監査ライフサイクル-年間監査計画の作り方-
内部監査ライフサイクル
内部監査は任意の監査であるため、各社の監査業務の進め方、用語の定義もそれぞれ異なりますが、基本的な一年間の流れはそれほど大きく変わりません。
ここでは筆者の実務上最も一般的であったライフサイクルをご紹介します。
監査部門の立ち上げや監査業務の見直しをされている方の参考になれば幸いです。
ライフサイクルの全体像
内部監査の1年間は基本的には図のようにPDCAに準じたライフサイクルをとります。大きく6つのフェーズに分かれます。
- Phase1:計画(通期)
- Phase2:実施(上期)
- Phase3:検証(上期)
- Phase4:実施(下期)
- Phase5:検証(通期)
- Phase6:報告(通期)
それでは各フェーズの概要を説明していきます。括弧内は各フェーズの該当時期です。なお便宜上事業年度が4月~3月の企業(上期4月~9月/下期10月~3月)を想定して記載します。
Phase1:計画(前2月~4月頃)
一番最初は年間監査計画を含む当期計画検討です。経営計画と整合させ重要なリスクに対応する監査テーマを配置しスケジュールを設定します。
ここでの主要なタスクや考慮事項は下記のとおりです。
会社の中期計画、予算目標の理解
内部監査の計画が経営者の関心や事業上の重要な目標と整合させる必要があります。
会社の中期経営計画・年度事業計画、各本部の業務計画等を理解し、会社が何を重視しているのかを理解します。
内部監査リスクアセスメント
2000年代に入って以降、リスクの高い領域に対して重点的に監査資源を投下するリスクベースアプローチの監査が主流になっています。
年間監査計画の策定のインプットとして、内部監査部門としてのリスクアセスメント・リスク評価を行い、リスクの高い又はリスクに照らして対応が不足する事業・業務・システム等の領域をは明らかにします。
関係部門等との調整
3ラインディフェンスモデルの浸透により、内部監査部門以外にも会社のリスクに対して、いわゆるセカンドラインと呼ばれる部門がモニタリングを計画している場合があります。例えば下記などです。
- セキュリティ管理部門のセキュリティ対策の順守状況を検証するモニタリング・技術的な脆弱性診断
- リスク管理部門によるリスクモニタリング
- 法務部門による特定法令(資金決済法・下請法等)の対応状況チェック
こうした部門のモニタリング計画を十分考慮しなければ、被監査部門側に重複した内容のテーマで監査をしたり、テーマが違っても対応が一度に重なることになりかねません。
また内部監査の独立性という制約はあるものの、実務的な視点では関連部門とのリスク認識が大きく異なることは望ましくありません。
内部監査としてのリスクアセスメントと並行して、こうした部門と協議を行い重要なリスクの認識合わせやモニタリング等のスケジュールを把握し、必要な調整をする必要があります。
年間監査計画の策定
これまでのリスクアセスメント結果や関係部門との協議結果を踏まえ、当該年度の年間監査計画を策定します。この際当該年度で特に重視するリスク領域やこれを踏まえた重点監査テーマを明らかにするとともに、各監査案件ごとに監査目的・監査対象・スケジュールを設定します。
また後述しますが、前年度の振り返りをした結果識別した課題や経営層、監査役からの要望も適宜計画の内容に反映します。
※補足:年間監査計画の以前に中期的(3年~5年)
経営層、監査役等への説明・承認
年間監査計画の策定後、代表取締役・取締役等の経営層及び監査役(又は監査等委員)に計画の内容説明ととともに承認を受けます。ここで特別な指導や要望により年間監査計画を見直すこともあります。
無事承認が受けられれば、計画のフェーズは完了となります。
Phase2:実施(4月~9月)
個別監査案件の実施/ 個別監査案件の報告
年間監査計画について経営層や監査役等に承認を受けたら、いよいよ当該年度の監査が開始されます。各担当ごとに監査案件を推進し、個別監査計画の策定・予備調査・本調査・監査報告という一連のプロセスを実施していきます。
個別監査案件のプロセスについては、別記事にて今後詳しく解説したいと思います。
Phase3:検証(9月頃)
下期分監査計画の見直し
上期中に発生又は今後の発生が見込まれる事業環境の変化や、重大な事故・障害、グループ会社・主要サービス・部門の追加・変更・改廃等の状況を踏まえ、下期予定していた監査テーマやスケジュールの変更を検討し、計画に反映します。
また上期が終わりに近づくと予定通り完了した案件や継続中の案件、遅延している案件などが明らかになってきます。あまり望ましくはないですが当該案件の進捗状況を踏まえリスケジュールが必要な場合は、計画したテーマやスケジュールを実現可能な形に適宜修正します。
経営層、監査役等への報告
上期に実施した各監査案件の主要な指摘事項や改善状況、下期の監査計画について、経営層や監査役に適宜報告をします。もし計画内容が期初から重大な変更がある場合は再度承認を受けることも必要になる場合があります。
Phase4:実施(10月~3月)
個別監査案件の実施/個別監査案件の報告
Phase2同様です。見直しを経て確定した下期の年間監査計画に基づき、各監査案件の実施・報告をしていきます。
Phase5:検証(2月~3月)
通期監査案件の状況検証
Phase3と基本的に同様ですが、1年間を通じて各監査案件ごとの進捗状況・完了状況、主要な指摘事項・改善状況を確認します。
また 、納期・品質目標の達成状況等や被監査部門からの意見やクレームを踏まえ、来年度の内部監査においては是正すべき課題を識別してます。
Phase6:報告(3月頃)
通期監査結果の報告準備
内部監査部門としての「通信簿」というべき、年間の業務結果報告(通期監査結果の報告)の準備をします。Phase5で検証した各案件状況、部門として取り組むべき課題も纏めます。
なお筆者が見てきたケースでは経営層、監査役等との会議をできる時間は限られているため、パワーポイントのスライド1~2枚又はA4ワードファイル1枚などサマリを作成して報告する場合が多かったです。
経営層、監査役等への報告、次年度の要望・指導確認
経営層、監査役等に年間の業務結果報告をします。これは内部監査部門長1人又は少数のマネージャークラスが同席して行うケースが多いです。
本年度の統括的なフィードバックや内部監査部門への期待、意見、指導がされます。これらは 来年度の年間監査計画のインプットとして活用されます。
最後に
内部監査部門としてのライフサイクルを見てきました。内部統制(J-SOX)の評価業務や内部通報業務、定期的なモニタリング業務等内部監査部門は様々な役割を他に持つケースもありますが、一番軸となる「内部監査」に掛かる一連の流れの一例をご紹介しました。
そろそろ来年度の計画を検討し始める内部監査部門の方も少なくないと思いますが、本記事が少しでも参考になれば嬉しいです。
参考:監査計画を検討する際のおすすめ書籍
Follow me!
投稿者プロフィール
- ネット系事業会社 内部監査室 室長
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員
