企業が目指す経営監査とは

Ⅰ 内部監査の進化が求められる背景

近年、企業を取り巻く環境が急速に変化し、企業が直面するリスクも複雑化しています。

ビジネスのグローバル化、技術革新、コーポレートガバナンスの制度改革などの進展に加え、新型コロナウイルス感染症（COVID-19）の世界的な蔓まん延により、多くの企業はワークスタイルの変化を余儀なくされました。また、2022年以降のウクライナ情勢により国際情勢が激変し、経営者のリスク感度は急速に高まりつつあります。

これまでは、経営者の内部監査への期待と、内部監査のパフォーマンスに大きなギャップは見られませんでしたが、急速な事業環境の変化に伴い、今後は、経営者のリスク認識とともに内部監査への期待も高まっていくことが見込まれます。内部監査がこのまま変わらなければ、経営者の期待と現状のパフォーマンスに大きなギャップが生じてしまうことが予想されます。

そのような事態を回避するため、質、量、スピードの点で内部監査を高度化していく必要があり、そのための手段として、経営者の“Trusted Advisor”となることをスローガンとして掲げて、「経営監査」に取り組みたいという企業が増えています。

そこで本稿では、経営監査の特徴と経営監査を推進する際のポイントを、具体例を紹介しながら解説します。

なお、文中の意見に係る部分は筆者の私見であり、EYストラテジー・アンド・コンサルティング（株）および所属部門の正式見解ではないことをあらかじめご理解いただきたくお願いします。

Ⅱ 経営監査とは

これまで日本においては、長らく準拠性監査や業務プロセスを対象とした監査が行われてきました。しかし、経営環境が変わり、リスクが多様化・複雑化していることに加え、経営者も巻き込んだ重大な不祥事が発生している状況下では、これまでの準拠性や業務プロセス中心の監査では限界が見えてきました。

そこで多くの企業は準拠性監査を脱却し、リスクアプローチ監査、経営監査へと移行しています。経営監査の下では、これまでの内部統制の有効性を保証する役割に加えて、経営課題を解決するための経営陣のTrusted Advisorとしてインサイトの提供者といった役割も求められています。

このような背景から「経営監査」「経営に資する監査」を提唱する企業は多くありますが、経営監査や経営に資する監査の捉え方は企業によってさまざまであり、施策も異なっている状況です。

内部監査はIIA（内部監査人協会）国際基準がグローバルスタンダードとなっており、IIAを中心として知見やインサイトが発信されていますが、IIA国際基準にて「経営監査」というカテゴリー分類や定義付けがされているかというと必ずしもそうではありません。また、経営監査に関する具体的な解説等も見受けられない状況です。米国においては「経営監査」といった定義は存在しないことが判明しています。

実務的な側面から見ても、グローバルの内部監査先進企業において、必ずしも「経営監査」というカテゴリーで監査が行われているわけではなく、また経営監査に特化したメソドロジーというものもほとんど見受けられません。

日本においては、前述の通りこれまでの準拠性監査や業務プロセス中心の監査からの脱却を意図して「経営監査」という呼称を使っていますが、一貫した定義がされないままであり、各社が独自に「経営監査」を定義し、独自の定義、メソドロジーに基づき実践している状況となっています。

従って、企業は独自に「経営監査」の定義を行い、それを実践するためのメソドロジーを確立することが必要になります。

Ⅲ 経営監査のアプローチの代表例

経営監査の定義やアプローチは各社各様ですが、一般的なトレンドとして次の2つが挙げられます。

① 親会社の方針等の子会社展開にかかるリスクの監査
② 監査対象組織（子会社、部門等）に特有の重要リスクの監査

1. 親会社の方針等の子会社展開にかかるリスクの監査

この考えは、連結経営やグループガバナンスの監査を意識したアプローチといえます。1990年代から連結経営の考え方が広がり、連結会計導入を得て定着しました。連結経営は親会社が、グループの価値の最大化を図るため、本社事業部、主要子会社から子会社を含めたあらゆるレベルでの意思決定の場で包括的にコントロールする経営とも言い換えられるため、連結経営を契機として経営監査という概念が広がってきたという特徴があると考えます。

ここからは、実際に①親会社の方針等の子会社展開にかかるリスクの監査を進める際の特徴を述べたいと思います。

このアプローチは連結経営やグループガバナンスを意識しているため、国内外に子会社が点在していたり、企業内に規模の大きな子会社が存在したりしている企業が比較的多くこの考え方を取り入れている傾向がありました。よって、①のアプローチでは上位組織の方針、ルール、戦略、施策、計画等（グループ共通リスクへの対応方針・策も含む）が子会社において確実に展開され、周知徹底されているか否かを確認することが重要であるといえます。

ここでの上位組織とは次の関係性を意図しています。

• 子会社から見た場合は親会社が上位組織
• 孫会社から見た場合は子会社が上位組織
• 親会社内で見た場合は制度設計している部署が上位組織^※
• 子会社内で見た場合は子会社内で制度設計している部署が上位組織

よって、上位組織から見た場合は下位組織に対して適切な指示・指導をした上で、実行状況をモニタリングしているかがポイントになります。また、下位組織の実行状況に不備がある場合は是正する必要があるため、上位組織が下位組織に対して改善措置を講じさせているかという観点も押さえる必要があります。

親会社と子会社間で例えるならば、親会社は子会社に対して適切に指示しているかを見るとともに、子会社は親会社から指示された内容を子会社内で徹底できているか、子会社から孫会社への指示・施策の展開は漏れなく行われているのか、といった双方の視点で見ることが必要になります。

