おはようございます。昨日はうれしいニュースがありました。マーリンズのイチローが日米通算安打でピート・ローズの持つメジャー歴代最多安打記録(4256本)を上回ったというものです。
イチローのことは全く野球を知らない人でも、名前くらいは聞いたことがあるのではないでしょうか。42歳にして若手と引けをとらないプレーぶりにエールを送る人は多いと思います。イチローの凄いところは、その強靭なルーティンにあると見ています。日常の所作と練習をこれでもかというくらいに反復する、それを徹底できるところがイチローたる所以でしょう。
気の遠くなるような1本1本の積み重ねがここまで来た大きな原動力になっています。こうしたイチローの取り組みは、いろいろな所で見本となります。ちりも積もれば山となる。これをどこまで徹底できるか、イチローの足元にも及びませんが、これを見本に精進したいと思います。今日も元気で行きましょう。
(要旨)
①監査計画策定時におけるリスク評価
②予備調査での情報収集でほぼ決まる
③リスクの仕分けがリスク評価となる
さて、本日のテーマは「内部統制の評価(4)」です。前回は、自治体の現状や特性を踏まえた内部統制を評価する際には、自治体固有のリスクの中で、リスクの質的重要性を重視した評価をする必要性についてお伝えしました。今回は、どういう局面でリスク評価をするか話をします。
①監査計画策定時におけるリスク評価
自治体の現状や特性を踏まえた内部統制のリスク評価は、通常、監査計画策定時に行います。すなわち、監査に際しては、必ず監査計画を策定します。監査を始める前にどこを監査の対象とし、何を重点的に監査をするのかについて、計画を作成するのです。
その監査計画策定時に内部統制のリスク評価をします。以前、お伝えしたリスク・アプローチを思い出してください。監査を効果的効率的に実施する手法として、リスク・アプローチの手法を取り入れます。
もちろん、監査計画策定時においてもリスク・アプローチの手法に基づき、どこの部門にどんなリスクがあるかを効率的に洗い出し、そのリスクに優先順位を付けてリスク評価をすることになります。
②予備調査での情報収集でほぼ決まる
内部統制のリスク評価をする際には、事前の準備として予備調査を行います。すなわち、監査対象部門について、いろいろな角度から、どこにどんなリスクが潜んでいるかの情報収集を行うのです。
たとえば、過去の監査結果等、新聞やメディアによる報道や議会の質疑などの確認の他、必要に応じて問い合わせをしたり、現場に足を運ぶなど、いろいろな方面からどんなリスクが想定されるかを調査します。
この情報収集した中から、こういう問題がありそうだと一定の仮説を立て、それに対応したリスクを評価し、優先順位付けします。監査対象部門のリスクは多岐に渡るため、こうした辺りを付けるための予備調査がすごく大事です。これにどれだけ時間をかけるかでほぼ決まってしまいます。
③リスクの仕分けがリスク評価となる
予備調査の結果として、リスクが洗い出され、それを評価することになります。リスクの発生頻度(低~高)や影響度(少~大)を勘案して、重要なリスクとそれ以外のリスクに区分するのです。
このリスク評価を通じて、重要なリスクのあるものを重点的に監査し、それ以外のリスクは、その次に監査をする計画を作成します。ここでも、重要性の原則を適用することになります。
このリスク評価に関しては、どうしても主観が入ります。できるだけ客観的にするに越したことはないのですが、まずはリスク評価することを日常の監査に取り入れることの方が大事です。ですが、こうした対応を必ずしもできていない自治体が多いのではないでしょうか。
こうしたリスク・アプローチに基づく内部統制のリスク評価は、ある程度監査に対する専門性が求められますが、できないわけではありません。肝心なことは、こうした対応を組織的にするのだという方針を決定することです。後は、いつも言っているように方法論です。やるかやらないか、最後は組織の覚悟のほどが問われているのだと思います。