内部監査態勢の構築・高度化支援(海外・グループ会社含む)
PwCは、チェックリストとローテーションで行う従来の伝統的な準拠性監査から脱却し、最新のアプローチ、フレームワーク、テクノロジーを活用することで、経営基盤に着目した内部監査態勢を構築・高度化することを総合的に支援します。
なぜ内部監査態勢の高度化が必要なのか
グローバル化の進展や地政学リスクの高まり、対応すべき環境・社会問題の多様化、AIをはじめとするテクノロジーの進化に伴い、前例のない規模で複雑なリスクが次々に発生しています。このように多様なリスクへの対応が求められる環境下においては、企業は内部監査態勢を高度化させ、グループを総合的かつ機能的に管理する必要があります。
伝統的な内部監査では、現状のガバナンス・リスク管理・統制プロセスに対する評価としての「組織価値の保護」に重点が置かれていました。しかし今日の内部監査は、経営戦略の執行状況ならびに、将来の統制プロセスやその他のプロセスに対する評価としての「組織価値の向上」に着目することが求められるようになっています。
また日本では、2021年6月11日に「改訂コーポレートガバナンス・コード」(以下、「改訂CGコード」)」が公表されました。改訂CGコードでは、取締役会の機能発揮、企業の中核人材における多様性の確保、サステナビリティを巡る課題への取り組みなどの改訂が行われ、上場企業のガバナンス強化への取り組みに大きな影響を及ぼしています。
翻って、ガバナンス強化の一翼を担っている内部監査に関しても、これらの改訂の影響は大きく、今後ますます監査部門に求められる役割や責任範囲が増えていくと考えられます。
従来の内部監査における課題
従来の内部監査では、以下のような課題が見受けられます。
- リスクとフォーカスすべき領域が明確となっておらず、チェックリストをベースとした準拠性監査をローテーションで決められた拠点に対して実施しているため、効果的、効率的な内部監査が行われていない。
- 例年どおりの証憑を「監査人の勘」や定量的な側面のみをベースとして確認するなど、伝統的なアプローチで監査を実施しているため、真にリスクの高い領域、サンプルが評価されていない。
- 第2線のモニタリング機能が弱く、内部監査部門が第3線として本来の役割を果たせていない。
高度化した内部監査とは
1. グローバル内部監査体制のモデルの構築
グループ全体の第1線・第2線の成熟度や、グループ会社の内部監査成熟度に合わせたグループにおける内部監査体制を実現
2. リスクベースのアプローチ
リスクの洗い出し、重要性の検討、簡易アシュアランスマップ*の策定などを通じて、重要なリスクへの対応状況を整理し、年度内部監査計画や個別監査計画などへのプロセスを改善
*リスクと関連する3ラインのアシュアランス活動との関係を整理した一覧表であり、アシュアランス活動の役割・責任を明確化
3. 3ラインモデル
3ラインモデル*を骨格とし、第2線と第3線の役割分担を明確にしたうえで、第2線の機能強化を支援し、第3線の独立性を確保
*COSO(Committee of Sponsoring Organizations of the Treadway Commission:トレッドウェイ委員会支援組織委員会)の「内部統制の統合的フレームワーク」において示されている、3つのラインの役割を明確にすることで、組織のコントロールとリスク管理を十分に機能させ、企業価値の創造につなげる考え方
4. デジタルの導入
DXツールやAIを活用し、デジタル化による効率性の高い内部監査を実現
PwCの支援
1. グローバル内部監査体制のモデルの構築
- グローバル内部監査体制の高度化
- 組織規模が大きく、グローバルに事業を展開している企業の多くが、どのような体制でグローバル監査を実施するかという悩みに直面しています。特に、買収した企業の内部監査体制が成熟している場合などには、本社が重複して内部監査を実施するよりも、その子会社に内部監査を委任するほうが効果的かつ効率的である場合もあります。
- 内部監査体制は、監査対象のグループ会社の内部監査機能(場合によってはエリア統括の内部監査機能)の成熟度および本社の内部監査機能の関与程度によって、①直接監査を実施、②共同で監査を実施、③監査対象のグループ会社の内部監査結果に依拠、の3つに大別できます。
- 本社の内部監査機能は、基本的に①②③の順に必要な工数が少なくなりますが、現状の組織体制と内部監査機能の成熟度を考慮し、どのアプローチをとるか、もしくはどのアプローチを融合させるかを判断することが効果的です。
- PwCは、クライアントのグローバルでの売上比率や拠点数、経営方針、グループガバナンスの現状などを十分に把握した上で、最適な内部監査体制を提案します。
2. リスクベースのアプローチ
- リスクの洗い出し、重要性の検討、アシュアランスマップの策定を通じて、クライアントにとって重要なリスクへの対応状況を整理し、年度内部監査計画や個別監査計画などへのプロセス改善へつなげるアプローチを提案します。
1. リスクライブラリの作成
