ブレイクスルー指向を用いたアプローチ

月刊監査研究2010年2月号に島田裕次東洋大学教授の「内部監査の新たなアプローチ －ブレイクスルー指向を用いたアプローチの提案」という巻頭論文が紹介されていました。
この論文はリスクマネジメントの変化に対応し、デカルト思考の内部監査からブレイクスルー思考の内部監査へ変換することを提案しています。特に、システムの原則を用いた監査視点の整理は実務に役立つと思われますのでご紹介します。

システムの原則は目的、入力、出力、手順、環境、人的媒体、物的媒体、情報の8つの要素と基本、価値観、物差し、管理、関係、将来の６つの次元のマトリックスです。これら48（＝８×６）の項目で業務を整理すると多面的かつ体系的に監査観点を整理できるとしています。
教科書どおりの監査観点ではどうもしっくりこないと感じている内部監査人にとって、このフレームワークは試す価値があると思いました。

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

＿＿＿＿＿基本＿価値観＿物差し＿管理＿関係＿将来
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

目的
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

入力
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

出力
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

手順
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

環境
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

人的媒体
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

物的媒体
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

情報
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

品質の高い監査調書の作成

月刊監査研究2010年2月号に「品質の高い監査調書の作成」という海外論文が紹介されていました。
こ の論文はBrian Wueste,CPAの「Producing Quality Workpapers」をCIAフォーラム研究会No.3-Dが翻訳したものです。内部監査人として重要な心得が書かれていますので要点を抜粋します。

1. 監 査調書の目的
1. 監査計画、実施及びレビューを文書化すること
2. 監査の所見、結論、最終報告書などの伝達事項の主 たる裏付けとなること
3. 第三者レビュー及び再実施の手助けとなること
4. 内部監査部門の品質管理プログラムを評価する基礎 資料になること
2. 主要な特性
1. 完全性（調書自体で完結し読めばわかるようになっていること）
2. 正 確性（計算が正確で論理的にも誤りがないものであること）
3. 調書の構成（体系的な番号付けがなされ、読みやすい構成であること）
4. 妥 当性、簡潔性（監査目的に対して妥当な内容で、不要な長い記述を省く）
3. 監査調書の構成要素
1. 情報の 入手源（文書作成者の名前と役職を明記）
2. 範囲（実施された手順の内容、時期及び実施範囲を記す）
3. 関連付け（系統的な 番号を振り、監査プログラムと問題点にヒモ付ける）
4. 作成者の署名（作成者のサインを行う）
5. チェックマークの意味（使 用したチェックマークの定義を載せる）
6. 指摘事項（指摘事項を文書化し、他 の文書にヒモ付ける）
4. その他留意事項
1. 仮定、類推、その他判断事項は明確に記載し、責任者がレビューする。
2. 指摘事項の多さと重大性に応じて、監査文書にメリハリを付ける。
3. 標準的な社内文書の形式やひな型にならうよう努める。
4. 過年度の調書を下書きとする場合は現在の文書品質基準と合っているか注意する。

な かなか実施するのは難しい項目もありますが、監査調書の作成の際に留意していきたいと思います。特に、ヒモ付けについては監査調書は監査計画や報告書等と 関連づけてデータベース化する必要があると感じました。

心に残る経営者の言葉

冬休み最終日なので少しIT監査を離れて…

月刊監査研究2010年1月号に「原点回帰の経営戦略」という王将フードサービス代表取締役社長軒営業本部長大東隆行氏の第43回内部監査推進全国大会記念講演の内容が紹介されていました。
大東氏は餃子の王将で知られる王将フードサービスの社長兼営業本部長で先代の創業社長から引継ぎ王将を見事に立て直した経営者です。

私も第43回内部監査推進全国大会に参加したものの、仕事の都合により本記念講演を聴くことができなかったため、今回の記事を待ち遠しく思っていました。今回は本講演内容で私が感銘を受けた言葉を紹介します。

