第3回では、多様化するリスクに対応しつつ、時機を逸することなく意思決定をしていくためには、全社で統合的にリスクを管理していくことが必要である点について触れた。加えて、標準的かつ統一的なリスク測定基準によるリスク値の算出事例と多面的な観点からリスクを監視していく必要性について述べた。本稿では、リスクを監視する上で重要な“リスクベースの内部監査”について、調査結果や事例を交えて解説したい。

内部監査のジレンマ

 2017年にPwCが実施した「内部監査担当者の状況に関する調査」によると、内部監査が企業にとって付加価値をもたらす活動であると考える内部監査関係者の割合は、わずか7%であり、過去5年間で最低の値であった。一方で、48%の内部監査関係者は、経営に資する監査を目指したいとする回答もある。

 なぜこのようなギャップが生じるのであろうか。連載第2回で述べた、現場が個別業務・リスクの責任範囲に限定されてしまうことと、経営陣の“事業活動への影響を最適化することがリスク管理活動である”こととの間の認識のギャップが、大きな要因であることに疑いの余地はない。

 では、内部監査について考えるとどうであろうか。多くの組織からは、「毎年似たような監査・テストに対応していて、通常業務に支障をきたすほど多くの時間が費やされている」「監査の必要性は理解できるが、その目的や重要性が理解できないこともある」などの声が聞かれる。このような声に対応する形で、多くの専門組織からは“リスクベース監査”が推奨されている。リスクベース監査の基本方針は、リスクの重要度に応じて、監査対象の広さや監査内容の深さを鑑みることで、効果的かつ効率的な内部監査を目指すことにある。

 すなわち、リスクベース監査を実現することは、監査・被監査部門の限られたリソース、コストの中において、重要なリスクを経営に代わりモニタリングするという機能を果たすことにあり、機能をコストで除することで価値を測定する「バリューエンジニアリング」の観点からは、大きな付加価値を与えることになると言えよう。

例) 内部監査のモニタリング機能÷監査・被監査部門が費やすコスト=付加価値
    ≒内部監査の高度化÷内部監査の効率化=付加価値