事業理解・中期経営計画などにより、組織体に影響を及ぼすリスクを網羅的に洗い出します。
2. アシュアランスマップの策定
どの部門がどのようなアシュアランス活動を行っているか情報収集し、第2線での統制活動と第3線での内部監査活動のマッピングを行います。
グループ全体のアシュアランス活動を整理するアシュアランスマップを活用することにより、監査による内部統制システムのアシュアランスに必要となる要件を検討し、内部監査対象領域を明確化します。
No. |
視点 |
何をすべきか |
1 |
アシュアランスの死角はないか |
誰がアシュアランスすべきか、会社全体のアシュアランスを俯瞰して、関連する第1線・第2線と議論する。 グローバル組織に整合したアシュアランスを提供できているか、監査対象・スコープを確認する。 |
2 |
アシュアランスの重複はないか |
スコープが重複する場合、棲み分けができているか確認する。 |
3 |
必要な報告先に情報を提供できているか |
発見した課題を各ライン間で共有し、横展開すべき視点がないか検討する(リスク低減への貢献)。 |
4 |
アシュアランスに必要な情報を入手できているか |
監査先を含む他部署が行ったモニタリング、レビュー、監査結果などを入手し、監査先の状況を事前に把握・分析する。 |
5 |
第3線がフォーカスすべきリスクは何か |
第2線のモニタリング・監査でどのような課題が挙げられているのかを把握・分析する。 第2線がカバーできていないリスクを識別する(#1に関連)。 |
3. オーディットユニバースの策定
リスクライブラリの中から、第1線・第2線からの情報収集(ボトムアップアプローチ)、経営者目線のリスク評価(トップダウンアプローチ)を行い、監査対象リスクの一覧(オーディットユニバース)を策定します。
オーディットユニバースの例
| No. | 監査対象リスク |
リスクの内容 |
1 |
会計・税務 |
不適切な会計処理により当社決算が歪められるリスク、不適切な税務処理により脱税となるリスク |
2 |
情報開示 |
社内広報、財務諸表、CSR報告書、リリース情報などの開示や風評被害への対処にあたり、不適切または不明瞭な開示の内容や公開時期の遅れなどが当社への信頼を毀損し、経営や業務遂行に影響が生じるリスク |
3 |
与信・債権管理 |
取引先に対する与信管理が徹底されていないことにより、資金回収の遅延や貸し倒れが発生するリスク |
4 |
事業資産 |
事業に必要な建物、設備、土地、在庫などの資産が管理の不備により継続使用できない、所定の機能を発揮できないといった事態が発生し、経営や業務遂行に影響が生じるリスク |
4. オーディットユニバースをベースとした年度監査計画の策定
5. 監査拠点の選定および監査計画への反映
オーディットユニバースをベースとし、事業、地域固有のリスクを加味した監査拠点の選定および監査計画への反映により、リスクベースでの監査を実現します。
6. 3ライン間のコミュニケーションの促進による効果的なアシュアランスの提供
内部監査の計画段階におけるスコープの検討、アシュアランス活動で発見された課題を共有する場の構築を促進し、第1~第3線のコミュニケーションを促進します。
経営者によるリスク対応状況を俯瞰的に確認し、アシュアランス活動に関するノウハウ・知見を集約することで、指摘事項と提言事項の品質を向上させます。また、他部門からリソース(専門知識)の提供を得ることで、より効果的なアシュアランス業務を最適な形で提供可能な態勢の構築を支援します。
3. 3ラインモデル
- グループ内部監査態勢の検討
第1~第3線の体制を3ラインモデルに沿って整理することで、第3線である監査部の独立性を確保することが可能になります。
現状のグループ全体の第1線・第2線の成熟度や、地域ごと、グループ会社ごとの内部監査成熟度を整理します。
また、前述のアシュアランスマップを用い、第1線での事業活動、第2線での統制活動と第3線での内部監査活動をマッピングすることで、より効果的かつ効率的なアシュアランスの提供が可能となるグループ内部監査態勢を検討します。
4. デジタルの導入
- 内部監査のデジタル化とAI技術
近年、DXは企業経営における不可欠な要素と位置付けられ、ガバナンス、リスクマネジメント、コンプライアンスならびに内部監査の領域にも大きな影響を与えています。
監査人が契約書などの証憑を目視で確認する、いわゆる人海戦術による伝統的な監査手法では非常に手間がかかり、誤りが生じることも懸念されます。データ分析およびAIの活用により監査人の手作業を減らし、より効果的・効率的な監査手法を検討します。
特に最近のトレンドとして、大規模言語モデルをはじめとする生成AI技術は飛躍的に進展しており、GRCおよび内部監査に係る業務においても変革が期待されている一方で、自社への導入、活用、運用についてはいまだ未定であるという声が多く聞かれます。
PwCでは生成AIのリスクと内部監査領域への導入に向けたアプローチに習熟したプロフェッショナルが、内部監査のデジタル化、内部監査領域へのAI技術の導入を支援します。
