1. 1. はじめに
1.1. CIAフォーラム研究会No.g5 (先進監査手法のガイドライン化に関する研究会) (以 降、 本研究会) は、 先進的な監査手法を研究し、 具体的なガイドラインとして提言することを 目的とする研究会である。 本研究会では2022年に 「継続的監査/モニ タリング」に関する研究を行った。 その結果、 日本企業においては 「継続的監査」を簡略化 した 「準継続的監査/モニタリング」 が実施 されているという仮説を立て、 実施状況に関 するアンケート調査及びインタビュー調査を 実施した。
1.2. 本稿では、2つの調査結果を踏まえ、 「準継続的監査/ モニタリング」のガイドライン化 に向けた提言を行う。
2. 2.継続的監査/モニタリング
2.1. 2-1 研究の背景
2.1.1. 近年におけるデジタル技術の進歩に加え、 直近では、 コロナの継続、 及び地政学リスクの高まりによって、 企業を取り巻く社会環 境は大きな変化を遂げ、更なる変化の中にあ る。 内部監査部門が経営に資する監査を実現す るためには、経営の変化に対応し、柔軟な監 査を実施することを可能とする監査手法を検 討することが求められる。 本研究会では、このような監査手法の1つ として 「継続的監査/モニタリング」をテー マとして取り上げ、 文献調査を行った。
2.1.2. 本研究会では 「継続的監査/ モニタリン グ」 の研究にあたり、 米国公認会計士協会 (AICPA) が2015年に公表した「Audit Analytics and Continuous Audit: Looking Toward the Future」 の日本語訳である「監 査分析及び継続的監査 将来を見据えて」(以 降 AICPA (2015)) を参考文献として 用いた。 AICPA (2015) では、継続的監査 (Con- tinuous Audit, CA) を以下のように定義し ている。
2.1.3. 企業の経営者が責任を有する主題に関 し、監査人が主題の基礎になる事象が発生 すると同時に、又は直後に、 実際に公表さ れる継続的な意見スキームを用いて、 保証 を提供できるようにする方法論。 継続的監 査は、予防的モジュールを伴い、 組織のコントロールを補完する。 継続的監査環境は 着実に自動化され、 監査人はより高度な 機能を担うことになる。 監査は分析結果 ごと 例外事項ごとに適用可能なものにな り、財務及び財務以外の機能も対象にする。 (出典: AICPA (2015) 59頁)
2.2. 2-2. 継続的監査/モニタリングの定義 及び特徴
2.2.1. また、 AICPA (2015) では、 内部監査 部門が実施するものを監査 経営者が実施す るものをモニタリングと位置づけ、表1のよ うに継続的監査と継続的モニタリングを対比 させている。
2.2.1.1. 継続的監査
2.2.1.1.1. 内部監査で実行される継続的監査
2.2.1.2. 継続的モニタリング
2.2.1.2.1. 経営者の責任の継続的モニタリング
2.2.2. 従来の監査と継続的監査の対比
2.2.2.1. 伝統的手法
2.2.2.1.1. クライアントの受および調査
2.2.2.1.2. 母集団推計
2.2.2.1.3. 確認
2.2.2.1.4. 実証テスト
2.2.2.1.5. 分析的レビュー
2.2.2.1.6. 内部統制評価及び運用評価
2.2.2.2. 進化した手続き
2.2.2.2.1. クライアントの受および調査
2.2.2.2.2. 母集団推計
2.2.2.2.3. 確認
2.2.2.2.4. 実証テスト
2.2.2.2.5. 分析的レビュー
2.2.2.2.6. 内部統制評価及び運用評価
2.3. 2-3. 継続的監査/モニタリングに対す る懸念
2.3.1. AICPA (2015) では、継続的監査/モ ニタリングを実施にあたり、組織内のデータを集約したデータストア及び監査用のデータ ベースの存在を前提としている。 本研究会で は以下に挙げられるような、 日本の組織では 実施が困難ではないかという意見が出された。 日本では、監査部門がデータを収集し、監 データベースを構築できている組織は少 数ではないか ・会計監査においては会計データを対象にす ることから、 自動化及び予防的コントロー ルは可能かもしれないが、 会計監査以外, 例えば内部統制の保証においては、必要な 情報がデータ化されているものはほんの一 部であり、 自動化及び予防的コントロール になじまないのではないか これらの意見を踏まえ、 本研究会では、 A ICPA (2015) おける予防的モジュール や自動化を実現していない監査部門では、監 査データベース等の存在に頼らない代替手段 を用いているのではないかという仮説を立て、 そのような代替手段を研究対象に取り上げた。
3. 3. 準継続的監査/モニタリング..
