CGコードの改訂により求められる内部監査の進化──ガバナンス強化に対応した取り組み事例

1 コーポレートガバナンス・コードの改訂による内部監査への影響

今回の改訂CGコードにおいては、ガバナンス強化の観点から内部監査をより実効性のあるものとするため、補充原則の加筆修正が行われています。本節では、内部監査に与える主な影響について3つ取り上げます。

（1）取締役会による全社的リスク管理体制の構築と内部監査部門を活用した監督

補充原則4-3④において、「取締役会はグループ全体を含めた全社的なリスク管理体制の整備が求められ、内部監査部門を活用しながら、その運用状況を活用すべきである」とされています（図表1）。ここでは、取締役会によるガバナンス・リスク・コンプライアンス体制の構築と、内部監査を活用した形での運用状況の監督という具体的なPDCA活動を明確化するように改訂されました。

これに伴い、内部監査部門に対して、内部監査体制の高度化（親会社の監査役等や会計監査人と子会社の監査役等や内部監査部門等との連携強化等）や全社的なリスク管理体制の強化を含むグループガバナンス向上を見据えた内部監査の実施が求められることになると考えられます。

最近の動向としては、取締役会の機能向上を目的とした取締役会の実効性評価の支援が増えてきており、なかでもリスク・ガバナンスや内部監査に関する議論が多く見られます。

（2）内部監査部門が取締役会および監査役会に直接報告を行うデュアル・レポーティングラインの構築

補充原則4-13③においては、「取締役会及び監査役会の機能発揮に向け、内部監査部門がこれらに対しても適切に直接報告を行う仕組みを構築すること等により、」という文言が加筆されました（図表1）。つまり、内部監査部門からのデュアル・レポーティングラインが明記されたことになります。

元来日本企業では、内部監査部門設置の歴史的な経緯から、内部監査部門は社長直轄の執行側の組織として認識され、ガバナンス上の内部監査部門の権限や責任は極めて限定的でした。しかし、最近の企業不祥事の多発という事態を受け、内部監査の機能不全という問題に焦点があたるようになり、本コード改訂においてもデュアル・レポーティングラインの構築が明文化されました。

（3）サステナビリティや事業ポートフォリオ戦略領域への監査の検討

上述の2点が今回のコード改訂で内部監査に直接的に関係する項目ですが、補充原則4-2②において、サステナビリティの基本方針の策定や中長期の事業ポートフォリオ戦略領域の監督に係る取締役会の役割が新しく記されています（図表1）。

内部監査部門として当該取り組み状況について今後どのような役割を担えるのかという点、つまり戦略に関する監査について、内部監査の実務の中で議論が始まっています。また、中長期視点での検討が必要となるESG（Environment、Social、Governance）リスクを対象とした内部監査を実施する企業も増えてきており、企業が整備したESGに関する企業のリスクマネジメントフレームワークが適切に整備され、ESG関連のリスクが適切に把握・評価され、PDCAが適切に実施されていることをモニタリングすることが重要となっています^※2。

2 内部監査の取り組み事例

CGコードの改訂に伴い、内部監査の重要性はますます高まってきており、内部監査の取り組みも多様化してきています。そこで以下では、取り組み事例の1つとして経営基盤の監査について紹介します。

環境の変化が激しく、規程や手順書が現状のプロセスと整合しない場合やモニタリング担当者の質・量が十分でない場合、規程や手順書からの逸脱を指摘しても十分な改善につながらないことがよくあります。

昨今の環境変化を受けて、これまで一般的に行われてきた準拠性の監査ではなく、内部統制のベースとなる経営基盤に着目した内部監査を実践する事例が増加しています。図表2に挙げている5つの経営基盤に対する監査の概要は以下のとおりです。

①方針・規程の監査

企業理念や経営戦略に従って各種方針や規程が整備され、適時更新されているか、また、各種方針や規程を従業員に浸透させるための定期的な教育・研修が実施されているかを監査する。

②組織設計の監査

グループガバナンスの観点から親会社と関係会社それぞれの責任と役割が明確になっているか、関係会社に対して適切な権限委譲がなされているかを監査する。

また、組織のリスク管理が有効に機能しているかどうかを確認するべく、「3つのライン」^※3がグローバルに有効に整備され、第2線が第1線を支援し、モニタリングが有効に機能しているかその仕組みを監査する。表面的なチェックの証跡を確認するのではなく、業務に精通した専門家がリスク管理者として牽制しているかを確認する。

③人材、リスクカルチャーの監査

相互に牽制する担当者の資質や承認者の適正性、第2線を担当する人材の専門的な能力など、人材の質・量に着目して確認をする。これは、十分な専門的能力を有さない人材が、第1線に対するモニタリングに関して重要な役割を担っても、内部統制が十分に機能しないことが背景にある。

また、リスクカルチャーが浸透していない組織では不正リスクが高まり、内部統制も十分に機能しない。風通しが悪い組織とならないように透明性を高め、リスクカルチャーの重要性を促進しているかその取り組みを確認する。

④プロセスの監査

内部統制の形骸化を防止するべく、固有リスクに応じたコントロールの構築が重要となる。

事業環境に応じたリスクを識別し、それを踏まえたコントロールが整備されているか、手順書の作成や定期的な自己点検などが実施されているかを監査する。

⑤管理情報の信頼性の監査

共通のプラットフォームを通じて情報が共有され、コミュニケーションを促進しているかどうかを、情報セキュリティやデータガバナンスも含めて確認することで、内部統制が有効に機能しているかを確認する。

3 おわりに

これまで見てきたように、CGコードの改訂に伴い、内部監査部門の役割、責任範囲が拡大し、よりいっそう企業価値の向上および持続的成長に資する内部監査が求められます。また、コロナ禍において海外への渡航が制限され、日本本社から海外関係会社への牽制が弱まる中、それらの企業に対してはグローバルな内部監査態勢の強化が重要となってきます。

今回紹介した経営基盤の監査は単なる一例にすぎず、まずはグループガバナンスの現状を十分に把握し、各社の実態に合わせた内部監査の機能強化に取り組むことが重要であると考えています。

※1 改訂コーポレートガバナンス・コードの公表、日本取引所グループ、2021年6月11日
https://www.jpx.co.jp/news/1020/20210611-01.html

※2 ESGを考慮したリスクマネジメントと内部監査の役割については、本誌第29号の記事「ESGを考慮したリスクマネジメントと内部監査の役割」をご参照ください。
https://www.pwc.com/jp/ja/knowledge/prmagazine/pwcs-view/202011/risk-management-audit.html

※3 3つのラインについては、本号の記事「アシュアランスマップを活用したグループガバナンスの高度化」の囲み記事「3つのラインモデル」（10ページ）も参考にしてください。

執筆者