磋琢磨できる環境整備にもつながるはずです。
品質管理プログラムのご興味を持たれ、基本仕様書やチェック表等もご覧になりたい方がいらっしゃれば、原版をお送りいたしますので、メールいただければ幸いです。
メールアドレス:sadanobusirai@gmail.com