3.1. 3-1. 準継続的監査/モニタリングの概念.
3.1.1. 仮に 自動化及び予防的コントロールを有 しない監査部門が、 経営からそれらを必要と する保証を要請された場合、自らが利用可能な監査資源及び手段を用いて、 対処している 可能性がある。
3.1.2. このような活動は、 前章の継続的監査の定 義には適合せず、 また、 従来型監査とも大き く異なることから、監査部門自身が自らの活 動を監査あるいはモニタリングの一種である と認識していないことが考えられる。
3.1.3. そのため、本研究会では、このような代替 手段を 「準的監査/モニタリング」 と名付け、想定される活動形態を類型化した上で、 実態を調査することとした。
3.2. 3-2. 準継続的監査/モニタリングの類型化
3.2.1. 本研究会のメンバーで準継続的監査/モニ タリングと想定される活動形態を検討した結 以下の3つに類型化した。
3.2.1.1. 1 定期的検証
3.2.1.1.1. 自動化した手段または予防的コントロール を用いずに月次、 四半期毎等、 定期的に対象 を検証する。 [例] 月次で勤怠データを点検し、 異常値が 発見されれば人事部門に注意喚起する。
3.2.1.2. 2 期間內検証
3.2.1.2.1. 自動化されていない手段、予防的コントロ ールを用いずに特定の期間内のみ、継続的に 対象を検証する。 [例] 重要プロジェクトの進捗会議に陪席し、 プロジェクトの進捗に重大な影響を及ぼす 問題の予兆が認められれば改善策を提言す る。
3.2.1.3. 3 不定期検証
3.2.1.3.1. 自動化されていない手段、 予防的コントロールを用いずに偶発的な事象を契機として、 対象を検証する。[例] 競合他社におけるシステム障害の報道 に際し、 同様の事象に対する自社の対応状 況を検証する。
4. 4. 準継続的監査/モニタリングの実態調查
4.1. 4-1. アンケート調査
4.1.1. 前章において準継続的監査/モニタリング を定義し、類型化を試みた。 次の段階として、 準継続的監査/モニタリングが実際にどの程 度実施されているのかを定量的に把握するた 日本内部監査協会会員を対象に以下の通 りアンケート調査を実施した。 アンケート形態: Microsoft Forms による Webアンケート アンケート期間: 2022年8月25日 (木) 9月30日 (金) 回答者 : 81名
4.2. 4-2.アンケート結果
4.2.1. (2) 継続的監査/モニタリングへの取組状況
4.2.1.1. 継続的監査/モニタリングを実施する上で 監査データベースは不可欠となる。そのため、 監査データベースの構築状況について質問し たところ、図3の通り監査データベースが構築済み及び構築予定と回答した者は81名中13名 (16%) であり、 まだ少数に留まっている。 一方、継続的監査/モニタリングの実施状 況に関する回答は図4の通り、 79名中41名。しかしながら、閾値による自動化は1名(1%であり)タベースが構築済 構築予定の回答を上回る ことから、 AICPA (2015) が定義する 統的監査/モニタリングではなく、 本稿にお ける準継続的監査/モニタリングが含まれて いる可能性がある。
4.2.2. (3) 準継続的監査/モニタリングへの取組状 況
4.2.2.1. 前章における準継続的監査/モニタリング の概念整理に基づき、 各類型の実施状況に関 する質問に対して、 図5~7の回答を得た。 無回答を除くと、 定期的検証については76名中34名(45%)、 期間内検証は78名中27名(35%)、 不定期検証は78名中45名(58%) が 実施と回答しており、 準継続的監査/モニタ リングが実際に広く実施されていることが確 認できた。
4.3. 4-2. インタビュー調査
4.3.1. 4-2-1. インタビューの目的
