内部監査の業務範囲と分類

内部監査の範囲は、事務・業務監査、会計監査など範囲はさまざまですが特定の分野に限定されるものではありません。
なぜならは、内部監査は、当該企業の組織全体について、活動状況、法令等遵守、顧客保護等及びリスク管理を含む内部監査態勢として監査を行う必要があるためです。
内部監査は、業務範囲が広範囲に渡るため、どのように監査するかということは、監査の種別(分類)に関わってきます。

監査対象による分類

内部監査を実務上の種類に分類していくためには、大きく3つの種類があります。

 部署別監査

従来の監査で行われてきた手法です。
本部の各部署、各営業所、子会社などといった組織を縦割りにして内部監査を実施する方法です。

 機能別監査

例えば、市場取引や法人向け取引などといった特定の機能・業務を対象として内部監査を実施する方法です。
フロントオフィスからバックオフィスまで関連する部署を横断して行うことから、部署間のやり取りなど特定の部署をチェックするだけでは指摘が難しい事項もチェックすることが可能です。
部署別監査であっても、一定期間にフロントオフィス、ミドルオフィス、バックオフィスというように業務フローの流れに沿って実施することで機能別監査と同等の効果を得ることが可能となります。

テーマ監査

新商品・新種業務導入時の管理プロセス、情報開示のための管理プロセスなどといった一定のテーマを目標として内部監査を実施する方法です。

監査の範囲による分類

内部監査を対象範囲で分類していくためには、大きく3つの種類があります。

フルスコープ監査

業務、会計又は経営などの要素をすべてカバーするように広範囲な領域について内部監査を実施する方法です。

特定分野監査

リスク管理、コンプライアンス、会計などの分野の中から特定の分野に限定して内部監査を実施する方法です。

特定項目監査

特定分野監査よりもさらに細かい監査要点をカバーする内部監査方法です。

テーマ監査は、部署を横断的に実施することに対して、特定項目監査は、1部署内の特定項目を対象範囲とするものになります。

監査の深度による分類

内部監査をどこまで深く実施するかは、例えば、

  1. 被監査部署等の主要な役職者に対するヒアリングと限定的な書類の検証手続きを主体としたレビュー監査
  2. 検証手続の深度が深く、手続きも詳細に行う詳細監査
  3. これらの中間に位置づけられる通常監査

といった分類できます。
金融検査マニュアルにおいても、内部監査の実施について、頻度や深度等に配慮した効率的かる実効性のなる内部監査を実施しているかというチェック項目が設けられています。

その他の分類

事前通告の有無による分類

監査を実施するに当たって、事前に通告を行って実施する方法と通告を行わずに抜き打ちで実施する方法があります。
内部監査においては、目的に応じてそれぞれの実施方法を使い分けることになります。
一般的には、事前に通告する「予告監査」が一般的です。
しかし、現金などの現物の管理を行っている部署、営業店等における主要担当者の兼務状況等、リスクをけん制するためには、抜き打ち検査が効果的です。

被監査部門へ出向くかどうかによる分類

被監査部門に監査担当者が出向いて実施する内部監査をオンサイト監査といいます。
一方、被監査部門に出向くことなく書類にて済ませる監査をオフサイト監査といいます。
書類だけの監査では、形式的な監査になりやすく、提出する書類を修正しやすいことか ら、可能な限り実地の状況を直接見て監査を行うことが必要と考えられます。
さらに、内部監査を実施する部署の業務の一環として、監査のカテゴリーには含めない「モニタリング」として、オフサイト・モニタリングを実施することも多くの金融機関では行われています。
主な内容としては、前回監査結果のフォローアップ、各種会議対のオブザーバーとしての参加、稟議・報告書等のモニタリング、時点検査結果のモニタリング、KPI(Key Performance Indicator)又はKRI(Key Risk Indicator)の確認などがあります。

 

内部監査のパターン

各分類を単独で選択するのではなく、パターン分けを行いそれぞれの固有の状況に合わせて、必要に応じたパターンを内部監査規定等に規定しておきます。

FISCにおけるシステム監査の分類

内部監査の一部を構成しているシステム監査について、(財)金融情報システムセンター(FISC)の「金融機関等のシステム監査指針」では、システム監査の分類として、次の分類が紹介されています。

システム監査の対象から見た分類

部門別システム監査

部門、部署(開発部門、事務センター、ユーザー部門、支店、営業所など)ごとに監査を実施します。

個別業務システム監査

個別業務ごとに監査を実施します。
これらの監査は、順次異なった監査対象を選定して実施できることから、実務において広く採用されている方法です。

テーマ別監査

セキュリティ、外部委託、IT投資計画、個人情報保護などテーマを明確にして、部門や業務を横断して監査を実施します。

システム監査の目的から見た分類

セキュリティ型システム監査

情報システムの信頼性及び安全性を目的として監査を行うものです。
近年、個人情報の流出やハッキングなどのトラブルによるサービス停止など影響が大きい事案が発生しており、セキュリティ型のシステム監査の重要性が増しています。

戦略支援型のシステム監査

現在、情報システムは経営戦略上必須であり、個別に考えることはできません。
そのため、情報システムの有効性及び効率性を監査し、戦略立案を支援する監査についても重要性が高いものとなっています。

システム監査のスタンスから見た分類

管理型のシステム監査
情報システムを経営管理の仕組みの一つとしてとらえ、PDCIサイクルの中にシステム監査を置く考え方の監査です。

技術型のシステム監査

ハードウェア、オペレーティングシステム、インフラ、設備の安全対策など専門技術に関するシステム監査です。

情報システムのライフサイクルから見た分類

情報システムの企画から開発、運用・保守、廃棄の各段階に分類して実施する監査です。

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す