1. 先代社長は強引でカリスマ性以上の仕事の鬼みたいな人だったが、ものすごく心に温かみ、想いがあった。それにカリスマ性に重みがあった。軽いカリスマ性では、絶対、人はついてこない。
2. お客さんが入って、「あっ、変わったな」という変化を感じるような改造の仕方をしなければ、数字の変化はでない。
3. 上の者が燃えなくして、何で下が燃えるのか。上の者が伝えなくて、何で下の者に伝わるのかと。（中略）言葉というのは自分の魂、言霊なんだ。
4. 仕事力があっても人間力が乏しければ、絶対、人がついてこない。上の者はファンがいる、柔軟性がある、この人についていったら何かいいことがあるという魅力を持たないといけない。
5. 最初から最良なんか絶対あり得ない。実践して、悪いところを直しながら、それによって最良を目指していく。
6. 本部から管理監督していれば、だんだんぶら下がるものが多くなっていき、本部としてはだんだん重荷になってきて、目が届かなくなっていく。
7. 利益を追って利益を残すのではなく、いい人材を揃えて育て残していったら、勝手に利益を生んでくれる。
   
8. 意見を発表するときに、資料を見て発表しているのなら、それは自分のものにまだなっていない。
9. 会議でも何でも言いやすい者ばかり怒っていても、絶対そこに緊張感は生まれない。
   
10. 会議には1個だけでいいから数字というものを絶対に入れないといけない。そうすることによって目標というものができる。

いかがでしょうか？とても心に響く言葉がたくさんあると思います。一見、内部監査と無関係な気がしますが、内部監査人として、経営者の考えを理解することは非常に重要なことだと思います。

データ分析ソフトウェア

月刊監査研究2009年12月号に「データ分析ソフトウェアの内部監査への活用」という海外論文が紹介されていました。
この論文はSAP社ガバナンス、リスク、コンプライアンス担当副社長Norman Marks氏が著者で、株式会社電通インターナルオーディットの中島陽紀氏（CIA）が翻訳したものです。最新のデータ分析技術を内部監査部門が活用することについて解説されています。

今回はこの論文から内部監査で使用するソフトウェアについてまとめてみます。

IIAの「2009 IT監査ベンチマーク研究」によると、内部監査で使われているソフトウェアは以下のカテゴリーがあるそうです。

1. 抽出
2. データ分析
3. 不正の発見と調査
4. 自動調書作成
5. 統制自己評価
6. コンプライアンス
7. 継続的内部監査
8. 内部監査年間計画のためのリスク評価

これに対して、著者は、以下のカテゴリーを提起しています。

1. 監査業務の管理
• 監査計画とリソース管理
• コラボレーションツール
• スタンドアロンの自動調書作成
• 不備の追跡
• リスク・コントロールの自己評価
• フローチャート化及びプロセス書類管理等
  
2. データ分析
• データ抽出及び分析
• 継続的監査
  
• リスク評価機能
• 不正発見等
  
3. 専門ツール
• 特定のIT監査業務に使われるもの

そして、データ分析について、ソフトウェアの進化により以下の３点の活用が進んでいるとのことです。

1. 技術改良により分析ソフトウェアを1回限りの分析に使うことができるようになった。（ACLやIDEA等）
2. 特にIT監査で、データ分析ソフトウェアを使用できるようになった。これらのソフトウェアソフトウェアは経営陣と内部監査部門の両者が活用できる。（Arc-Sight社やDorian Software社）
3. データの継続的モニタリングと内部統制の監査のためにデータ分析ソフトを使用することで（スポットではなく）継続的な内部監査が実施可能となる。

日本ではまだあまり見かけることがありませんが、ソフトウェアを活用した内部監査がこれから普及していく可能性は高いと思います。

内部監査を志す人？

月刊監査研究2009年12月号に「『組織運営と内部監査』2009年度4月期履修者の分析」という放送大学学務部連携教育課による分析結果が報告されていました。

2009年度から放送大学にて「組織運営と内部監査」という授業科目が設定されています。この科目は社団法人日本内部監査協会が支援しています。今回はこの分析結果をご紹介しましょう。

放送大学には全体で7万5千人超の在籍者がおり、「組織運営と内部監査」の履修者は913名いるそうです。履修者の属性の傾向は以下のとおりです。

1. 科目履修生（半年間在籍）の割合が高い
• 科目履修生（半年間在籍）以外には学士取得を目指す全科履修生と選科履修生（1年間在籍）、他大学の単位と互換する特別聴講生がいる。
• 科目履修生が履修者の27%を占める。
• 全在籍者の科目履修生の比率は8%
  
• 学士取得を目指す全科履修生が50％程度にとどまる。
• 全在籍者の学士取得を目指す全科履修生の比率は67%
2. 45歳~59歳が最も多い
• 45~59歳が履修者の40％超を占める。
• 全在籍者の45~59歳比率は28%
3. 男性が多い
• 男性が履修者の80％超を占める。
• 全在籍者の男性比率は42.5%
  
