内部監査部門との連携強化によるERMの実効性向上:内部統制評価を超えた価値創造への道筋
はじめに:ERMの実効性向上と内部監査連携の重要性
全社的リスク管理(ERM)は、今日の不確実性が高まる経営環境において、経営リスクを低減し企業価値を持続的に向上させるための重要な経営ツールとして認識されています。多くの企業でERM体制の構築や高度化が進められていますが、その実効性をどのように高めていくか、という課題に直面されている経営企画部門の責任者の方々も多いかと存じます。
ERMの実効性を高める上で、内部監査部門との連携は非常に重要な鍵となります。内部監査は、組織のガバナンス、リスク管理、およびコントロールプロセスが有効に機能しているかどうかを独立かつ客観的に評価する役割を担っています。ERM推進部門と内部監査部門が効果的に連携することで、リスク管理活動全体の質を高め、単なるリスク回避や内部統制の評価に留まらない、より戦略的で価値創造に資するERMを実現することが可能になります。
本稿では、内部監査とERM、それぞれの役割と共通点・相違点を明確にした上で、なぜ内部監査との連携がERMの実効性向上に不可欠なのか、具体的な連携手法、そして連携強化における課題とその解決策、さらに連携による企業価値向上への効果について解説いたします。
内部監査とERM:それぞれの役割と連携の意義
ERMと内部監査は、企業経営の安定と成長に貢献するという共通の目的を持っていますが、その役割と機能には違いがあります。
ERM推進部門の役割: ERM推進部門は、全社的な視点からリスクを特定、評価、対応、モニタリングするフレームワークやプロセスを設計・構築・運用することを主な役割とします。経営戦略との連動を図りながら、リスクアペタイト(リスク許容度)の設定を支援し、リスク情報を経営意思決定に役立てるための仕組み作りを主導します。
内部監査部門の役割: 内部監査部門は、経営層や取締役会(監査委員会)に対し独立した立場から、組織のオペレーションが適切かつ効率的に行われているか、法令や社内規程が遵守されているか、そして内部統制を含むリスク管理プロセスが有効に機能しているかを評価し、改善のための助言を行います。リスク管理や統制に関する保証を提供することが重要な役割の一つです。
共通点と相違点: * 共通点: どちらも「リスク」を対象とし、経営目標の達成に貢献することを目指しています。リスク評価やコントロールの有効性評価といった活動の一部には共通する要素があります。 * 相違点: ERMは全社的なリスク管理フレームワークの「構築・運用」を担う「ライン」的な側面を持つのに対し、内部監査は既存の仕組みの「評価・保証」を行う「独立した第三者」的な側面が強いです。ERMは将来のリスクや機会を広く捉える志向が強い一方、内部監査は既存のプロセスや統制の網羅性・有効性評価に重点を置く傾向があります。
この相違点があるからこそ、両者が連携することに大きな意義があります。ERM推進部門の全体的なフレームワーク構築力と、内部監査部門の独立した評価・検証能力が組み合わさることで、より強固で実効性のあるリスク管理体制を構築できるのです。
なぜ内部監査との連携がERMの実効性を高めるのか
内部監査部門とERM推進部門が効果的に連携することで、ERMの実効性は多方面で向上します。
- リスク評価の客観性向上: 内部監査は組織内の様々なプロセスやリスクに関する深い知見を持っています。ERM推進部門が実施するリスク評価に対して、内部監査部門が独立した視点からフィードバックを提供したり、自らの監査結果を共有したりすることで、リスクの特定漏れを防ぎ、評価の客観性や網羅性を高めることができます。
- コントロールの有効性評価の高度化: ERMプロセスにおいて、リスクへの対応策(コントロール)が適切に設計・運用されているか評価することは不可欠です。内部監査は、まさにこのコントロール評価を専門としています。内部監査の結果を活用することで、ERMにおけるコントロール評価の信頼性が向上し、真に効果的な対応策へリソースを集中させることが可能になります。
- リスク情報の収集・共有体制強化: 内部監査は、日常的な監査活動を通じて様々なリスク情報を収集しています。これらの情報をERM推進部門と共有することで、全社的なリスクインベントリの更新や、新たなリスクの早期発見に繋がります。また、監査で発見されたリスク事象やコントロールの不備に関する情報は、ERMにおけるリスクモニタリング活動に直接活かすことができます。
- リスク文化醸成への貢献: 内部監査の結果として示されるリスクやコントロールに関する指摘は、組織全体のリスク意識を高める教育的な効果を持ちます。ERM推進部門が内部監査の結果を適切に活用し、各部門へのフィードバックや改善指導に繋げることで、全社的なリスク文化の醸成を促進することができます。
内部監査とERM連携の具体的な手法
連携を実質的なものとするためには、具体的な協業の仕組みを構築することが重要です。以下にいくつかの実践的な手法を挙げます。