次のポイントとしては、各組織階層において、方針、ルール、戦略、施策、計画等の実行のためのプロセス（PDCAサイクル等）が確立されているかを検証することが必要になります。

このPDCAサイクルが親会社、子会社、各部署、孫会社といった組織の階層ごとに存在していなければ、上位組織に対して適時適切に報告することができませんし、指示を受けて改善活動を推進していくサイクルを回していくことができなくなります。よって、あらゆる階層を対象として、組織全体でPDCAサイクルが存在していること、その中で小規模なPDCAサイクルが階層ごとに存在していることが重要になります。

これらの観点がグループ経営やグループガバナンスに注目した際に見られるポイントとなります。

2. 監査対象組織（子会社、部門等）に特有の重要リスクの監査

経営監査を行うための2つ目のポイントとしては、親会社や経営者の目の行き届きにくい重要事項、親会社に飛び火しかねない事項に焦点を当てた監査が挙げられます。グループ全体で見た場合に、規模が小さい子会社や、連結ベースの売上比率が低い子会社は、重要性の観点から軽視されている場合もありますが、財務数値での重要性の低い拠点がリスクの低い子会社であるかというとそれは全く別の話になります。

かつて企業価値とは財務指標で測られ、売上高や利益、ROAが重要視されていましたが、近年は企業判断の価値観が多様化しており、CSR（社会的責任）やSDGsといった目に見えず数値化しにくい要素も企業経営の重要な指標として扱われるようになってきました。

そのため、企業は消費者保護や生命に関わるリスク、規制や法令への抵触といったレピュテーションリスクを意識せざるを得なくなっています。

親会社で子会社の実態が見えていない状況が続くと、子会社に対する統制が弱くなっていく恐れがあります。子会社の重要リスクを特定し、当該重要リスクに対して適切な対応がなされているかといった観点にフォーカスした監査を行う必要があります。

これまで述べたように、経営監査のポイントは2つありますが、それぞれが目指しているゴールは同じではありません。①は親会社の戦略・方針が末端まで浸透していることに重きを置いているため、既知の内容をコントロールできているかに焦点を当てています。②を重視している企業は想定外のリスクに焦点を当てているため、親会社が把握していないことをいかに見える化していくかを重視しています。よって経営監査を推進していく際には、①と②の両方の側面を漏れなくカバーすることが重要であるといえます。

Ⅳ 経営監査の実践

経営監査の2つ目のポイント②監査対象組織（子会社、部門等）に特有の重要リスクの監査においては、親会社が把握していない組織・拠点特有のリスクを洗い出す必要があります。そのような場合に活用できるツールがフレームワークです。

さまざまな種類のフレームワークがありますが、監査対象組織の状況や監査の目的に応じて、効果的に使い分ける必要がありますので、ここでは代表的なフレームワークとその使い方について紹介したいと思います。

1. PEST分析

広く外部環境を理解するために役立つフレームワークです。十分に理解できていない業界・業種を監査する際に、企業が置かれている環境を理解することで、企業が進めている戦略や計画・方針の理解につなげ、どこにリスクがあるのかを広い視点で把握するアプローチになります。

2. SWOT分析

会社の事業周辺を中心とした分析になるため、内部監査の領域に近いフレームワークといえます。内部環境、外部環境をプラス要因、マイナス要因の4象限に分けることで、本質的な課題の理解と、その事業のリスクの把握が可能です。

内部要因の方が監査の対象としやすい特徴はありますが、外部要因も監査できないということではありませんので、監査対象となるものの整理が必要になります。

3. 4P分析

収益構造を理解するためのフレームワークとして活用することが可能です。ビジネスの形態を理解せずに監査ポイントを洗い出すことは難しいため、何を売っているか、どのように価格設定しているか、主要販売経路や販売方法を把握することで営業面に特化した重要領域を識別することが可能になります。

4. バリューチェーン分析

業務のステップごとにどのようなリスクがあるのかを見ていくための手法です。異業種の場合、業務プロセスを理解する難易度は高くなりますが、可視化することで理解が促進され、監査人としてのリスクや仮説を出すことが可能になります。

5. VSPRO分析

収集した情報を構成要素ごとに整理することにより事業構造を論理的に理解することが可能なフレームワークです。VSPRO分析はリスクを幅広く洗い出す段階ではなく、施策や監査のテーマが絞られている際に有効であるといえます。

6. ステークホルダー分析

事業活動に関わるステークホルダーを網羅的に把握し、先入観なく潜在的に監査対象となり得るテーマを漏れなく把握したい場合に有用なフレームワークです。ステークホルダーを洗い出すことによって、360度の視点からリスクを把握することができます。

Ⅴ おわりに

変化が激しくリスクが複雑化する時代において、内部監査への期待はますます高まります。

準拠性監査や業務プロセスを対象とした単一視点の監査ではなく、企業を取り巻いている多面的な視点でリスクを捉え、より幅広い監査領域に対応する必要があります。

そのためには内部監査のアプローチのみでなく、より具体的なメソドロジーやコンテンツ拡充、内部監査のデジタルトランスフォーメーション（DX）化とともに継続した内部監査人財の強化が求められます。

＜図3＞に示した4要素を取り入れることで企業の実情に合わせた経営監査を構築し、その結果として環境変化にも対応した経営に資する保証とインサイトを提供できるのではないかと考えます。