内部監査について
内部監査の意義
今日は、メモ書き程度に、自分がこれまで携わってきた「内部監査」という仕事について書いていきたいと思います。
大前提として、内部監査という機能ですが、上場を目指す会社においては、内部監査体制の構築は、必ず行わなければならない事項です。理由としては、会社に自浄能力を持っていることを示す為であり、客観性を持っていることを示すためでもあります。
私が、内部監査という仕事に従事することになったのも、上場準備をしている会社に入ったからで、
もし、上場をしないのであれば、業務監査を行う内部監査はあってもなくても構いません。
では、なぜ、上場審査では、内部監査の機能を会社が有していることを重視するのでしょうか?
上場企業に求められること
皆さんは、上場している会社にどんなイメージがありますか?
売上が大きい。儲かってる。こんなイメージと同様に、内部管理体制がある程度しっかりしている会社であるイメージがあると思います。
ですので、内部管理体制については、最低限「これだけは」出来ていなければ、しっかりしていると評価されないラインというものが”暗黙の了解”として存在します。
では、最低限「これだけは」とはどんなことでしょうか?
これは、「自己管理がしっかり出来ている人」と同じようなことを求めれば大丈夫です。
自己管理が出来ている人というのは、PDCAを回して業務に取り組めている人だと思います。
では、これを会社に当てはめると、
① 経営理念があり、長期ビジョンがあり、中期経営計画があり、年度予算がある=計画(Plan)できる
② 数字が出ている=実行力がある(Do)
③ 内部監査を行っている=チェック機能がある(Check)
④ 対策している=監査指摘事項が期中改善されている(Action)
ということになります。
これらは、J-SOXへの対応準備(全社的な内部統制)でも問われる事項です。
J-SOXでは、内部統制においては、統制環境・統制活動・モニタリング・情報と伝達・リスクの評価と対応・ITへの対応という6つの基本的要素からなるとされています。
これらの構成要素をPDCAに分けてみると、
① 統制環境&リスクの評価と対応は、計画(Plan)についてのこと
② 統制活動は、実行(Do)について
③ モニタリングは、検証(Check)について
④ 情報と伝達は、対策(Action)について
となります。
つまり、上場会社に求められる、最低限「これだけは?」とは、このPDCAのサイクルが回っていることを示すことになります。
