内部監査の理解と高度化のポイント

Similar documents
[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ

内部統制ガイドラインについて 資料

CCSAスタディガイド 解説コース

Microsoft Word - 内部統制システム構築の基本方針.doc

8. 内部監査部門を設置し 当社グループのコンプライアンスの状況 業務の適正性に関する内部監査を実施する 内部監査部門はその結果を 適宜 監査等委員会及び代表取締役社長に報告するものとする 9. 当社グループの財務報告の適正性の確保に向けた内部統制体制を整備 構築する 10. 取締役及び執行役員は

第 3 章 保険募集管理態勢の整備と内部監査 法令等遵守態勢の確認検査用チェックリスト とは別に 保険募集管理態勢の確認検査用チェックリスト により検証する構成がとられています これは 保険募集に関する法令等遵守の重要性が高く また 着目すべきポイントが多岐に渡っていることを反映したものとも考えられ

JICA 事業評価ガイドライン ( 第 2 版 ) 独立行政法人国際協力機構 評価部 2014 年 5 月 1

COSOレポートの概要

品質マニュアル(サンプル)|株式会社ハピネックス

J-SOX 自己点検評価プロセスの構築

監査に関する品質管理基準の設定に係る意見書

目次 4. 組織 4.1 組織及びその状況の理解 利害関係者のニーズ 適用範囲 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 環境方針 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 環境目標

修-CIA Exam Change Handbook_FAQs_ indd

ISO19011の概要について

預金を確保しつつ 資金調達手段も確保する 収益性を示す指標として 営業利益率を採用し 営業利益率の目安となる数値を公表する 株主の皆様への還元については 持続的な成長による配当可能利益の増加により株主還元を増大することを基本とする 具体的な株主還元方針は 持続的な成長と企業価値向上を実現するための投

4 研修について考慮する事項 1. 研修の対象者 a. 職種横断的な研修か 限定した職種への研修か b. 部署 部門を横断する研修か 部署及び部門別か c. 職種別の研修か 2. 研修内容とプログラム a. 研修の企画においては 対象者や研修内容に応じて開催時刻を考慮する b. 全員への周知が必要な

<90528DB88EBF96E2955B2E786C73>

直しも行う これらの事務については 稟議規程 文書管理規程 契約書取扱規程は管理本部長が所管 情報管理規程 情報セキュリティ管理規程はコンプライアンス推進部長が所管し 運用状況の検証 見直しの経過等 適宜取締役会に報告する なお 業務を効率的に推進するために 業務システムの合理化や IT 化をさらに

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

平成 24 年 11 月 13 日 新潟縣信用組合 中小企業者等に対する金融の円滑化を図るための臨時措置に関する法律第 7 条第 1 項に規定する説明書類 第 1 第 6 条第 1 項第 1 号に規定する法第 4 条及び第 5 条の規定に基づく措置の実施に関する方針の概要 当組合は 地域に根差し 地

説明項目 1. 審査で注目すべき要求事項の変化点 2. 変化点に対応した審査はどうあるべきか 文書化した情報 外部 内部の課題の特定 リスク 機会 利害関係者の特定 QMS 適用範囲 3. ISO 9001:2015への移行 リーダーシップ パフォーマンス 組織の知識 その他 ( 考慮する 必要に応

中小企業者等に対する金融の円滑化を図るための臨時措置に関する法律

14個人情報の取扱いに関する規程

個人情報保護規定

中小企業者等に対する金融の円滑化を図るための臨時措置に関する法律第 7 条第 1 項に規定する説明書類 奄美信用組合 奄美信用組合は 奄美地区における金融の円滑化への取り組みをこれまで以上に強化するとともに その取り組み姿勢をお客様にご理解していただき 借入の条件変更等に関する ご要望 ご相談に迅速

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

平成18年度標準調査票

PowerPoint プレゼンテーション

目次 1. 一般 目的 適用範囲 参照文書 用語及び定義 内部監査 一般 内部監査における観点 内部監査の機会 監査室

平成27年規程第20号_内部統制基本方針

プロジェクトマネジメント知識体系ガイド (PMBOK ガイド ) 第 6 版 訂正表 - 第 3 刷り 注 : 次の正誤表は PMBOK ガイド第 6 版 の第 1 刷りと第 2 刷りに関するものです 本 ( または PDF) の印刷部数を確認するには 著作権ページ ( 通知ページおよび目次の前 )

ISO9001:2015内部監査チェックリスト

5) 輸送の安全に関する教育及び研修に関する具体的な計画を策定し これを適確に実施する こと ( 輸送の安全に関する目標 ) 第 5 条前条に掲げる方針に基づき 目標を策定する ( 輸送の安全に関する計画 ) 第 6 条前条に掲げる目標を達成し 輸送の安全に関する重点施策に応じて 輸送の安全を確 保