4. 会社員銀行員等が最も多い
• 会社員銀行員等が履修者の60%超を占める
• 全在籍者の会社員銀行員等の比率は18.2%

以上の結果からこの報告では、履修者は民間企業に勤め、組織の中では管理的な立場にある人ではないかと推測しています。また、この科目を履修することでCPE単位が付与されることから協会会員が多くを占めるのではないかとも推測しています。

ある意味予想されていた結論かも知れません。米国ではもう少し若い層がキャリアのひとつとして内部監査を選択する傾向があるらしいのですが。。。

監査対象業務

月刊監査研究2009年11月臨時増刊号に「第53回内部監査実施状況調査結果」の解説・所見が特集されていました。

本調査は日本内部監査協会が会員および非会員の企業に対して内部監査の実施動向をアンケートしたもので、904社の動向をまとめたものです。

この調査結果から企業が監査対象としている業務の順位と監査テーマ・内容がわかります。調査結果を以下のとおり整理してみました。項番は2008年度の順位です。

1. 営業業務（→前年1位）
• 販売計画、･要員配置の妥当性、販売先与信管理の妥当性、赤字受注の判断の妥当性等
2. 全般管理・組織・制度（→前年2位）
• 稟議制度の運用状況、方針管理制度の運用状況、経営理念の浸透状況等
  
3. 経理業務（→前年3位）
• 現預金の管理状況、各種伝票・証票の管理・保管状況、各種勘定科目の残高の確認状況等
  
4. 関係会社とその管理業務（↑前年5位）
• 子会社・現地法人での内部統制の構築・有効性、子会社の各業務の直接監査、子会社の活動状況等
  
5. 総務・人事・厚生業務（↓前年4位）
• 勤怠管理の状況、給与賞与計算の妥当性、時間外勤務・長時間労働・離職率の管理状況等
  
6. 情報システム（↑前年7位）
• 情報システム投資計画の妥当性、情報システムの関連資産台帳の整備状況、システム開発要員とシステム運用要員の分離牽制の状況等
  
7. 購買業務（↓前年6位）
• 購買計画の妥当性、購買先の選定基準、与信管理の状況等
  
8. 棚卸資産管理業務（→前年8位）
• 在庫計画・在庫水準の妥当性、受払帳票の確認、棚卸資産台帳の整備状況
  
9. 固定資産管理業務（→前年9位）
• 固定資産投資計画・投資権限枠・固定資産関連人員計画等の妥当性、競合見積の実施状況、購入・リース判断の妥当性等
  
10. 外注管理業務（↑前年11位）
• 技術部門での内・外作の判断の妥当性、外注選定基準の妥当性、与信管理の状況等
  
11. 製造業務（↓前年10位）
• 生産計画の妥当性、ISO・HACCP・製造物責任法・食品安全システム（AIB）などへのコンプライアンス、産業廃棄物管理の適法性等
12. 物流業務（↑前年13位）
• 物流計画の妥当性、物流業者選定基準の妥当性、競合見積の徴収状況等
  
13. 環境管理業務（↓前年12位）
• ISO・労働安全衛生法などへのコンプライアンス、産業廃棄物処理・ごみ分別処理の適法性、取引先環境評価の状況等
  
14. 研究開発業務（→前年14位）
• 研究開発テーマ選定基準の妥当性、研究開発支出の妥当性、研究開発の進捗評価基準の妥当性等
  
15. その他
• 安全保障貿易管理の状況、デリバティブ取引の状況、従業員持株制度の運用状況等

当然ながら、会社により監査テーマは異なりますが、他社の動向を知ることで自社の監査のテーマを確認・見直しするよい機会になると思います。また、本調査は毎年実施されていますので年毎の状況変化も反映されることでしょう。監査テーマの選定に是非活用したいものです。

