リスクマネジメントと内部監査

10月、「内部監査の専門職的実施の国際基準」（以下基準という）の改訂がありました（施行は来年1月）。この改訂に際して、リスクマネジメントと内部監査の関係について自分なりに整理してみたいと思います。

リスク・ベースの監査計画

基準では、内部監査部門はリスク・ベースでの監査計画を策定することになっています。これは、監査業務の優先順位を決定するためです。

内部監査は健康診断にたとえられることがあります。健康診断ですべての病気を見つけられるわけではないように、内部監査も絶対的な保証は難しいことです。しかし、方法論に基づく内部監査を行うことにより、合理的な保証が可能になります。それがリスク・ベースの内部監査です。つまり、あらゆる病気を想定して、あらゆる検査を行うのではなく、ある程度かかりやすい病気、それもすぐには治らないようなものを想定して、検査を行うというわけです。

リスクの識別や重みづけについて、独立的に判断する必要があるのか、会社のフレームワーク（他部門で行っているリスク評価等）を利用してよいのか少しわかりづらいところがありましたが、今回の改訂では次のような記載があります（基準2010計画の解釈指針の一部）。

To develop the risk based plan, the chief audit executive consults with senior management and the board and obtains an understanding of the organization’s strategies, key business objectives, associated risks, and risk management processes.

リスク・ベースの監査計画を策定するために、内部監査部門長は最高経営者および取締役会と協議し、組織体の戦略、主要な事業目的、関連リスク、リスクマネジメントのプロセスについて理解する。（筆者訳）

基本原則として「組織体の戦略、目的、リスクと整合していること」というのがありますので、経営層からのインプットにより会社の戦略や目標をしっかり把握し、何をリスクと捉えるか方向性を合わせる必要があります。

リスクマネジメントのプロセスの監査

会社のなかの業務には、まず目的があって、それに対するリスク、リスクに対するコントロール（管理策）、そしてコントロールを組み込んだプロセスがあります。内部監査ではこれらプロセスの有効性の評価をすることになります。

今回の改訂の背景に、内部監査部門長が内部監査を超える範囲のリスクマネジメントに関する責任をもたされるという事実があるとのことでしたが、これは少し意外でした。もしも、プロセス・オーナー側の責任をもった場合、監査の客観性に大きく影響するだろうと思うからです。

おわりに

現代は不確実性の時代などと言われ、大小さまざまなリスクが次々に浮かんできます。リスクは必ずしも悪いわけでなく、社業の発展（とその向こうにある社会貢献）を継続するにはリスクについての適切な判断が重要だと考えます。そのためにも、基本原則にある「見識に富み、率先的で、未来志向であること」に向って、日々努力したいと思います。