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

2016 年 基準 改訂公開草案 改訂案の内容 内部監査人協会の国際内部監査基準審議会 (IIASB) は 内部監査の専門職的実施の国際基準 ( 以下 基準 という ) の改訂に関する公開草案を発表致しました この意見募集サイトには すべての改訂箇所が記載されています すべての設問への記入にはおよそ

特定個人情報の取扱いの対応について

2. 開示すべき重要な不備 の原因分析 内部統制報告書の 開示すべき重要な不備の内容及び 理由 及び 開示すべき重要な不備の是正に向けての 方針 等の記載事項から 開示すべき重要な不備 の 主な原因を整理すると以下の通りです 制度開始以来 決算業務に係る事項 ( 決算プロセスの体制の不備 重要な決算

継続教育制度基本方針

<4D F736F F D208DBB939C97DE8FEE95F18CB48D EA98EE58D7393AE8C7689E6816A2E646F63>

< D92E8955C81698D488E968AC4979D816A2E786C73>

チェック式自己評価組織マネジメント分析シート カテゴリー 1 リーダーシップと意思決定 サブカテゴリー 1 事業所が目指していることの実現に向けて一丸となっている 事業所が目指していること ( 理念 ビジョン 基本方針など ) を明示している 事業所が目指していること ( 理念 基本方針

<4D F736F F D A8D CA48F43834B C E FCD817A E

内部監査基準

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

Sol-005 可視化とRCSA _ppt [互換モード]

JIS Q 27001:2014への移行に関する説明会 資料1

基本的な考え方/CSRマネジメント/マテリアリティ

医師主導治験取扱要覧

5. 文書類に関する要求事項はどのように変わりましたか? 文書化された手順に関する特定の記述はなくなりました プロセスの運用を支援するための文書化した情報を維持し これらのプロセスが計画通りに実行されたと確信するために必要な文書化した情報を保持することは 組織の責任です 必要な文書類の程度は 事業の

(参考資料1)ガバナンスのグローバル・スタンダードが確立するまで

金融円滑化に対する当金庫の取組状況 平成 27 年 11 月 13 日 高岡信用金庫

個人情報管理規程

PowerPoint プレゼンテーション

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

内部監査業務指示書

3 医療安全管理委員会病院長のもと 国府台病院における医療事故防止対策 発生した医療事故について速やかに適切な対応を図るための審議は 医療安全管理委員会において行うものとする リスクの把握 分析 改善 評価にあたっては 個人ではなく システムの問題としてとらえ 医療安全管理委員会を中心として 国府台

Microsoft Word - 【施行②】第50条解釈適用指針Rev4.doc

パラダイムシフトブック.indb

社会福祉法人○○会 個人情報保護規程

プライベート・エクイティ投資への基準適用

金融円滑化に関する方針 千葉銀行は 地域金融機関として 金融サービスの提供をつうじて 地域のお客さまニーズにお応えし 地域の発展に貢献する という役割 使命を果たす 姿勢を堅持してまいりました 特に 地域への円滑な資金供給をはじめとする金融仲介機能の発揮やお客さまへの経営健全化支援等による地域密着型

Transcription:

内部監査の理解と高度化のポイント 2010 年 3 月日本銀行金融機構局金融高度化センター 企画役 碓井茂樹 公認内部監査人 (CIA) 内部統制評価指導士 (CCSA) 公認金融監査人 (CFSA) E-mail: shigeki.usui@boj.or.jp Tel:03-3277-1886 1

目次 1. 今 なぜ 内部監査か 2. 内部監査とは 定義 目的 機能 要件 3. 内部監査の運営 高度化のポイント 4. まとめ 2

1. 今 なぜ 内部監査か 内部監査 内部統制に関する世間の関心が増大 内外環境の変化 競争の激化 リスクの多様化 複雑化 ステークホルダーからの要求 巨額の不祥事件 事故の発生 経営目標の達成困難化 リスク管理高度化の必要性 適時適切に説明責任を果す必要性 新たな法 規制 制度への対応 内部監査を通じたリスクの洗出しと内部統制の評価 改善 3

内部統制 内部監査の発展 海外日本 1992 年 COSO 報告書 内部統制の統合的枠組み 1998 年バーゼル銀行監督委員会 銀行組織における内部管理体制のフレームワーク 1999 年内部監査人協会 (IIA) 専門職的実施のフレームワーク 2001 年バーゼル銀行監督委員会 銀行の内部監査および監督当局と監査人の関係 2002 年米国 SOX 法 2004 年 COSO/ERM 報告書 全社的リスクマネジメント 内部監査人協会 (IIA) 専門職的実施のフレームワーク 改訂 2007 年バーゼル Ⅱ 適用 1999 年金融検査マニュアル 2001 年金融検査マニュアル一部改訂 ( 内部監査 外部監査に関する記載充実 ) 2006 年新会社法施行金融商品取引法 (2008 年適用 ) 金融検査評定制度 2007 年金融検査マニュアル全面改訂 4

