内部監査の重要な構成要素の1つとして、フォローアップ監査があります。

フォローアップ監査は、通常の内部監査と異なる点が何点かありますが、具体的にどのような違いがあり、どのように実施すれば良いかイメージしにくい部分もあるかと思います。フォローアップ監査を適切に実施することができると、監査対象部門に対する指摘事項への改善を促進させることができますので、しっかりと理解して実施することで、監査対象部門にさらなる価値を付加させることができます。

では、フォローアップ監査はどのように行えば良いのでしょうか。

本記事では、IPPFに準拠したフォローアップ監査について振り返りながら、フォローアップ監査の「準備編」と「実施編」に分けた上で、それぞれ深く解説します。フォローアップ監査については、公認内部監査人の試験範囲にも大きく関わってくる内容となりますので、公認内部監査人の学習をされている方の参考資料としてもご活用頂けるよう、なるべく具体的に分かりやすく解説させて頂きます。フォローアップ監査について理解を深めたい方や公認内部監査人(CIA)の勉強をされている方などは、是非とも参考にしてください。

目次
フォローアップ監査について
準備編：フォローアップ監査を始める前にやっておくべきこと
実施編：フォローアップ監査をどのように実施すべきか
基準に準拠したフォローアップ監査を実施しよう

フォローアップ監査とは、内部監査の中で発覚した改善すべき項目に対し、その後、監査対象部門がどのような是正措置を行っているかを監査するものです。特に、是正措置の進捗状況や改善目安時期などに注目し、必要とあれば、現地に行って観察することもあります。

フォローアップ監査は、監査報告書を配布した後に一定時期を経て行うため、一連の内部監査業務の流れで言うと、一番最後の段階に実施する監査となります。内部監査の専門職的実施の国際基準 2500番台「進捗状況のモニタリング」によると、「内部監査部門長は、経営管理者へ伝達された内部監査（アシュアランスおよびコンサルティング）の個々の業務の結果について、その対応状況をモニターする仕組みを確立し、維持しなければならない。」とありますので、仮にフォローアップ監査を実施しない場合であっても、いつでもフォローアップ監査を実施できるよう準備しておかなければ、基準に準拠しているとは言えません。

参照：内部監査の専門職的実施の国際基準

基準に準拠するためには、いつでもフォローアップ監査を実施できるように準備しておかなければなりませんが、具体的にどのような準備をするべきなのかについて解説します。この段階はあくまで準備段階ですので、おおよそ出来ていれば問題ないと判断して頂いて構いません。

業界や会社の状況によって異なる部分もありますが、共通していると言える項目として、大きく2点あります。

1点目は、「改善すべき項目に対する細分化」です。フォローアップ監査の大きな目的は、監査対象部門が改善すべき項目を適切に改善することですが、通常の内部監査との違いとして、改善に赴きを置いている点が特徴となります。そのため、改善すべき項目について細分化し、適切な保証や助言ができるようにしておかなければなりません。

細分化の例としては、例えば、以下のような分け方があります。

①その改善すべき項目は、全社レベルの問題であるか、部門単位レベルの問題であるか。

②監査対象部門だけで改善できるものなのか。

③全社レベルの問題である場合、経営幹部や取締役会などの協力がどこまでの範囲で必要なのか。など

大切なのは、監査対象部門がどこまでの是正措置を取っている状態が理想なのかを行動単位で細かく分析しておくことです。特に、②の「監査対象部門だけで改善できるものなのか」という細分化については、これを怠ってしまうと、監査対象部門だけでどこまでの範囲なら是正できるのかが分からない状態でフォローアップ監査を行うことになります。

但し、あくまで準備段階での実施となりますので、完全な細分化は難しいものの、予備調査と同じ要領で、可能な範囲内で細分化ができていると、フォローアップ監査では効率的に重要なポイントだけを行うことができます。

まずは無料の説明会にご参加ください。

2点目は、「改善すべき項目に関連するインプット」です。これはフォローアップ監査のコンサルティング業務において、特に役に立ちます。

読んで字のごとく、改善すべき項目に関連するインプットを準備段階で実施して頂きたいということですが、インプットすべき内容は多岐にわたります。インプットすべき内容の例として、例えば、以下のようなものが該当します。

①改善措置の手法（複数あればあるほど望ましい）

②ベンチマーキング

③経営幹部や取締役会などの関心事

①については、監査対象部門側による改善すべき項目に対する実施手法を内部監査人側で事前に考えておくことです。仮に、監査対象部門側が「どのように改善措置を実施すべきかわからない」などの悩みを抱えている場合に対するコンサルティング業務として、改善措置の手法を伝えることは意義があります。その際、どのように改善され、どのような効果が見込まれるかなどもを合わせて助言できることが望ましいです。

②については、監査対象部門と類似した状況の他部門や他社などを事前に調べておき、同じプロセスに関するベストプラクティスをピックアップしておくことです。その際、業界を限定して考えないことが重要であり、プロセスに重点を置いて調べることが望ましいです。

③については、監査報告書を配布した後、経営幹部や取締役会から監査対象部門に関する関心事（ご意見や要望など）を事前にヒアリングしておき、必要とあれば、監査対象部門に伝えることです。監査対象部門からすると、経営幹部や取締役会からの関心事を考慮した上で、どのような改善措置を実施すべきかについて分析することができますので、改善措置の品質が向上する可能性が高くなります。

