【総合版】内部監査人はつらいよ-監査現場のリアルな苦悩-
はじめに:内部監査の理想と現実は乖離
「美しい夢」が語られ過ぎてはいないか
内部監査の本来的な期待として、ガバナンスプロセスの一翼を担い客観的なアシュアランス等を通じて優れた洞察を提供する役割が求められています・・というような大所高所の組織論はよく聞かれます。
また一部コンサルティング会社等では下記にある「夢のような」先駆的な内部監査について語られています。
■監査アプローチの高度化
・内部監査の手法とAI/データアナリティクスの融合・評価方法へのRPA適用と最適化・CAATの更なる活用等テクノロジー利用の推進や、経営監査・フォワードルッキング型監査・アジャイル型駆動式監査・・・etc
■内部監査の役割拡張
・経営層を満足させ、現場からは信頼され、ステークホルダーにはバリューと説明責任を提供する・・・etc
ですが、実際の内部監査の現状は組織設計・業務品質・人材・経営者期待等、様々な基本要素において大きな課題を持つ会社が少なくないのではないでしょうか。上記の美しく先進的な内部監査というのは、地球の、と言っては言い過ぎですが日本のどこにあるのか、という疑問を筆者は持たざるを得ません。
データから見る内部監査の「冴えない」現状
筆者は複数の著名な大手上場企業の内部監査部門を直接的又は間接的に見てきましたが、デジタルの活用一つとっても率先して実施できている会社は稀でした。
内部監査部門はwordで監査計画書を作り、Excelで監査手続書や監査調書を作り、PowerPointで監査報告書(要約版)を作る。検証はエクセルでシートを作り目視でチェック結果をまとめる。紙でもらったファイルはキングファイルにサンプル番号ごとに付箋を貼ってキャビネットに保管する。
使うツールはメールとExcelの関数くらい。
そんな仕事が内部監査の主流を占めていました。
関連して例えば、以下のようなデータがあります。内部監査協会による2017年の「監査総合実態調査(内部監査白書)」からの引用です。
■監査支援ソフトウエアであるCAATs(Computer Assisted Audit Techniques)の使用状況
・使用している:204 社(12.9%)
・使用していない:1,382 社(87.1%)
■情報システム監査の実施の有無
・実施している 67.3%
・実施していない 32.7%
※上場会社のみの調査結果でも「実施している」は 74.0%
■品質管理※内部監査の品質評価について、内部監査の規程(定)等で定めているか
・定めている 366 社(23.2%)
・定めていない 1,211 社(76.8%)
■内部監査に関する専門的資格の保持者
・無回答:745 社(46.8%)
この調査はいわゆる中小企業に限定しているわけではなく、社員数が1万人を超えるような大企業を含め1,593社に上る日本の内部監査部門に対して行われています。
いわゆるデジタライゼーション等企業におけるデジタル活用の重要性は言うを俟ちませんが、ソフトウェア利用でも87%は活用しておらず、システム監査すら3割以上も実施していないのです。また品質管理や専門資格を持たない会社組織もこれほどあります。
※本監査白書、他統計データの内容・入手方等に関しては下記の記事に纏めてあります。
見るべきは内部監査の「現実」
筆者は経験上見聞きしてきた多くの内部監査部門には極めて泥臭く・ごく初歩的な問題がありました。具体的には体制やプロセス上の問題、内部監査人の専門性、部門長の資質・姿勢等の問題です。
専門性を高めデジタル化に適切に対応し経営目標達成に効果的に支援するという理想の前に、これらの克服が先ず必要ではないでしょうか。
内部監査論的にはガバナンスプロセス上の課題として整理されるかもしれませんが、これは例えば内部監査が取締役会に直属するとか、そうした組織論だけで対応できることではないと思います。
今回は過去に投稿した記事を活用して、先ずは本件の「現実」の一端を提示させて頂ければと思います。
内部監査の厳しく、切ない「現実たち」
内部監査部門自体の問題
【立付の問題】
前提として内部監査の社内の立ち位置が脆弱であり、信頼されるパートナーとなる以前に他部門から一定の尊重をされる形になっていないことが問題として挙げられるでしょう。
【責任者の問題】
内部監査はその組織特性上、少人数かつ独立的・閉鎖的な特徴があり、上記記事とも関連しますが部門責任者の資質・姿勢が活動の生産性や有効性に極めて大きな影響を与えます。
この際下記の記事あるような責任者が部門運営を行う場合は、成果やパフォーマンスは限定的にならざるを得ないでしょう。
【運営・品質管理上の問題】
組織運営や評価、動機付けを適切に行い続けなければ、内部監査担当者の指摘をするインセンティブやモチベーションを維持し続けることが難しくなる面があります。この点もよく認識が必要でしょう。