( 参考 ) 内部監査人協会 (IIA:The Institute of Internal Auditors) 1941 年米国で設立 現在 90 以上の国と地域に約 250の支部を有する国際的な組織 ( 日本内部監査協会がIIA JAPAN) 会員は個人単位で登録 世界 160ヶ国で約 117,000 名に達する 主な活動 国際的なスケールでの内部監査専門職としての啓蒙活動 内部監査の実務基準の策定 公認内部監査人 (CIA) 内部統制評価指導士(CCSA) 公認金融監査人 (CFSA) などの資格認定 内部監査 内部統制および関連諸問題の世界的な知識 情報を会員および社会に普及 啓発すること 会員 その他に対して世界各国の内部監査実務に関する教育のために会議を開催すること 5

( 参考 ) 専門職的実施の国際フレームワーク (International Professional Practices Framework) 内部監査の定義倫理綱要 内部監査人が遵守すべき倫理行為規範 基準 ( 内部監査の専門職的実施の国際基準 ) あるべき内部監査の実務を反映する基本原則広範な付加価値の高い内部監査活動を実施し推進するためのフレームワーク内部監査の業績を評価するための基礎 ポジション ペーパー実践要綱実践ガイド 6

人的基準 実施基準 IIA 基準 内部監査の専門職的実施の国際基準 1000 目的 権限および責任 1100 独立性と客観性 1200 熟達した専門的能力と専門職としての正当な注意 1300 品質のアシュアランスと改善のプログラム 2000 内部監査部門の管理 2100 業務の性質 2200 個々のアシュアランスやコンサルティングの業務の計画 2300 個々のアシュアランスやコンサルティングの業務の実施 2400 結果の伝達 2500 進捗状況のモニタリング 2600 最高経営者のリスク許容についての問題解決 金融検査マニュアル 経営管理 ( ガバナンス ) 態勢 - 基本的要素 - の確認検査用チェックリスト Ⅱ. 内部監査態勢の整備 確立状況 1. 取締役会及び取締役会等における内部管理態勢の整備 確立 (1) 方針の策定 (2) 規定 組織体制の整備 (3) フォローアップ態勢 2. 内部監査部門の役割 責任 3. 評価 改善活動 (1) 分析 評価 (2) 改善活動 1 取締役の役割 責任 2 内部監査方針の整備 周知 1 内部監査規程の整備 2 内部監査実施要領の整備 3 内部監査計画の整備 4 内部監査部門の態勢整備 1 取締役会による問題点の改善 1 内部監査実施要領の策定 2 内部監査計画の策定 3 内部監査の実施 4 フォローアップ態勢 1 内部監査の有効性の分析 評価 2 分析 評価プロセスの見直し 1 内部監査態勢の改善活動 2 改善活動の進捗状況 3 改善プロセスの見直し 7

2. 内部監査 (internal audit) とは (1) 内部監査の定義 (2) 内部監査の目的 (3) 内部監査の機能 (4) 内部監査の要件 8

(1) 内部監査の定義 (IIA 1999/6 月 ) 内部監査は 組織体の運営に関し価値を付加し また改善するために行われる 独立にして客観的なアシュアランスおよびコンサルティング活動である 内部監査は 組織体の目標の達成に役立つことにある このために リスクマネジメント コントロールおよび組織体のガバナンス プロセスの有効性の評価 改善を 内部監査としての体系的手法と規律遵守の態度をもって行う Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. 9

(2) 内部監査の目的 組織体の経営に役立つこと 内部監査の定義 (IIA) におけるキーワード 内部監査は 組織体の運営に関し価値を付加し また改善するために行われる 独立にして客観的なアシュアランスおよびコンサルティング活動である 内部監査は 組織体の目標の達成に役立つことにある このために リスクマネジメント コントロールおよび組織体のガバナンス プロセスの有効性の評価 改善を 内部監査としての体系的手法と規律遵守の態度をもって行う 内部監査の目的 10

経営に役立つ内部監査とは ( 内部監査の付加価値 ) 経営陣に対し 安心感 を与える 内部統制の有効性を確認する ( 目標達成の合理的保証を与える ) 経営陣に対し 警告 を発する 未対処のリスクを洗い出す ( 目標達成の阻害要因を特定する ) 経営陣 職員に対し リスク削減 への取り組みを促す 経営陣 職員に対し 業務の改善 への取り組みを促す ステークホルダーに対し 説明責任 を果たすことを可能とする 規範 ルールの遵守 状況を確認し 違反 逸脱行為を牽制 ( 防止 抑制 ) する 11

(3) 内部監査の機能 保証機能と提言機能 内部監査の機能 内部監査の定義 (IIA) におけるキーワード 内部監査は 組織体の運営に関し価値を付加し また改善するために行われる 独立にして客観的なアシュアランスおよびコンサルティング活動である 内部監査は 組織体の目標の達成に役立つことにある このために リスクマネジメント コントロールおよび組織体のガバナンス プロセスの有効性の評価 改善を 内部監査としての体系的手法と規律遵守の態度をもって行う 12