今回ご紹介した内容は必ずしも全て実施する必要はありませんが、是非とも参考にしてください。

一通りの準備が完了したら、次はいよいよフォローアップ監査を実施する段階に移行しますが、フォローアップ監査は具体的に何をどのように実施すれば良いのでしょうか。

まず、フォローアップ監査の概要を解説した上で、アシュアランス業務とコンサルティング業務に分けて実施すべき内容について解説します。

フォローアップ監査では、監査対象部門による改善措置の実施状況などに関心を持ち、その実施状況などをもとに監査を行います。具体的には、「改善措置の実施状況がどこまでの段階で進んでいるか」や「改善措置のレベルが一定基準まで達する目安時期」や「改善措置の実施は、誰がいつ何をどのように行うのか」などを確認します。

フォローアップ監査の頻度についてですが、経営幹部や取締役会の期待事項に沿って決定することが多いです。例えば、1年ごと、四半期ごと、1か月ごとなど、業界、会社によって様々です。ただ、改善措置が一定基準のレベルに達しないことによるリスクが高い場合は、リスクベースの観点で、頻度は高くなることが多いです。

とはいえ、監査資源は有限ですので、なるべく効率的に実施しなければならない点については留意が必要となります。もし、第2ラインモデルのようなリスク管理部署が社内にあれば、そういった部署に協力を依頼し、フォローアップを手伝っていただくなどの措置が必要になることもあります。

参照：内部統制の「3ラインディフェンス」と「3ラインモデル」の違いとは？｜アビタスコラム

フォローアップ監査によるアシュアランス業務では、監査対象部門が実施した改善措置に対するアシュアランスが主となります。例えば、改善措置が十分であり、進捗状況も問題なければ、その旨についてアシュアランスをするなどです。

ただ、基準2500 A1によると、「内部監査部門長は、経営管理者による改善措置が有効に実施されていること、あるいは改善措置をとらないことによるリスクを最高経営者が許容していることをモニターし、確実にするためのフォローアップ・プロセスを構築しなければならない。」とありますので、監査対象部門に対する改善措置だけでなく、最高経営者に対し、監査対象部門が改善措置を実施しないことによるリスクについて、どこまで許容しているのかをモニターし、確実にするためのフォローアップ・プロセスを実行しなければなりません。

特に、この「モニター」を実施するためには、最高経営者によるリスクに対する考え方や方針などについて、十分な理解をした上でアシュアランスすることが前提として必要となります。

もし、基準の言葉通りに「最高経営者がリスクを許容していることだけをモニターする」と解釈してしまうと、最高経営者がリスクに対し、なぜそのように考えているか。なぜそのような方針を立てているかなどについて、細かく深掘ることができず、結果として、組織体にさらなる価値を付加できるようなアシュアランスにならないことがあります。

内部監査人として、最高経営者と意見交換などを行い、その内容をもとに問題ないと判断した上で、一連の行動に対してモニターできるようなフォローアップ・プロセスにするべきです。

フォローアップ監査によるコンサルティング業務では、監査対象部門が実施した改善措置に対し、必要とあれば、内部監査の視点で助言や提言を行っていきます。

基準2500.C1によると、「内部監査部門は、個々のコンサルティング業務の結果への対応状況を、依頼部門と合意された範囲で、モニターしなければならない。」とありますので、この基準に記載されている内容を解釈すると、以下2点に留意しなければならないことが分かります。

1点目は、あくまで依頼部門と合意された範囲内でコンサルティング業務を実施するということです。要するに、合意された範囲外となるコンサルティング業務は行ってはいけないということです。但し、合意された範囲外であってもコンサルティング業務が必要だと内部監査人が判断した場合、最高経営者や取締役会などに相談し、依頼部門と協議の上、合意された範囲内に含めることもあります。その点については、柔軟な対応が必要です。

2点目は、結果への対応状況のモニタリングです。ただ助言や提言をして終わりというわけではなく、コンサルティング業務を経て、監査対象部門がどのような形で改善措置を実施しているかについてモニタリングする必要があり、ここまで実施することで基準に準拠していると言えます。独立性や客観性に違反しない範囲で、監査対象部門に寄り添って改善を促進できるようにしましょう。

ここまで読んでみて、いかがでしたでしょうか。基準に準拠したフォローアップ監査を実施するためには、前提として、IPPFを適切に理解しておくことが必要となります。IPPFを適切に理解している内部監査人というのは、公認内部監査人のような専門職資格を保持している内部監査人が圧倒的に多いです。

公認内部監査人は取得が難しい資格ですが、難しいだけあって、きちんと勉強して取得することができた監査人は、監査報告書の作成に限らず、様々な内部監査業務を高い品質でこなすことができます。能力の高い内部監査人が増えることは、監査業界全体で見れば、大変素晴らしいことです。公認内部監査人は市場価値も高いですし、実務においても学んだ内容を自社の内部監査に組み込むといったことができるようになると、他の内部監査人との差別化になります。名刺にも記載することができますので、是非このタイミングで公認内部監査人の取得を目指し、プロフェッショナルとしての称号を得ましょう。

最後までお読みいただきありがとうございました。

アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。

講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。

また通学・通信を併用できるコースや、スキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。

CIAをはじめとする内部監査に関する資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。