(1)内部監査部門の高度化
最近、内部監査の高度化という言葉をよく耳にします。内部監査を以下の3段階に整理し、現状がどの段階にあるのかを確認して上位の段階に向けて取り組むことで、内部監査の高度化を図ろうというものです。現状では第2段階のリスクベース監査を志向されている内部監査部門が多いと思われますが、皆様のところはいかがでしょうか。
a.第1段階 事務不備監査
b.第2段階 リスクベース監査
c.第3段階 経営監査
(2)内部監査の高度化を阻む壁
しかし、内部監査部門の高度化を図るためには、内部監査人の側だけでなく、内部監査の受け手である社内の被監査部門の「内部管理態勢についての理解とその実践」(これを私どもは「リスク・カルチャー」と呼びます。)が重要です。
この観点から現状の各企業体の実態を見ますと、「内部監査は黙って通り過ぎるのを待つだけ」という受け身の立場で内部監査を受けていたり、「粗さがしに来ただけでしょ」という内部監査に関する誤解も未だに見受けられます。このことが、内部監査の高度化を阻む一つの壁になっているようです。
(3)社内の教育機関としての内部監査部門の立ち位置を理解すること
現在の内部監査は「経営目標の達成や経営管理態勢の改善に向けたアドバイザー」の役割を担うものという立ち位置にシフトしてきており、内部監査人はもちろん、被監査部門も見方を改めていただかなくてはなりません。
おそらく社内には、内部監査態勢についての理解度において、内部監査人以上の方はとても少ないと思われますから、内部監査部門は自らの高度化に取組みだけでなく、同時に社内のリスクカルチャーの醸成に従来以上に注力することが期待されているのです。その意味でも、内部監査部門は内部管理態勢向上のための「社内の教育機関」であることを自ら理解していく必要があります。
(4)まずは「リスクマネジメント」の理解を図りましょう。
経営者や組織体の管理者は、リスクの所在をモニタリングで把握し、その経営に対する重要度を評価し、適切にこれをコントロール(内部統制)することが求められます。リスクマネジメントはこのような取組みの「プロセス」ということができ、PDCAサイクルで取り組むものです。
内部監査部門は、このリスクマネジメントの理解と実践について、内部監査を通じて教育(何をどのようにやるのか。)し、社内での理解度を高めることがとても大切です。