保証機能と提言機能 内部監査には 以下の 2 つの機能がある 保証機能 ( アシュアランス ) 組織体の運営に関し リスクの評価と内部統制の有効性を検証する 提言機能 ( コンサルティング ) 組織体の運営に関し 改善を図ることを目的に カウンセリング 助言 ファシリテーション ( 注 ) 研修等を行う 多くの場合 提言機能は保証機能の延長線上にある ( 注 ) 関係者を集め 問題点の共有 対応策の協議 実行の合意を図ること 13

留意点 保証機能に加え 提言機能にどれだけ重点を置くかは 経営の考え方による 改善提案の採択 非採択に関する意思決定は経営陣 各業務部門の管理者が行う 内部監査部門は客観性を維持すべきであり 経営陣の意思決定に関与しない 監査対象部門に対し 過度に詳細に亘る助言を行うことは控えた方がよい IIA 基準 の序(2004/1 月改訂時に以下の文言を追加 ) 内部監査部門がコンサルティング サービスを実施するにあたっては 内部監査人は客観性を維持すべきであり また経営管理者としての責任を負ってはならない 14

経営として 特に期待 重視する内部監査の機能 ( 複数選択 12 項目中最大 4 項目 ) 合計 大手行 地域銀行 信用金庫 証券会社 内部管理体制 ( 注 ) のチェック 40 12 10 10 8 不正 事務ミスの発見 摘発 17 2 5 8 2 資産査定 償却の適切性のチェック 15 7 3 5 0 事務プロセスの適切性のチェック 14 3 4 5 2 経営方針の遵守状況のチェック 12 6 2 3 1 経営への提言 24 9 5 4 6 回答先 40 12 10 10 8 ( 注 ) リスク管理 コンプライアンスを含む 日本銀行 わが国金融機関の内部監査の現状について (2007/6) 15

(4) 内部監査の要件 1 目的 権限 責任の明確化 2 独立性と客観性の確保 3 専門的能力の確保 4フォローアップによる改善の促進 IIA 基準 金融検査マニュアル 16

(4) 内部監査の要件 1 内部監査の目的 権限 責任の明確化 内部監査方針 内部監査規程を策定し そのなかで 内部監査の目的 権限 責任を明確にする 経営陣は 内部監査方針 内部監査規程を承認する このことを通じて 内部監査部門に 組織上の地位 権限が与えられる 経営陣と 内部監査のミッションについて十分に話し合って文書化することが重要 17

(4) 内部監査の要件 2 独立性と客観性の確保 内部監査部門は 組織上 独立していなければならない 経営陣に対する直接の報告ラインを確保する必要がある 内部監査人は 公正不偏の態度を保たなければならない 外見上の関係も含め 独立性 客観性が侵害されている とみなされる事態を回避する必要がある 独立性 客観性の確保は 内部監査に対する信頼の源であり 監査対象部署の協力を取り付けるためにも必要不可欠 独立性 客観性が侵害された場合は 組織内に開示し 弊害防止措置を講じる 18

独立性 客観性の侵害事例 以下のような場合 独立性 客観性が侵害されている とみなされる 内部監査部門長 ( 役員 部長 ) が他部門を兼担する 内部監査部門長は 兼担部署の監査に係る事前協議 実施 結果報告について ライン責任者として関与してはならない 内部監査人が 直前に従事していた業務の監査を行う IIA 基準では 直前 の定義について 1 年以内 と例示 ( 金融検査マニュアルでは期間に関する明示なし ) 19

(4) 内部監査の要件 3 専門的能力の確保 内部監査人は 従事する監査の遂行に必要な知識 技量 専門的能力を身に付けていなければならない 内部監査部門全体としては すべての業務分野の監査の遂行に必要となる監査資源 ( 要員数 専門的能力 ) を確保しなければならない 監査資源が不足する場合には 外部専門家へのアウトソースや外部専門家との共同監査 ( コ オーディット ) を検討する 内部監査部門長は 監査計画 ( 中期 短期 ) を策定するなかで 必要となる監査資源 ( 要員数 専門的能力 ) を見積もって経営陣に報告する 経営陣は 監査計画および監査資源の手当方法について承認する 20

内部監査人に求められる専門的能力 リスクを識別する コントロールの有効性を評価する プロセスの改善を促す ( 知識 ) ( ヒューマンスキル ) 監査基準 監査手続 監査技術 内部統制のフレームワーク 会計 財務 税務 法律 制度 バーゼル Ⅱ システム ビジネスモデル 金融工学 リスク計測手法等 情報収集能力 問題発見能力 原因分析能力 改善提案能力 コミュニケーション能力 21

