リスクベース型内部監査の外注支援
リスクベース型内部監査の外注支援
IIA国際基準では、経営資源を有効活用する観点から、リスクベース型内部監査が求められています。ここでリスクベース型内部監査とは、有限の監査人員や時間を効率的に使用するため、高い(低い)リスクと評価される監査対象には多くの(少ない)監査頻度・期間・工数を充てるなど、メリハリを利かせた監査手法を指します。
一般に日本企業はリスクベース監査が不十分で、たとえば年度監査計画は一律に全拠点毎年実施、監査テーマ・領域もみな同じとするなど、リスク評価結果に基づく監査頻度・期間・工数等メリハリをつけていません。そこで弊社では、お客様の内部部監査計画をリスクベースとするため、各監査対象の残余リスク(何らかの対策を施した後に残るリスクの大きさ)を査定して縦軸に、その発生可能性を横軸にプロットしたリスクマップを作製、それをベースに監査計画を策定いたします。
STORY
あるグループ会社では10社を超える子会社(国内・海外)を保有していますが、子会社へ内部監査を実施したことがありません。成長している子会社が増えたため親会社として監査の必要性を認識しつつも、どの子会社から内部監査に着手すべきか弊社に相談がありました。
そこで弊社は全ての子会社についてスコアリング方式のリスク評価を実施してリスクマップを作製、内部監査の優先順位を策定の上、親会社へ監査計画を提案。親会社からはリスクマップの右上方に位置する(よりハイリスクの)子会社より順次内部監査を検討できないかと依頼してきました。
弊社はその子会社の監査をアウトソーシングで引受け、内部監査の結果、優先的に対応すべき問題点と課題を抽出し、経営陣あて改善対応を促しました。経営陣からは毎年こうしたリスクアセスメントに基づく子会社リスクマップを策定し、監査の優先順位を示してほしい、とのコメントがありました。また別途行った内部監査の品質評価でも、リスクベース監査を実施したことはポジティブな評価ポイントにつながりました。
Q&A
- Q社内で作成したリスクマップが適切かどうか外部の目で確認してもらえますか。
- A
可能です。まずリスクマップの意図、作成方法、データのとり方などがわかれば改善の必要性を指摘できますし、再作成のご要望にも応じられます。
- Qリスクベースで監査頻度を減らした拠点では不正が起きやすくなりませんか。
- A
監査頻度の低下により「見られる」機会が減ることを察知した不正行為者がいれば、不正は起きやすくなります。そうした拠点では、内部監査頻度を減らしても、2線(管理部門)によるモニタリングや抜き打ち検査などによる牽制を働かせ、不正機会を低減することはできます。
- Q監査対象部署のリスク評価を個別監査計画にどう落し込めばよいですか。
- A
一般に部署の総合リスクが高い(低い)場合、監査頻度を多め(少なめ)にします。しかし1つの部署の中でも様々なリスクがあるため、部署の総合的なリスクスコアは低くても、特定領域でハイリスクを示す場合、監査の実施が適切な場合もあります。
Flow
- 以下「お問い合わせ」フォームよりご相談内容を送信
- 弊社より「お問い合わせ」に回答。先へ進む場合、打合せをセットアップ
- 先へ進まない場合、この段階でお問い合わせのやり取りは終了
- 打合せでご相談内容詳細をヒアリング、弊社より回答(暫定または確定)を提示
- この段階で必要に応じ、お客様とNDA(秘密保持契約)を締結
- ご相談の解決に向け提案書・見積もり書を作成(支援内容・体制、期間、料金など)
- お客様・弊社の間で見積もり提案内容を調整
- 契約(プロジェクト型か顧問契約型の業務委託契約が基本)