内部監査部門を取り巻く社内環境の問題
【他部門などからのプレッシャーの問題】
内部監査部門の立ち位置や運営上の課題もありますが、関連して、本来独立性・客観性を保つ必要がある内部監査という組織に有形無形の「圧力」が加えられ、活動が適切に行いにくい場面が出現しています。内部監査の立場の弱さと相俟って抗うことが難しい問題になっています。
【クレームの問題】
余談ながら人気ドラマ「下町ロケット」で、主人公が経営する佃製作所が大手取引先である帝国重工の審査部によって信用調査を受ける回があります。
このとき審査部の担当は無意味に高圧的な態度を示し、数々の嫌味とともに、大量の資料をごく短期間に提出するような無理難題を佃製作所に指示するシーンがあります。ここでの「審査」と「内部監査」は性質や実施主体含め勿論別のものですが、一般的には大体同じようなイメージがあるのではないでしょうか。・・・「偉そう」「上から目線」「現場を知らない」「形式主義」・・・
しかし、こうした態度で被監査部門に臨む内部監査部門は現代において極めて稀だと思います。少なくとも筆者は見たことがありません。
一概に「圧力」の一つと言えず、内部監査として振り返る必要もありますが、様々な「クレーム」又はこれに至らないまでも「苦情」や「嫌味」を言われることの方が遥かに多いのではないでしょうか。
「問題」がもたらす内部監査人へのダメージ
これまで述べてきた、内部監査部門自体の問題・部門を取り巻く環境上の問題相俟って、内部監査人はつらい場面に出くわすことも少なくありません。
どんな仕事でもある程度はそうかもしれませんが、内部監査は感情労働の側面が強いことを理解する必要があるでしょう。
コミュニケーションを駆使した対処
しかし、嘆いてばかりもおれません。内部監査人が現在持っている唯一の武器、それはAIでも監査基準でもなく「コミュニケーション」スキルでしょう。現場との対立を建設的に解消し、有効な結論への合意に向けた不断の努力をする必要があります。
最後に
向き合うべき「現実」
デジタル化への内部監査への対応不足とそれ以前の内部監査の立付や環境上の諸課題等について、述べてきました。
筆者は内部監査という仕事自体が無意味だとか、内部監査のパフォーマンスがでないことが被監査部門や経営者に責任があると述べたいのではありません。また内部監査の独善的になりがちな「正義」を尊重してほしいわけでもありません。
内部監査は価値ある仕事であり、内部監査の成果は内部監査の責任によって実現するものと考えています。
しかし、実際に内部監査部門の内外に様々な課題があり、有効な成果を出そうとすると企業人としては協力な障害に遭遇してしまう現実を受け止めなければならないでしょう。
そして現実的に内部監査が「役に立っているのか」という問題にも向き合わないといけないと考えています。例えば2017年頃から、日本を代表する企業において数々の不祥事が報道されています。
年次 | 企業名/不祥事内容 |
---|---|
2019 | 【かんぽ生命・ゆうちょ銀行】顧客への虚偽説明等不適切販売、保険業法違反 【レオパレス21】施工不備問題、建築基準法違反 【セブン&アイ・ホールディングス】7Pay不正アクセス・不正利用等セキュリティ問題 |
2018 | 【スルガ銀行】シェアハウスの不正融資問題 【スバル】完成検査不正(無資格者検査等)の問題 |
2017 | 【神戸製鋼】品質不適切行為(検査データ改ざん等)の問題 【日産自動車】完成検査不正(無資格者検査等)の問題 |
上場企業も多くあり、内部監査・内部統制においては一般企業以上に体制整備がされていたと思いますが、こうした不祥事に対して結果として効果的に対応できていなかったことになります。
ですが、そうするとより事業規模も小さく内部監査の体制も脆弱な多くの企業では、そもそも対応ができるのかという疑問があります。
内部監査の真の可能性
推測に過ぎませんが、上記の不祥事の規模や関係者の多さを踏まえると、複数の企業において、当該内部監査部門は一定程度は問題又はその兆候を把握していた可能性が高いのではないでしょうか。逆に全く知らなかった方が違和感があります。
しかし「言えなかった」「言わなかった」「一応言ったが相手にいなされた」ので解決には至らなかったのではないでしょうか。全く不可知の問題でないならやりようがあるはずです。
内部監査は「相手が気付ていない問題」だけでなく、「相手が気付いているが言えない問題」も課題として可視化させ、解決に導くことにその神髄があると考えます。
デジタル化やテクニカルな要素の発展も重要ですが、これまで述べてきた組織的・環境的な課題の克服はその前提として不可欠ではないでしょうか。
投稿者プロフィール
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員