内部監査計画と実施のポイント

内部監査計画の策定

内部監査は監査計画に基づいて実施されますが、その中身や項目について法的な制限や要求はなく、会社ごとに自由に設定することになります。しかし自由度の高さゆえに、どういった内容を定めればいいか迷われている会社も多いというのが実情です。今回は監査計画の策定から実施におけるポイントを解説していきます。

まず、監査計画に織り込むべき事項として、一般的には下記の5つが挙げられます。

1. 監査対象
   事業部門や拠点など、内部監査が実施される単位
2. 監査目的
   内部監査を実施することで期待される効果
3. 監査スケジュール
   往査やヒアリングを実施する日程と、監査報告書の提出予定日など
4. 監査実施者
   往査やヒアリングを実施する担当者と、その責任者の氏名
5. 監査項目
   監査目的（②）を達成するための具体的な確認内容（＝チェックリスト）

これらは監査の実施前に定めることになりますが、策定の時期についても法的な要件はありません。そのため事業年度がスタートする前と後、いずれの場合であっても問題はなく、会社ごとに適切と考えるタイミングでの策定となります。

そして上記のうち、特に監査項目（⑤）を検討するうえで重要となるのがリスクアプローチという考え方です。これは『企業活動において存在するリスクを識別＆評価し、それに対するコントロールが有効か』を確認する項目を決定していく方法となります。

ここで言うリスクとは、企業の組織運営にマイナスの影響を与える要因のことで、ハラスメントなどのコンプライアンスリスクや横領などによる財務リスク、さらには自然災害によるハザードリスクなど多岐にわたります。どの企業にも共通で存在するリスクもあれば、事業に応じて発生する固有のリスクもあるため、まずは自社の抱えるリスクを可能な限り網羅的に識別することが必要となります。

次に、識別された個々のリスクに対して、それらを評価することが必要です。この評価は『発生可能性』と『影響度』の2軸で実施されることが多いです。『発生可能性』はリスクがどの程度の頻度で発生し得るか、『影響度』はリスクが発生（顕在化）してしまった場合に損失額はどの程度になり得るか、をそれぞれ数値によって表します。そしてこの２つを掛け合わせて算出された数値の大小を以て、リスクの評価を行います。

算出された数値が大きい（＝リスクが大きい）と判断された場合には、そのリスクに対するコントロールが有効かを確認することが必要となり、この確認のために監査項目（⑤）が設定されることになります。なお、リスクの発生可能性と影響度の完全な数値化は困難であるため、事前に経営者や監査対象部署と協議し、その精度に関する合意を取っておくことが望ましいです。

また上記の他にも、経営者による関心事や、前期の内部監査における発見事項などが監査項目に織り込まれることがあります。これらは監査計画の策定に先立ち、経営者や監査対象部署へのインタビューなど（予備調査）を実施することで対応可能です。

内部監査の手法

監査計画が策定されたら、いよいよ監査の実施となります。

監査人は監査項目に記載したコントロールが機能しているかどうかを確認するために、対象部署から監査証拠を収集します。これらは監査報告書の作成における根拠になるため、信頼性があり、かつ監査項目との関連性を持っている必要があります。

監査証拠の収集における手法として、主に下記の3つが挙げられます。

1. 質問

   監査対象部署に対するヒアリングによる確認であり、最もベーシックな監査手法です。現状を把握したり、予備調査において事前に把握されていた懸念点についての事実確認をしたりするために実施されます。また、コントロールが有効に機能していないといったことが発見された場合にはそれを指摘するだけに留まらず、今後の対処や改善案の方向性について協議する場となることもあります。

   なお、質問を通して得た回答（情報）だけでは監査証拠としては不十分なケースもあるため、その場合は補完するための監査証拠を別の監査手法を用いて収集する必要があります。

   余談になりますが、監査対象部署との直接的なコミュニケーションとなるため、内部監査への理解を深めてもらうと共に、発見事項への改善などに対する前向きな協力を得られるような関係性を構築できるとベターであると言えます。

2. 査閲

   コントロールの実在性を確認するため、監査項目それぞれに関連した規程類や業務マニュアル、あるいは伝票や請求書、勤怠記録などの文書証拠を確認する監査手法です。どういった資料を確認するかは監査項目によって変わってくるため、事前の予備調査で必要な資料をピックアップしておくとよいでしょう。

   なお、査閲の対象となる資料が電子化されサーバやシステム内に保存されていることも当然あり得ます。こういった場合はその閲覧権限のみを付与してもらい、監査人がデータを更新・編集してしまうことのないように注意する必要があります。

3. 立会

   業務プロセスが運用されている現場に立ち会うことで、実際にコントロールが機能しているかを確認する監査手法です。特に棚卸資産や有形固定資産を保有している会社の場合は、これらの現物資産に対する棚卸プロセスなどに同席し、ルールやマニュアル通りに運用されているかを確認することが有用です。

   なお、現金や現金同等物などについては、その実際有高と現金出納帳や管理台帳の残高とが一致しているかを実査で確認することもあります。具体的にどういった資産を実査の対象とするかは、その重要性などを鑑みて、監査計画の策定時点で検討していくことになります。

監査証拠のサンプリング

監査証拠の収集にあたっては、コントロールが機能していると判断できるだけの十分な監査証拠を集める必要があり、その方法は精査と試査（＝サンプリング）に分類されます。どちらの方法を採用するか、あるいはそれらを組み合わせるかは、限られた監査資源の効率的な活用という点も考慮しながら決定することになります。

• 精査：母集団から全ての項目を抽出して、それに対して監査手続きを実施
• 試査：母集団からその一部の項目を抽出して、それに対して監査手続きを実施。抽出はサンプリングと呼ばれ、下記の２つに大別される。
  • 無作為抽出（ランダム）による試査
  • 特定項目抽出（作為的抽出）による試査

そして、サンプリングによって監査証拠を収集する場合は、以下のような点を事前に検討していく必要があります。

1. 母集団
   監査を行う目的に応じた範囲
2. エラーの内容
   抽出した資料におけるエラー内容（問題点）
3. サンプリングリスク
   試査を実施することによる不可避的なリスクの影響
4. サンプリング方法
   無作為抽出（統計的サンプリング）や特定目的抽出（非統計的サンプリング）など複数あるサンプリング方法から、それぞれが包含するリスクや有効性、また監査資源に基づいての検討
5. サンプル数
   母集団の規模（取引数や業務の発生頻度など）に応じての検討

なお、統計的なサンプリングを厳密に実施しようとすると、その煩雑さや手間が過大となってしまう場合があります。そのため、内部監査人の主観による非統計的なサンプリングも現実的には選択肢となり、想定されるリスクとのバランスを見て、監査証拠の収集をしていくことになります。

まとめ

内部監査には法律的な要件がないため、監査人あるいは会社ごとの判断が大きく介在することになり、それゆえお困りになられているケースが多くなっています。今回は監査計画の策定時と実施時のポイントに絞った解説を致しましたが、監査調書や報告書の作成ポイントについても、別の記事でご紹介できればと思います。