総職員に対する内部監査部門の職員の比率 今回 :2007/3 月前回 :2002/6 月 最大値最小値平均値 今回前回今回前回今回前回 全業態 4.0% 0.3% 1.2% 大手行 地域銀行 4.0% 2.0% 0.5% 0.5% 1.4% 1.0% 日本銀行 わが国金融機関の内部監査の現状について (2007/6) 22

外部専門家の活用 ( アウトソースの事例 ) 海外拠点の内部監査 アウトソース コ オーディットにも内部監査部門長は責任を負う 内部監査部門のアウトソーシング ( コ オーディットの事例 ) システム監査 リスク計量化技法 モデルの監査 SOX 法対応運用テスト 合計大手地域信金証券 内部監査業務の全部又は一部をアウトソースしたことがある 14 7 0 3 4 回答先 40 12 10 10 8 日本銀行 わが国金融機関の内部監査の現状について (2007/6) 23

(4) 内部監査の要件 4 フォローアップによる改善の促進 監査部門は 監査対象部署の改善状況をフォローアップして 経営陣に報告する 監査部門は PDCA サイクル が円滑に廻るように促す Action 経営陣 Plan 管理者 Check 担当者 Do 24

フォローアップ実施のポイント 組織全体で PDCAサイクルを回すためには 内部監査の指摘事項と改善状況に関するフォローアップに対する経営陣の関与は不可欠 リスク管理部門と内部監査部門が役割を分担しながら 連携する体制を整備することが重要 内部監査部門 客観的な立場からの不備指摘 リスク管理部門 改善に向けた詳細な助言 指導 25

フォローアップへの経営陣の関与 フォローアップ会合 経営陣 対応状況の定期報告 四半期に 1 回 経営陣に直接報告 問題点の指摘 改善指示 内部監査部門 ( 場のセッティング ) 関係部署 A 監査対象部署 関係部署 B 26

リスク管理部署との連携 監査終盤での意見交換会 (WS) の開催指示 営業店 ( 監査対象部署 ) 関係本部 A 経営陣 内部監査部署 ( ファシリテーター ) 対応策の協議結果対応状況の定期的なフォローアップ リスク管理部署 ( 改善指導部署 ) 関係本部 B 問題点の共有 対応策の協議 実行の合意 27

内部監査指摘事項のフォローアップの扱い ( 複数選択 ) 合計大手地域信金証券 改善計画を作成させている 40 12 10 10 8 改善計画には対応期限を付している 39 12 10 9 8 対応状況を定期的に書面報告させている 33 12 9 6 6 対応状況を取り纏め 定期的に取締役会 経営会議等に報告している 必要に応じて 立ち入りを行い 対応状況を検証している 次回の内部監査において対応状況を検証している 24 12 4 3 5 26 9 6 6 5 39 12 10 10 7 回答先 40 12 10 10 8 日本銀行 わが国金融機関の内部監査の現状について (2007/6) 28

3. 内部監査の運営 : 高度化のポイント (1) リスクベース監査の実践 (2)CSAの活用 (3) 内部統制フレームワークの共有 (4) 内部監査の品質評価 改善 29

固有リスク影響度(1) リスクベース監査の実践 リスクベース監査とは 多様化 複雑化する業務を有効かつ効率的に監査するため 相対的にリスクの高い分野に より多くの監査資源を投入する手法 残余リスク 大 小 統制リスク / 脆弱性 コントロール 予防的 発見的 指揮的 3 4 5 2 3 4 1 2 3 大影響度小 低高発生可能性 : リスク事象 低高発生可能性 30

業務の多様化業務の複雑化 業務の多様化 複雑化に悉皆的に対応しようとすると 監査資源の投入を大幅に増やさなければならない 対象業務 監査資源 ( 現状 ) 監査資源 ( 拡充後 ) リスク事象新規リスク事象 業務の専門性 31

業務の多様化業務の複雑化 監査資源には限界があるため リスクベースで投入 配分するのが有効かつ効率的 対象業務 監査資源リスク事象新規リスク事象 業務の専門性 32

経営陣と内部監査部門のリスク認識の共有 経営陣と内部監査部門は 同じ視点でリスクを捉える ことが重要 経営陣と内部監査部門長のリスク認識の共有 内部監査方針 計画策定に際しての経営陣の関与 経営陣と内部監査部門が 定期的に協議の場を持つ 金融機関が増加 経営にとって重要なリスクとは何か 33