効果的な監査報告書の書き方

月刊監査研究2009年11月号に「効果的な監査報告書の書き方」という海外論文のCIAフォーラム関西研究会No.7による翻訳が紹介されていました。

この論文はFernando Gonzares, CIAによるもので、監査報告書を有益かつ良い評価を得られるものにするためのノウハウが書かれています。

監査報告書の作成は内部監査人にとって重要な業務です。今回はこの論文のポイントを抜粋してみます。

1. 問題点の詰め（報告書に問題点を記載する前に自問すべきこと）
1. 何がリスクなのか？
2. どのような軽減統制手段があるのか？
3. 何が起こったのか、また何が起こるはずだったのか？
4. なぜ、これが起こったのか？
5. 問題点は正式に報告するほど重大なことか？金額が重要になるのか？
6. 問題点に取り組むのに何かできることがあるか？（それは実施可能か？）
2. 強化（読み手に対して明白なインパクトを及ぼすように、問題点を再検討する）
1. 問題点をまず述べる。
2. リスクを記載する。
3. 事実を確認する。
3. 推敲（不必要な詳細さをなくし、無関係な言い回しやくどう文章を避ける）
1. 読み手が問題点を理解するのに役に立つ内容だけを加える。
2. 受動態で書くことを避ける。
3. 能動態ではとげとげしくなる場合は受動態で書く。
4. 感情的、オーバーな言い回しを避ける。（すべて、常に、決して～ない等）
4. プレゼンテーション（報告書の書式と見せ方）
1. 説得力のあるところから始める。
2. 報告書を発行する前に読む。
   

以上、若干米国式かなと思われる点はありますが、なかなか示唆に富んだ内容が盛り込まれています。今後の監査報告書作成時に心がけたいと思います。

内部者取引（インサイダー取引）

月刊監査研究2009年10月号に「第二回全国上場会社内部者取引管理アンケート－調査報告書－（抜粋）」という各証券取引所によるアンケートの結果報告が紹介されていました。

内部者取引とはインサイダー取引のことで、金融商品取引法により規制されています。この報告（抜粋）では主に内部者取引に対する内部統制の整備状況のアンケート結果を30項目（質問）にわたり報告しています。

今回は、内部者取引を防止するための内部統制にはどのようなものがあるかを本アンケート結果からまとめてみます。

1. 内部者取引管理規程の整備
2. グループ会社の情報・売買管理
3. 社内情報管理体制の整備
4. 情報管理担当部署の判断能力向上
5. 情報管理の施策（例）
1. 情報に重要度区分を設定し管理する。
2. 情報の伝達可能範囲を明示する。
3. 情報伝達時に情報管理の責任者に報告する。
4. 重要情報を文書で伝達し事後検証可能にする。
5. 文書のライフサイクルのルールを設定する。
6. 情報壁を作る。
7. 伝達情報に重要事実が含まれることを相手に伝える。
8. 役職員等に注意喚起する。
9. 役職員等に守秘義務を課す。
10. 重要情報をシステム的に一元管理する。
11. 内部監査による事後検証を行う。
12. 特定プロジェクトについて重要事実になる前から管理する。
6. 代理人・派遣社員・アルバイト・外部委託先等の情報管理
7. 取引先の情報管理
8. 研修･啓発
1. 役職員向け研修
2. ポスターの掲示
3. 冊子の配布
4. ｅラーニング
9. 情報へのアクセス制限

ざっと、以上の様な統制を一般的には検討しているものと思われます。全体的な印象としてはＩＳＭＳの対応とよく似ていると感じました。

内部監査の成熟度に関するアンケート調査結果

月刊監査研究2009年9月号に「内部監査の成熟度に関するアンケート」調査結果報告というCIAフォーラムNo.4-Aの研究会報告が紹介されていました。

この調査は内部監査機能の発揮状況を38項目についてのアンケートで140社からの回答を得たものです。アンケート結果はいくつかの観点で整理され、最終的には内部監査の成熟度を表す項目の特定を試みています。

アンケート結果で私が気になった項目について雑感をコメントします。

1. 項目別には独立性や指摘・勧告への対応状況、予算や監査の網羅性の確保等の全社的な内部監査体制の整備に係る項目は平均点が高い。
• おそらくJ-SOXにより、内部監査の存在が経営者に認識されてきた。
• でも、監査法人と監査役と内部監査の違いはまだまだ認識されていないだろう。
  
2. 外部の第三者による内部監査の品質評価、継続的モニタリング/監査、監査支援ソフトの導入等比較的新しい課題の項目は平均点が低い。
• 内部監査の導入だけで手一杯で先進的な監査手法の導入はこれから。
• 米国は進んでいる（らしい）。
  
3. 業種別には金融保険の平均点が高い。
• 金融保険は、その業態上、内部監査の重要度が高い。
• 監督省庁によるチェックも厳しい。
4. 企業規模別では規模が大きいほど平均点は高い。
• 組織が大きくなればなるほど内部監査の必要性が高くなる。
• 経営者が直接見ることができない領域が増えるから。
  