4.3.1.1. 前節におけるアンケート調査では、 実際に 準継続的監査/モニタリングが実施されてい ることを確認した。 しかしながら、アンケート調査では、準 続的監査/モニタリングに関する3つの類型 化は切か、あるいは3つの類型以外の類型 が存在するのではないかという点が確認でき ない。 これらの点を確認するため、 アンケート回 答者の内、 許諾を得られた5名、 及び研究会 内でインタビューを行い、 具体的な準継続的 監査/モニタリング事例を聴取した。 インタビューで得られた事例は、 3類型の 例外となるものはなく、 類型化が適切である ことが確認できた。 各事例について、次節で述べる。
4.3.2. 4-2-2 インタビュー結果
4.3.2.1. 定期的検証の事例
4.3.2.1.1. 定期的検証について、インタビューより事 例1~3が得られた。 各事例は統計分析ツ ール等を使用せず、 表計算ソフト等を用いた 手作業となっている。 なお、 事例3について は内部監査部門そのものの活動状況を定期的 に監査委員会に報告するものであり、 表1の 分類を鑑みると、 準継続的監査というよりは、準継続的モニタリングの事例と考えられる。 また、各事例で結果を経営に報告しており、 経営のニーズに則した検証であったことがわ かる。
4.3.2.1.2. 【事例1】
4.3.2.1.3. 【事例2】
4.3.2.1.4. 【事例3】
4.3.2.2. 期間内検証の事例
4.3.2.2.1. 期間内検証についてインタビューより事例45が得られた。 各事例は従来型監査に 付随して実施されており、 補完する役割を果 たしていると考えられる。 また、監査データベースは構築していない ものの、関連システムへのアクセス権を有し、 必要なデータを抽出して分析に供している。 常時、データを参照可能とまではいかないものの、継続的監査/モニタリングに最も近い 形態である。
4.3.2.2.2. 【事例4】
4.3.2.2.3. 【事例5】
4.3.2.3. 不定期検証の事例
4.3.2.3.1. 不定期検証について、インタビューより事 例67が得られた。 事例6は内部監査部門 によるレビューと捉えることも可能である。 また、事例7のような従来では監査やモニタ リングとは捉えられていなかった事例も確認 できた。
4.3.2.3.2. 【事例6】 産業廃棄物処理法、下請法等、法令で定めら れた報告内容の点検を監査部が行っている
4.3.2.3.3. 【事例7】 自社でシステム障害が発生した際に、障害対 の適切性を監査部が事後的に検証し、障害 対応完了から3営業日以内に役員に報告する。
4.4. 4-3. 考察
4.4.1. アンケート調査より、 実際に純継続的監査 モニタリングが行われていることが確認さ れた。 また、 インタビュー調査より、準継続 的監査/モニタリングに関する3つの類型化 が妥当なものであることが確認された。 事例の多くでは、 検証結果を経営に報告し、 また必要に応じて改善を提言する等、 従来型 監査の延長線上で捉えているものもある方 で、 事例7のように、 監査あるいはモニタリ ング活動として認識されていなかった事例も 確認できた。 前述の表1によると、監査とモ ニタリングの大きな違いは、 実施主体が内部 監査部門か経営かという点にある。
4.4.2. 今回の調 査を踏まえ、従来型監査、 準継続的監査、 監査を比較すると、いずれも内部監査部 門が実施主体となる点は一致するものの、 続的監査が監査データベースや高度な分析ツ ールを前提とする方で、従来型監査、及び 準継続的監査では主に手作業で収集した情報 を分析する点が異なる。
4.4.3. また、従来型監査では、監査計画から監査 報告までの定期間にのみ実施されるのに対して、準継続的監査及び継続的監査では、従来型監査よりも長期間、 あるいは期間を定め ず継続的に実施する点に特徴がある。
4.4.4. 一方、 継続的監査では、 全量分析や高度な分析ツー ルを使用し、現状の検証だけでなく将来予測 を含む点が特徴となるが、 準継続的監査では、 利用できるデータが限定されていることか ら、将来予測に関する客観的な所見を示すこ とは不可能であり、あくまでも現状の検証を 目的とした手法であると言える。
4.4.5. 以上を踏まえ、 従来型監査、 準継続的監査、 継続的監査を比較すると表3となる。