- 年間計画の連携・共有: ERM年間計画と内部監査年間計画を策定する段階で、互いの計画内容を共有し、リスク評価の重点分野や監査対象領域についてすり合わせを行います。これにより、活動の重複を避けつつ、重要なリスク領域に対する評価を強化できます。
- リスク評価結果の相互活用: ERM推進部門が実施したリスク評価結果(リスクマップ、リスクアペタイト、主要リスクなど)を内部監査部門に共有し、監査計画策定や個別監査の深度決定に活用してもらいます。逆に、内部監査が個別監査で発見したリスクやコントロールの有効性に関する評価結果をERM推進部門にフィードバックし、全社リスク評価の見直しや対応策強化に役立てます。
- 共同でのリスクワークショップ実施: 特定の重要リスクテーマについて、ERM推進部門と内部監査部門が共同で各部門向けのリスクワークショップや研修を実施することも有効です。互いの知見を組み合わせることで、より実践的で包括的な内容を提供できます。
- 報告書の相互レビュー・情報交換会: ERM関連の経営層向け報告書や内部監査報告書について、ドラフト段階で相互にレビューする機会を設けることも有効です。表現の統一や情報の正確性を高められます。また、定期的に両部門間で情報交換会を実施し、最新のリスク動向や各部門の状況について共有します。
- 人材交流・研修: 可能であれば、一時的な人材交流を行ったり、合同で外部研修に参加したりすることで、互いの業務理解を深め、より円滑なコミュニケーションと連携を促進できます。
連携強化における課題と解決策
連携を進める上ではいくつかの課題も存在します。
- 役割分担の明確化: ERMと内部監査の責任範囲や役割が曖昧だと、情報の共有が進まなかったり、責任のなすりつけ合いになったりする可能性があります。両部門間で役割分担や協力体制に関する文書を整備し、経営層の承認を得るなど、公式な取り決めを行うことが重要です。
- 独立性・客観性の維持: 特に内部監査部門は、ERM推進部門の活動そのものや、ERMフレームワークが適切に機能しているかを評価する立場にあります。過度にERM推進部門の活動に「参画」しすぎると、独立性が損なわれる可能性があります。内部監査はあくまで評価・保証の立場であることを明確にし、ERM推進部門は情報提供や協力を仰ぐ範囲を適切に設定する必要があります。
- 情報共有のルール作り: どのような情報を、どのタイミングで、どのような形式で共有するか、事前にルールを定めておくことが重要です。特に機微な情報や評価に関する情報の取り扱いについては、慎重な検討が必要です。
- 経営層の関与とサポート: 内部監査とERMの連携強化は、経営層の理解とサポートが不可欠です。経営会議等で両部門の連携状況や成果を報告する機会を設け、その重要性を認識してもらうことが推進力となります。
これらの課題に対し、早い段階から両部門間で十分な議論を重ね、透明性の高い関係性を築くことが解決の鍵となります。
連携による企業価値向上への効果
内部監査部門との連携を深めることで、ERMは内部統制評価の枠を超え、企業価値向上に直接的に貢献するツールへと進化します。
- リスク管理コストの最適化: 重複するリスク評価やコントロール評価活動を効率化し、監査リソースを真に重要なリスク領域に集中させることで、リスク管理に係るコストを最適化できます。
- リスク情報の精度向上による経営意思決定支援: 内部監査による客観的な評価を加えることで、経営層に報告されるリスク情報の精度と信頼性が向上します。これにより、より的確なリスクテイクや経営資源配分の判断が可能となり、競争優位性の確立に繋がります。
- 不正・誤謬の早期発見と対応力強化: 内部監査が発見したコントロールの不備や運用上の問題点をERMプロセスに迅速に反映させることで、潜在的な不正や誤謬のリスクを低減し、問題発生時の対応力を強化できます。これは企業のレピュテーション保護にも繋がります。
- 信頼性向上によるステークホルダー評価改善: 内部監査による独立した検証を経た信頼性の高いリスク管理体制は、株主や投資家、顧客、従業員といった様々なステークホルダーからの信頼獲得に貢献します。企業価値は財務情報だけでなく、こうした非財務情報によっても左右されます。
まとめ:連携強化に向けた次の一歩
内部監査部門とERM推進部門の連携は、ERMの実効性を高め、内部統制評価を超えた企業価値創造を実現するための強力なエンジンとなります。連携は一朝一夕に成るものではなく、両部門の主体的な努力と経営層の明確なコミットメントが必要です。
貴社のERMをさらに進化させるために、まずは内部監査部門と対話の機会を設けてみてはいかがでしょうか。互いの役割や期待を共有し、具体的な連携の可能性を探ることから、全社的なリスク管理体制の新たなステージが始まるはずです。この連携を通じて、リスクを単なる脅威として捉えるだけでなく、機会として捉え、戦略的な経営判断に活かせる「リスクを価値に変えるERM」の実現を目指してまいりましょう。