PwCが2011年11月および12月に実施した調査報告の日本語版が公表されました。過去の調査においては、主に内部監査部門長を対象に調査をおこなっていたのを、今回の調査では、他部門の責任者や、監査役、取締役などにまで調査対象を拡大しているそうです(内部監査部門長が約57%)。米国他63ヶ国のさまざまな業種を対象(半数以上は米国企業の本部、全体のサンプル数に占める各業種の割合は15%以下)としたもので、内部監査部門がリスク管理領域の諸課題に対して果たすべき役割にハイライトしています。
PwC2012年内部監査全世界実態調査
内部監査部門長とこれら利害関係者との認識のズレが調査結果から読み取れるのですが、
- 組織にとって重大なリスクを優先順位づけして効果的に資源を配分するためには、継続的に対話をし「調和」することが重要である
- 内部監査は単に既に発生した事象に対処するだけでは不十分であり、リスクに能動的に対応し、新たな脅威と機会を見据えて(予見して)、企業組織としての準備体制を支援できるほどの戦略的な思考を持つ必要がある
といったあたりが印象に残りました。
(メモ)
全社的リスクマネジメント(ERM)の導入実態に関する問いに対して、調査対象企業の74%が公式な全社的リスクマネジメント(ERM)システムを導入済みと回答している。その一方で、最も重大なリスクを満足に管理できていると回答した企業は、全体の半数以下(45%)にとどまっている。
->ERMを導入していると回答している会社の割合が意外と高い。
組織がどの程度リスクに対応できているか、という問いに対して、利害関係者が内部監査部門長よりも著しく高い自信(10%かそれ以上の乖離)を示している領域の一つは「不正と倫理問題」にかかわるリスクの管理であり、内部監査部門長の35%に対して利害関係者の53%が組織のリスク管理に自信を示している。
->内部監査部門がチェックしているというだけで牽制効果があると思われる。
どのリスク管理ついて内部監査の貢献に価値を置いているか、という問いに対して、内部監査部門長と利害関係者の双方95%以上が“不正と倫理問題”および“データ機密性とセキュリティ”に対して内部監査の貢献に価値を置いている。
->不正と倫理問題は伝統的な内部監査部門が取り扱う領域であり、データ機密とセキュリティもSOX法導入を契機に認識が高まったと思われる。
なお、内部監査部門長と利害関係者のそれぞれの50%以上が内部監査の役割が「極めて」重要だとしたのは、“不正と倫理問題”と“データ機密性とセキュリティ”に関するリスクの二つの領域だけであった。
内部監査の関与の重要度に関する問いに対して、“データ機密性とセキュリティ”のリスク領域において総体的な重要度では2%以内で認識の同期がみられるものの、内部監査部門長の認識に対して10%も上回る数の利害関係者が内部監査の役割について「極めて」重要であるとしている。
->歴史的に内部監査のスコープに入ってこなかったことや、内部監査部門として効果的な専門スキルを確保してこなかったことなどが理由と思われる。
監査能力を強化して欲しいと望むリスク領域についての問いに対して、“不正と倫理問題”と“事業の継続性(BCM/BCP)”に関しては、内部監査部門長は利害関係者よりもそれぞれ16%と10%も多い回答者が対処能力強化の必要性を主張している。
->内部監査部門長が重視しているリスク領域がよくわかる。不正と倫理問題については内部監査部門長が考えているよりも影響があることが利害関係者の回答からわかるが、内部監査部門長としてはもっと強化したいという意識が表れている。
ちなみにレポートでは、これらのリスク領域は変化も速く、監査資源をこれらの領域に割りあてすぎると、利害関係者がもっと重要だと考えている領域に十分に注力できなくなる。状況によってはもっと重大なビジネスリスクに対応できず、組織を無防備な状態に晒してしまうことになりかねないと警告しています。