5. 公認内部監査人の数が多い企業ほど平均点は高い。
• やはり、専門知識を持つ人が多いと品質も上がる。
• 公認内部監査人に対する認知ももっと広がって欲しい。
  

内 部監査は法定監査ではないため、業態や企業規模により導入の状況がまちまちです。特に、日本では監査役との違いも認識されないケースが多くあります。米国 での状況から推し量るに、日本でも近い将来、スキルとしてまたキャリアとして内部監査が認識される時代がやってくると思います。

6本の文化的支柱

月刊監査研究2009年8月号に「内部監査部門が成功するための6本の文化的支柱」という海外論文が紹介されていました。

こ の論文はBruce Adamec,CIA,CPA、Linda M.Leinicke,PHD,CPA、Joyce A.Ostrosky,PHD,CPAによる「6 Cultural Pillars of Successful Audit Departments」という論文を中島陽紀氏（CIA）が翻訳したものです。
今回はこの記事のポイントを私なりに抽出してみました。

内部監査部門が堅持すべき基礎的価値は以下の4つである。

1. 誠実性
2. 客観性
3. 秘密保持
4. 専門能力

基礎的価値に加えて、以下が必要である。

1. 技術的な専門性
2. 明確な基本規定
3. リスクベースの監査手法
4. 監査の専門知識
5. 交渉力や協働能力といったソフトスキル
6. 適切な技術などの正しいインフラ

真に全社的な影響力を持つ内部監査部門には以下の６つの文化的支柱がある。

1. 信頼（Trust、部門のメンバー間の信頼）
2. 感情知能（Emotional Intelligence）
1. 自己認識力（Self-awareness）
2. 自己管理能力（Self-regulation）
   
3. 自分を動機付ける能力（Motivation）
4. 共感力（Empathy）
5. 社会的スキル（Social Skills）
   
3. 達成重点主義（Performance Focus）
1. 顧客に対して
2. 株主、取締役会及び監査委員会に対して
3. 監査対象に対して
4. 内部監査部門のメンバーに対して
   
4. 勇気（Courage、あらゆる場合に正直で倫理的であり、真実を追究する）
5. サポート（Support、内部および外部の支援体制を構築する）
6. 学習の共有（Shared Learning、グループの成功と失敗を共有する）

この論文の趣旨は、利害関係者全体に配慮し、個々の能力を高めるだけではなく、内部監査部門メンバーが協力し合いながら目標を達成することが大切であるということだと思います。

専門職的実施のフレームワーク

月刊監査研究2009年8月号にCIAフォーラム研究会No.24による「IIA国際基準と「金融検査マニュアル」の比較研究」という報告が紹介されていました。

これはIIA（=The Institute of Internal Auditors、内部監査人協会）が定める「専門職的実施のフレームワークと」金融庁の「金融検査マニュアル」の対応関係を解説しているものです。

今回は、専門職的実施のフレームワークについて書いてみます。

専 門職的実施のフレームワークとはThe Professional Practices Frameworkの和訳です。かなり直訳な和訳ですが、意訳も難しいかもしれません。このフレームワークは2009年1月に改訂され、正式な翻訳はまだ 完成していません。以下の目次は旧版の目次です。最新版はhttp://www.theiia.org/guidance/standards-and- guidance/にて確認できます。余談ですが、このフレームワークに関する問題はCIAの試験に必ず出されます。

内部監査の専門職的実施の国際基準（基準）

人的基準

1000－目的、権限および責任
1100－独立性と客観性

1110 ～ 1130

1200－熟達した専門職的能力および専門職としての正当な注意

1210 ～ 1230

1300－品質の保証改善プログラム

1310 ～ 1340

実施基準（Performance Standards）

2000－内部監査部門の管理

2010 ～ 2060

2100－業務の内容

2110 ～ 2130

2200－業務の計画

2201（2210が正しい？） ～ 2240

2300－業務の実施

2310 ～ 2340

2400－結果の伝達

2410 ～ 2440

2500－継続的な監視

2600－経営者のリスク許容についての問題解決

用語一覧

実践要綱（Practice Advisories）

人的基準

PA1000－1 ～ PA1330－1

実施基準（Performance Standards）

PA2000－1 ～ PA2600－1

専門職的実施のフレームワークは「基準」と「実践要綱」に分かれており、互いに項目が関連しています。（例：基準の1310＝品質プログラムの評価の実践要綱はPA1310）
専門職的実施のフレームワークをよく理解することは内部監査の国際標準を理解することにつながります。