34 リスク評価年度監査計画個別監査計画監査通知予備調査監査プログラムの作成実地監査監査報告書フォローアップ品質評価と継続的改善 1 2 3 4 5 6 7 8 9 10 監査対象の決定 見直しリスク評価年度監査計画個別監査計画監査通知予備調査監査プログラムの作成実地監査監査報告書フォローアップ品質評価と継続的改善 1 2 3 4 5 6 7 8 9 10 監査対象の決定 見直しリスク評価年度監査計画個別監査計画監査通知予備調査監査プログラムの作成実地監査監査報告書フォローアップ品質評価と継続的改善 1 2 3 4 5 6 7 8 9 10 監査対象の決定 見直しリスク評価年度監査計画個別監査計画監査通知予備調査監査プログラムの作成実地監査監査報告書フォローアップ品質評価と継続的改善 1 2 3 4 5 6 7 8 9 10 監査対象の決定 見直し経営陣内部監査部署協議 : 経営にとって重要なリスクは何か

35 リスク評価年度監査計画個別監査計画監査通知予備調査監査プログラムの作成実地監査監査報告書フォローアップ品質評価と継続的改善 1 2 3 4 5 6 7 8 9 10 監査対象の決定 見直しリスク評価年度監査計画個別監査計画監査通知予備調査監査プログラムの作成実地監査監査報告書フォローアップ品質評価と継続的改善 1 2 3 4 5 6 7 8 9 10 監査対象の決定 見直しリスク評価年度監査計画個別監査計画監査通知予備調査監査プログラムの作成実地監査監査報告書フォローアップ品質評価と継続的改善 1 2 3 4 5 6 7 8 9 10 監査対象の決定 見直しリスク評価年度監査計画個別監査計画監査通知予備調査監査プログラムの作成実地監査監査報告書フォローアップ品質評価と継続的改善 1 2 3 4 5 6 7 8 9 10 監査対象の決定 見直し リスクベース監査においては リスク評価と予備調査が重要な役割を果たす 内部監査の基本的な流れ

監査資源の重点配分 ( 監査計画の策定 ) リスク評価に基づいて 内部監査部門全体のマンパワー ( 投入人員 日数 ) を どの監査対象に重点配分するかを決定する ( 前頁 1 2) 質 量の点で 内部監査部門全体のマンパワーが不十分なときは 増員 要員の育成を検討するほか 外部専門家の活用 ( アウトソース コ オーディット ) も検討する ( 監査プログラムの作成 ) 監査通知後 監査対象部署の予備調査を行う 予備調査に基づいて 監査チームのマンパワー ( 投入人員 日数 ) を どの監査要点に重点配分するかを決定する ( 前頁 5 6) リスクベース監査では 予備調査を行うため 内部監査実施の 予告 が前提となる 36

リスク評価の活用状況 (1 項目選択 ) 合計 大手行 地域銀行 信用金庫 証券会社 立入監査の 頻度 および 深度 ( 投入人員 日数 ) 決定にリスク評価を活用 17 8 4 1 4 立入監査の 頻度 決定にリスク評価を活用 11 4 3 1 3 立入監査の 深度 ( 投入人員 日数 ) 決定にリスク評価を活用 4 0 1 3 0 リスク評価は活用していない 8 0 2 5 1 回答先 40 12 10 10 8 日本銀行 わが国金融機関の内部監査の現状について (2007/6) 37

リスクベース監査の実践事例 1 本部 営業店とも 拠点別にリスク評価を実施し 内部監査の計画を策定 リスクが大きいと認められた本部各部の内部監査を 原則 年 1 回の頻度で実施 営業店の内部監査については 原則 監査結果が不芳の店は年 1 回 それ以外の店は3 年に1 回の頻度で実施 監査要点についても リスクベースで絞り込みを行う 38

リスクベース監査の実践事例 2 本部はリスクカテゴリー別に また 営業店は拠点別に それぞれリスク評価を実施し 内部監査計画を策定する 本部の内部監査は リスクカテゴリー別に 組織横断的に実施する このとき リスクが大きいと認められた監査要点の実施頻度を高める 営業店の内部監査は 実施頻度や監査要点にメリハリを付けて行う 営業店の監査結果については 各リスクカテゴリーの管理体制を評価する中で 監査証拠として活用する 39

リスクベース監査の実践事例 3 本部はテーマ別に また 営業店は拠点別に それぞれリスク評価を実施し 内部監査計画を策定する 監査テーマは 年度初及び期中に見直しを実施 リスクが大きいと認められた監査テーマの優先度を高める 営業店の内部監査は テーマ別監査の中に組み込んで実施頻度や監査要点にメリハリを付けて行う テーマ別の内部監査で検証を実施した業務 拠点をマトリックスにして管理する 星取り表 を作成し 一定期間内に監査を網羅的に実施していることを確認する 40

リスクベース監査の限界 問題点と補完措置 リスクベース監査の限界 問題点 リスク評価 予備調査が適切に行われない場合 リスクを見落とす惧れがある 影響が軽微と判定されると 監査周期が長期化する 監査周期が長期化すると 新たな重大なリスクが看過される可能性がある リスクベース監査の補完措置 オフサイト モニタリング を強化し リスクの状況の変化を見逃さないようにする 一定周期で監査を行う サイクル監査 や 抜き打ち監査 と併用し 牽制効果を高めることも検討の余地 CSAを活用して リスク評価 予備調査の精度を上げる 41

