月刊監査研究2009年5月号に「日本における内部監査への期待-内部統制整備後の内部監査のあり方」という監査法人トーマツの野坂晃史氏による特別講演の内容が紹介されていました。
ポストJ-SOXの内部監査のあり方についてのお話で、J-SOX対応に追われた内部監査部門が今後どのように本来の監査業務を進めていくべきかについて説明しています。特に、内部監査テーマの選定と監査手続の選定について大変わかりやすい内容になっています。
今回は内部監査テーマと監査手続について書いてみます。
企業の全活動を内部監査でチェックするためには、少なくとも現場管理職と同数以上の内部監査人が必要となり、非現実的です。そこで、内部監査はテーマを絞って行うことになります。優先度の絞り方は通常リスクベースで行います。
リスクを考える場合、前回のエントリーで説明したCOSOキューブが役立ちます。
まず、業務の有効性と効率性、財務報告の信頼性、関連 法規の遵守、資産の保全の4つの目的についてこれらの達成を疎外するリスクを洗い出します。
次に、洗い出したリスクを評価します。評価は影響度×発生確率で算定します。その結果、以下の様な結果が得られるので、大→中→小の優先度で対応することになります。
↑_中_中_大
影
響_小_中_大
度
__小_小_中
__発生確率_→
数値化できない項目は主観的な評価になりますが、なぜその監査テーマを選んだのかわかるようにすることが重要です。監査を受ける部門は被害者意識(「なぜ我々が監査されるのか?」)を持つケースがあるので、監査テーマの決定プロセスははっきりさせることが重要です。
ちなみに、野坂晃史氏の講演では優先すべきリスクのアンケート調査結果として以下のリスクが紹介されています。
人材流出、人材獲得の困難による人材不足
製品、サービス品質のチェック体制の不備
情報漏えい
地震・風災害等、災害対策の不備
顧客対応の不備
・・・・
選んだテーマに対する監査手続は、リスクに対する対処(コントロール)の状況により異なります。野坂晃史氏の講演では以下の様な整理が紹介されています。
高
↑_コントロールの__方針・体制の
リ__運用確認____確認
ス
ク_効率性の確認__分析状況の
↓__________確認
低
_強_←__コントロール__→_弱
以上の様に、リスクを洗い出した上で、それらに対するコントロールの強度により監査手続を決めることができます。監査計画を立てる際に役立ちそうです。
公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。
0 件のコメント:
コメントを投稿