オフサイト モニタリング 前回監査の重要指摘への対応状況 自店検査 自己点検の結果 CSA の実施結果 事件 事故 事務ミスの発生状況 苦情 顧客トラブルの発生状況 異例取引の発生状況 事務量の変化 人員配置 異動 採用 退職状況 各種会議へのオブザーバー出席 各種報告を求め フォローアップする 重要指標の推移をみる 経営情報の入手に努める 42

サイクル監査 and/or 抜き打ち監査との併用 リスクベース監査による監査周期の長期化を避けるため 全部門を短い周期 ( 例えば1 年 1 回 ) で監査する サイクル監査 と併用するのも有効 また リスクベース監査では事前予告が前提となるため 抜き打ち監査 と併用すれば 牽制効果が高まる 但し いずれの場合も 監査資源を効率的に活用するように 監査要点を重要リスクに限定するなどの工夫が必要 サイクル監査 抜き打ち監査 では パトロールによる予防 抑制の効果 を最大限に引き出すのがポイント 43

(2)CSA(Control Self-Assessment) の活用 金融機関では 様々な目的でCSAの導入が進んでいる 内部監査の各段階において CSAを活用することにより内部監査の実効性を高めることが可能 CSA の目的 CSA の対象 CSA 依頼 取纏め CSA 実施 CSA の形式 内部監査計画の策定全業務内部監査部門全部門質問書 全社的リスク マネジメント (ERM) 市場リスクに係る内部監査計画の策定 内部監査の問題点の共有と対応策の協議 実行合意 全業務リスク統括部門全部門 市場リスク関連業務内部監査部門市場部門 オペリスクの管理オペリスク関連業務オペリスク統括部門関係部門 システムリスクの管理全システムシステム部門関係部門 J-SOX 対応 J-SOX 対象業務経理部門関係部門 ワークショップ or 質問書 質問書 質問書 質問書 質問書 当該監査対象業務内部監査部門関係部門ワークショップ 44

( 参考 )CSA とは : 起源と発展 CSAは 1987 年 Gulf CANADAの内部監査チームによって開発された手法 同社では 内部監査部署が各業務部署のマネージャーやスタッフを集めて 10 年間で500 回以上のワークショップを開催 各業務に従事する当事者がリスクの識別とコントロールの有効性を評価し プロセスの改善に取り組んだことで大きな効果を上げた 不祥事件の多発やリエンジニアリング 総合品質管理 (TQM) の推進などを背景に 組織 業務の再構築を図る動きが広がるようになると CSAは内部統制ツールとして多くの企業 組織体で導入され 様々なバリエーションが生まれた 45

内部監査の支援 効率化ツールとしての CSA コントロールの評価 内部監査のコントロールの有効性の評価に活用 リスク コントロールの評価 内部監査計画策定時のリスクアセスメントに活用 内部監査の監査要点の絞り込みに活用 関係者間で 問題点の共有 対応策の合意 実行に活用 内部統制ツールとしての CSA リスク コントロールの評価 リスクマネジメントや業務プロセスの改善に活用 組織体の戦略 目的の達成を支援する 1980 1990 2000 1972 年ウォーターゲート事件 不祥事件の多発 2001 年エンロン事件 組織業務の再構築 ( リエンジニアリング TQM の推進 ) 1987 年 Gulf CANADA が CSA を開始 1992 年 COSO レポート 2002 年 SOX 法成立 2004 年 COSO-ERM 46

CSA の対象範囲 ( イメージ図 ) 全業務 全部門 -CSA ハイレベル 対象リスク 詳細レベル JSOX-CSA オペリスク -CSA リスク事象 対象業務 部門 リスクカテゴリー 47

48 リスク評価年度監査計画個別監査計画監査通知予備調査監査プログラムの作成実地監査監査報告書フォローアップ1 2 3 4 5 6 7 8 9 CSA: 全部門 全業務のリスク評価 CSA: 監査要点の絞り込み CSA の検証 : ギャップ分析 CSA: ワークショップ ( 講評会等 ) CSA: 定期更新 CSA の活用ポイント

内部監査と CSA の関係 全業務 全部門に亘るハイレベルの CSA は 内部監査計画策定のリスク評価に活用可能 業務 部門 リスクカテゴリーを限定した詳細レベルの CSA は 監査要点の絞り込みや 監査プログラムの策定に活用可能 CSA は 実地監査で検証されることを通じて その精度が向上する セルフチェックの弱い分野に監査資源を投入することにより リスクベース監査の実効性を高めるとともに その効率化を図ることができる 49

CSA の活用事例 1 内部監査部門が 業務に精通していない本部各部に対して リスク コントロールマトリックスの作成を依頼 担当部署による自己評価の結果を内部監査計画や監査プログラムの策定に活用 項目 リスク内容 固有リスク管理プロセス残余リスク 影響度発生頻度評価有効性の評価影響度発生頻度評価 50

CSA の活用事例 2 内部監査部門が CSAの結果を利用して 個別監査プログラムを策定 実地監査で CSAを検証 CSAと監査結果を対比して経営陣に報告 監査プロ CSA グラムの 監査実施 監査報告 策定 CSA と監査結果のギャップ分析 51

CSA の活用事例 3 営業店のリスク認識 行動規律の徹底を促す観点から 営業店 CSAに取り組む金融機関が増加 各営業店が 内部監査や自主点検などを通じて自ら改善を要すると判断した業務プロセスを評価対象に選定 各営業店が自ら 改善策を策定し 定期的に所管のリスク管理部署に改善状況を報告する CSA 評価 ( 問題点 ) コントロール 進捗状況 強化策 〇月 〇月 〇月 取組結果 本部評価 52

(3) 内部統制フレームワークの共有 最終的に内部監査が効果を上げるには 監査対象部署の理解と改善への取り組みが必要 内部統制フレームワークを組織内で共有することによって 内部監査の指摘事項について関係者の理解が深まり 組織全体で改善に向けた前向きな取り組みが促される 対応策 Action 経営陣 Plan 内部監査部門 問題点の認識共有 管理者 監査実施 Check 担当者 Do PDCA サイクルの基礎 内部統制フレームワーク 53

内部統制フレームワークの共有事例 1 大手行 地銀上位行等では 監査報告書を内部統制の構成要素にしたがって記載する先が増加している - 業務が多様化する中で 経営陣 ( とくに監査委員会 社外取締役等の外部者 ) から要請されるケースが増加 目的構成要素COSO キューブ 業務活動 モニタリング 情報および伝達 統制活動 リスク評価 統制環境 財務報告 法令遵守 ユニット A ユニット B アクティビティ -1 アクティビティ -2 監査報告書講評 評価項目 ( 評価の視点 ) 統制環境 リスク評価 統制活動 情報および伝達 モニタリング 54

内部統制フレームワークの共有事例 2 日頃 職員が参照する機会の多い 規程 マニュアル類 と プロセスフロー図 リスク コントロールマトリックス を一体化する動きがみられる - これら 3 点セット を電子化し 常時 行内ネットワークで閲覧可能な体制を整備 これら 3 点セット を活用して CSA を実施 各業務に従事 する役席 担当者のリスク認識 内部統制への意識の向上を図る 55

3 点セット の電子化 共有 規程 規程 マニュアル マニュアル 3 点セット の電子化 共有 プロセスチャート図 リスク コントロールマトリックス 56

(4) 内部監査の品質評価 改善 内部監査の品質の維持 向上を図るため 内部監査の実効性を評価 分析し 必要に応じて改善を図る体制を整備する IIA 基準 1300- 品質の保証 改善プログラム 内部監査部門長は 内部監査部門にかかるすべての問題を網羅し その有効性を継続的に監視する品質の保証 改善プログラムを作成し 維持しなければならない このプログラムは 定期的な内部および外部の品質評価と 内部での持続的な監視を含まなければならない それぞれのプログラムは 内部監査部門が組織体の運営に価値を付加し また改善することに役立ち 内部監査部門が基準および 倫理綱要 を遵守していることの保証を与えるように設計されなければならない 57

内部評価と外部評価 内部評価 ライン責任者による監査報告書 調書のチェック ライン外のレビュアーによる監査報告書 調書の 定期的評価 監査対象部署によるアンケート調査の実施 外部評価 外部専門家による定期的評価 外部専門家による自己評価の定期的検証 IIA 基準では 少なくとも 5 年に 1 回の外部評価の実施を求めている 58

4. まとめ - 内部監査の実効性を高めるには (1) リスクベース監査の実践 - リスクベース監査を実践するには リスク評価と所要監査資源の見積もりが不可欠 - オフサイト モニタリングについても強化する必要 (2)CSA の活用 - セルフチェックを通じて自発的な改善への取り組みを促す - 内部監査は セルフチェックの弱い分野にフォーカスして効率化 (3) 内部統制フレームワークの共有 - 監査対象部署と 問題点を共有し 対応策を協議し易い環境を整えることも重要 (4) 内部監査の品質評価 改善 - 内部評価と外部評価の組み合わせにより 内部監査の品質向上を図る 59

本資料は日本内部監査協会における研修会の講義資料の一部を利用して作成したものです 本資料に記載している内容について 他の公表物に転載 複製する場合には あらかじめ日本銀行金融機構局金融高度化センターまで連絡し 承諾を得て下さい 本資料に掲載されている情報の正確性については万全を期しておりますが 日本銀行金融機構局金融高度化センターは本資料の利用者が本資料の情報を用いて行う一切の行為について 何ら責任を負うものではありません 60

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック