JCGR 日本コーポレートガバナンス研究所

ブログ

2022 コーポレートガバナンス研究会 第10回「監査委員会と内部監査」

目次
Ⅰ.NYSE上場企業スタンダード:監査委員会
Ⅱ.内部統制
Ⅲ.内部監査
Ⅳ.内部統制・監査ガイドラインの実例:カリフォルニア大学サンフランシスコ UCSF Audit & advisory Services

 

Ⅰ.NYSE上場企業スタンダード:監査委員会

303A.00 コーポレートガバナンス基準(CORPORATE GOVERNANCE STANDARD)

303A.06 監査委員会
________________________________________
上場会社は、証券取引法上の規則 10A-3 の要件を満たす監査委員会を設置しなければならない。
当取引所は、証券取引委員会が SEC リリース第 34-47654 号(2003 年 4 月 1 日)で提供したガイダンスと整合的な方法で、ルール 10A-3 の要件を適用する予定である。上記の一般性を制限することなく、当取引所は、取引所法の規則10A-3(a)(3)に規定される欠陥を治癒する機会を企業に提供する。
情報開示の要件 規則10A-3(d)(1)および(2)は、上場会社に対して、規則10A-3の特定の例外への依存を開示し、当該依存が監査委員会の独立行動能力と規則10A-3の他の要求事項を満たす能力に重大な悪影響を及ぼすかどうか、また及ぼす場合にはどのように影響するかの評価を開示するよう求めているので留意していただきたい。
    改訂:2009年11月25日(NYSE-2009-89)。

303A.07 監査委員会の追加要求事項
________________________________________
(a) 監査委員会は、最低3名の委員を擁していなければならない。すべての監査委員は、セクション303A.02および適用除外がない場合は規則10A-3(b)(1)に規定される独立性の要件を満たさなければならない。
(b) 監査委員会は、以下 (i) ~ (iii) を規定する書面化された憲章を有していなければならない。
 (i) 委員会の目的(最低限、以下の目的でなければならない。
  (A) (1) 上場会社の財務諸表の完全性、(2) 上場会社の法律及び規制の要件の遵守、(3) 独立監査人の資格及び独立性、及び (4) 上場会社の内部監査機能及び独立監査人の業績に対する取締役会の監視を支援する(もし上場会社が第303A項に従って移行期間を利用しているため内部監査機能をまだ有していなければ、憲章は、内部監査機能の設計及び実施に対する取締役会の監視を支援することを規定しなければならない)、並びに、(5) 内部監査機能に対する取締役会の監視を支援すること。
  (B) レギュレーションS-Kの項目407(d)(3)(i)で要求される開示を作成すること。
 (ii) 監査委員会の年次業績評価
 (iii) 監査委員会の義務および責任 -最低限、取引所法の規則10A-3(b)(2)、(3)、(4)、(5)に規定されているものを含むこと、および以下の事項を含むこと。
  (A) 少なくとも年1回、独立監査人による、会社の内部品質管理手続、会社の直近の内部品質管理レビューまたはピアレビュー、または過去5年間の政府または専門機関による、会社が実施した1つまたは複数の独立監査に関する調査または研究によって提起された重要事項、および当該問題に対処するための措置、ならびに(監査人の独立性の評価として)独立監査人と上場会社のすべての関係について記載した報告書を入手して検討する。
  (B) 上場会社の年次監査済財務諸表及び四半期財務諸表を経営者及び会計監査人と検討し、議論すること(「財政状態及び経営成績についての経営者の検討及び分析」に基づく上場会社の特定の開示を検討することを含む)。
 (C) 上場会社の決算プレスリリース、並びにアナリスト及び格付機関に提供される財務情報及び業績ガイダンスを検討する。
 (D) リスク評価及びリスク管理に関する方針について協議する。
 (E) 経営者、内部監査人(または内部監査機能を担当するその他の者)および独立監査人と個別に、定期的に会合を持つ。
 (F) 監査上の問題または困難および経営陣の対応について、独立監査人と検討する。
 (G) 独立監査人の従業員または元従業員に対して、明確な雇用方針を設定する。
 (H) 定期的に取締役会に報告する。
(c) 各上場会社は、内部監査機能を持たなければならない。

改訂:2009年11月25日(NYSE-2009-89)、2013年8月22日(NYSE-2013-40)

Ⅱ.内部統制

1.金融庁の定義

-内部統制とは、“経営者が会社を効率的かつ健全に運営するための仕組み”であり、具体的には取締役、取締役会、監査役、監査役会、内部監査、社内組織、社内規定、ITシステム、経営計画(組織運用・精度運用)などの社内管理体制がそれぞれ整合して機能することにより、相乗して高い指揮・監督機能を有する仕組みです。

-内部統制とは、基本的に ① 業務の有効性及び効率性 財務報告の信頼性 事業活動に関わる法令等の遵守、並びに④ 資産の保全という4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、① 統制環境 ②リスクの評価と対応 ③統制活動 ④情報と伝達、⑤モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。

「財務報告に係る内部統制の評価及び監査の基準」金融庁

2.内部統制システム

-会社法によれば、内部統制システムとは「取締役の職務の執行が法令および定款に適合することを確保するための体制」とされている(362条4項6号)。また金商法では「会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要な体制」(24条の4の4)と定義されている。平易に言えば、内部統制のための一連の規則・仕組み等の体系であり、事実上はマネジメントシステムと呼ばれているものと同一であると言える。

Ⅲ.内部監査

-以下、米国内部監査人協会(IIA)の“The International Professional Practices Framework” guide(IPPF)による。

1.Core Principles

-内部監査の使命を果たすために、内部監査は
 1.誠実でなければならない
 2.コンピテンシーと専門的配慮に基づ く
 3.客観的であり、不当な影響を受けない(独立である)
 4.組織の戦略、目的及びリスクと合致している
 5.適切な地位が与えられ、十分なリソースがある
 6.品質と継続的な改善を示す
 7.効果的なコミュニケーションを行う
 8.リスクを考慮した保証を提供する
 9.洞察力に富み、先見性があり、将来に焦点を当てている
 10.組織の改善を促進する

2.IIAの倫理規程 Code of Ethics-Principles

 1.誠実さIntegrity):内部監査人の誠実さは、信頼を確立し、その判断を信頼するための基盤となる
 2.客観性Objectivity):内部監査人は、調査対象の活動またはプロセスに関する情報を収集、評価、および伝達する際に、最高レベルの職業的客観性を発揮すること。また、–内部監査人は、関連するすべての状況をバランスよく評価し、判断を下す際に自己または他者の利益に過度に影響されてはならない
 3.守秘義務Confidentiality):内部監査人は、受領した情報の価値と所有権を尊重し、法律上または職務上の義務がない限り、適切な権限なしに情報を開示してはならない
 4.コンピテンシーCompetency):内部監査人は、内部監査業務の遂行に必要な知識、技能、および経験を適用する

3.内部監査が備えるべき専門能力

3-1 個人レベル
 a.専門的職業倫理の遵守
 b.内部監査実施に不可欠な知識、技能、専門的資格:それらを活用できるコンピテンシー
 c.監査対象部門・個人と良好な人間関係とコミュニケーションを形成できるコンピテンシー
 d.継続的教育による監査能力の維持・強化
 e.注意義務:・同じ状況において慎重かつ有能な内部監査人に対して期待される注意と技能の適用
  注意義務のポイント
  ①組織目的実現に大きな影響を与えるリスク状況について細心の注意を払い、不適切な統制を識別し必要な改善勧告を行う
  ②あくまで「合理的な注意と能力」であり、絶対に「誤りが無い」ことの保証ではない ⇨ 合理的=確度が高い
  ③不正行為の疑いがあるときには組織内の適切な権限を有する者に報告する
  ④経済性/費用便益(Cost-Benefit)を考慮する
  ⑤監査対象の部門が用いる業務指標の適切性も吟味する

3-2 組織レベル
 ①内部監査を遂行していくために必要な部門としての能力の保持
  –内部監査部門として適格な人材の採用
  –監査プロジェクトチームごとに必要な能力を定義し保持すること
  –監査部門内に十分な能力がない場合はアウトソーシング

 ②適切な監督の実施 –CAEが、内部監査部門に対して監督責任を負う
  –監督の対象は、監査計画から監査報告・フォローアップまで内部監査の全プロセス
  –監督の証拠として監督に関わったすべてを文書化し保存する
  –監督は、内部監査人の能力等に応じて柔軟に行う

4.内部監査とデフェンスライン

-IIAは組織のリスクマネジメントにあたっては「3つのディフェンスライン」(three lines of defense)が考慮されるべきであるとしている。
       The Three Lines of Defense in Effective Risk Management and Control

第1のディフェンスラインリスクオーナーとしてのリスクコントロール
 ・日々の業務においてリスクの特定および統制手続きを行う
 ・業務の方針や手続きの設計およびその維持改善を行う
 ・リスク事情から生じた結果に対する責任を負う
 ・主たる部門:業務執行部門 ⇒報告先:CEO CFO

第2のディフェンスラインリスクに対する監視を行う
 ・業務執行部門から独立した立場で、リスクおよびその管理状況の監視を行う
 ・リスク管理上のアドバイス
 ・リスク管理フレームワークの設計およびその維持・改善
 ・主たる部門:リスク管理部門・コンプライアンス部門
 ・報告先:CRO,CCO、リスク委員会(取締役会)

3のディフェンスライン:内部監査部門
 ・内部監査部門は、1線および2線の行った業務を評価し、その適切性を保証するほか、必要な助言を提供する<
 ・第3線は第1線、第2線とは切り離されていることが必要であり、自ら業務執行を行うことはできない
 ・自らの業務執行について自ら監査をするようになってしまうと、その監査業務に対する信頼性を損ねることになるからである
 ・内部監査部門は、その組織上、高度な独立性を有し、職務の客観性を保持しなければならない

5.内部監査:2021年のトレンド https://datricks.com/blogs/trend-audit-the-internal-audit-trends-of-2021/

-世界最大級の企業において、非常に複雑な環境での財務システムの導入に実績のある、経験豊富な起業家チームに率いられているDatricksが予言している将来の内部監査を、以下、紹介する。(若杉)

「企業が成長するにつれ、社内のさまざまな行動やプロセスを追跡・監視する必要性が高まり、より複雑になっています。堅実な内部監査チームは、徹底的で偏りのない、専門性の高いものでなければなりません。そのため、ほとんどの大企業では、部門全体がこのテーマを専門に扱っています。企業は、内部監査にさまざまな目標と役割を課しています。KPMGの調査によると、内部監査の役割に対する組織内の認識はさまざまで、生産性やコンプライアンスに関する見識を提供する、新しい収益源を特定する、コミュニケーションを改善する、などの回答がありました。このように、非常に幅広い目標に基づいて、組織における内部監査チームの重要な役割が示されており、まさに無限の可能性を秘めている。新しい監査技術や手法は、CFOや内部監査人が直面する課題に取り組むためのものであり、この分野の動向に目を向けることで、内部監査人は今後のニーズや障害に備えることができる。監査チームが常に最新の情報を得られるように、以下、人気と重要性を増している、2021年に組織にとって必須となるであろう内部監査のトレンドを紹介する。」
 Trend #1: Digitization and automation
 Trend #2: Remote audit
 Trend #3: The need to deal with the growing risk of internal fraud
 Trend #4: Going into new digital frontiers

トレンド#1: デジタル化と自動化
・ デジタル化と自動化にはさまざまなレベルがある。最も基本的なものにはTrend #1: Digitization and automation デジタルトランスフォーメーションDXは現在進行中のトレンドであり、多くの企業が数年前から始めているプロセスであるが、2021年にはそれが成長し、新たな分野に拡大していくことが予想される。企業が監査手順の自動化を選択するのは、ヒューマンエラーやバイアスを最小限に抑え、時間とコストを節約するためである。多少なりともランダムに情報をサンプリングする代わりに、プロセス全体を網羅する大量のデータをエンド・ツー・エンドで調査できるようになった。デジタル化され、自動化された内部監査プロセスは、継続的に行われ、企業に情報を提供するための洞察を頻繁に提供することができる。

・ 自動化されたデータの収集と分析により、監査チームは、コンプライアンス上の問題に直ちに対処しなければならない場合の特定の警告を含め、関連するデータと洞察を適時に受け取ることができる。データの統合と収集が含まれ、より高度な使用例には、プロセスマイニング、AI、自然言語処理(NLP)などの高度な技術が含まれる。高度なアナリティクスの使用が一般的になるにつれ、今年は洗練されたuse caseが主流になることが予想される。企業は、自動化を全面的に進めるだけでなく、より高度な機能を受け入れるようになるであろう。(注)ユースケース use case とは、利用者があるシステムを用いて特定の目的を達するまでの、双方の間のやり取りを明確に定義したもの。利用者は機器を操作する人間以外にも外部の他のシステムなどを想定する場合もある。

トレンド#2:リモート監査
・ COVID-19の流行により、現在のトレンドはすべてがリモートで行われるようになった。対面での人間関係は限られており、内部監査を担当するチームを含め、すべてのチームがクリエイティブで臨機応変なソリューションを開発しなければならない。この作業は難しいかもしれないが、適切な作業方法とテクノロジーツールがあれば可能になりる。焦点となるのは明らかにコミュニケーションである。組織には、可用性の問題を解決し、チームが同じページを見続けることができるツールが必要である。これには、ビデオ会議ツール、ドキュメンテーション技術、会社と監査参加者にとってプロセス全体のプライバシーと安全性を保つためのセキュリティソリューションが含まれる。また、このプロセスの効率性と生産性を測定し、対面式の監査に遅れをとっていないか、あるいは上回っているかを確認する必要がある。パンデミックが終息した後も、内部監査プロセスの少なくとも一部は、遠隔で行われる可能性が高い。このような傾向は、今後も長期的に続くと思われる。

トレンド#3:内部不正リスクの増大への対応
誰もが自宅で仕事をするようになり、監査プロセスをリモートワーク環境に移行することで、新たな内部不正リスクが発生する。内部不正の試みとしては、調査が困難な虚偽の医療報告、虚偽の時間報告、不正な財務報告、企業の機密情報への不正アクセスなどが考えられる。企業はこのようなことを考えたくないかもしれないが、重要な情報が適切に保護されていない場合、従業員自身が大きなリスクを負うことになる。パンデミック時には多くの仕事が危険にさらされるため、一部の従業員は「保険」を求め、会社のデータを悪意を持って使用することを決意するかもしれない。監査技術は、情報へのアクセスを監視し、データに触れるべきでない従業員がデータに到達した場合に警告を発することができる。高度なAIベースのテクノロジーは、ピースを組み合わせて疑わしい行動を発見し、それを報告することができる。

トレンド#4:デジタルの新境地へ
・ 前述の通り、デジタルトランスフォーメーションは新しいトレンドではないが、内部監査への影響は大きい。企業がハイテク志向を強めるにつれ、セクション全体が変化し、適応しなければならない。これには、先に述べた内部監査プロセス自体のデジタル化だけでなく、会社全体でより多くのデジタル手続きを監視する必要がある。企業は、デジタル活動がコンプライアンスのレーダーを潜り抜けたり、誤った警告を発したりしないようにする必要がある。言い換えれば、内部監査チームとそのチームが使用するテクノロジーは、企業の各プロセスがどのように機能するかを完全に理解することが極めて重要である。デジタルに移行すれば、それに応じて、このプロセスに関連するポリシー、テクノロジー、サードパーティも変更しなければならない。
・ デジタルの新境地へ 2/2デジタルトランスフォーメーションの流れは、監査チームが特定のタスクに取り組む方法だけでなく、監査に特化したテクノロジーの構造や機能にも影響を与えるだろう。デジタル化された企業のプロセスとの連携、新しいツールとの統合、そして関係するデジタル環境に基づいて適切な結論を導き出す方法を知っている内部監査テクノロジーが登場する可能性がある。
・ 内部監査は、関連する規制、ビジネス行為、および技術によって変化する。この分野のトレンドをマッピングする作業を行う際には、企業がどこに向かっているのかを自問し、それに基づいて内部監査戦略を計画しなければならない。これらの要素を考慮することで、あらゆる企業活動が監視され、コンプライアンスと両立していくことが保証される。

 

Ⅳ.内部統制・監査ガイドラインの実例 カリフォルニア大学サンフランシスコ UCSF Audit & advisory Services

カリフォルニア州立大学の1つであるカリフォルニア大学サンフランシスコUCSFは、内部統制及び内部監査に関してはAudit & Advisory Services (A&AS) という独立の法人を設立し、業務を委ねている。UCSF A&ASは、顧客である大学の各部局に以下のようなガイドラインを配付し、統制環境の徹底に努めている。以下は、内部統制と内部監査に関する部分の抜粋である。 https://audit.ucsf.edu/how-we-work

はじめに

-「内部統制」は、監査人がよく使う用語である。基本的には、部門や組織がポジティブまたは望ましい結果を達成し、ネガティブまたは望ましくない結果を回避するためのプロセス、システム設定、ガイダンス、構造または活動のことを指す。 内部統制の構造や、あなたの部署にある内部統制の種類と例など、内部統制の詳細について説明する。

-内部統制は、最適な成果の達成を支援することを目的としている。しかし、過剰な内部統制や冗長な内部統制は、業務の効率性や有効性を低下させる可能性がある。内部統制を設計する際に考慮すべき事項については、「リスクと統制のバランス」を参照されたい。</spanbrbr /> 内部統制に関するその他の資料、および自部門の統制を特定し評価する方法については、「管理職のための資料」をご覧ください。 Audit & Advisory Services

1.内部統制

-監査・アドバイザリーサービスは、業務の効率性と有効性にプラスの影響を与えるよう努力することで、UCSFの目標と目的を達成するために、すべてのレベルのマネジメントとスタッフを支援することが約束される。そのため、以下に提供する内部統制情報は、内部統制の基本的な概念とそのUCSFへの適用を含む。
(1)内部統制の概要
-内部統制とは、企業の取締役会、経営者、その他の従業員によって実施されるプロセスであり、次の事項について合理的な保証を提供するために設計されたものである:
 ・情報の信頼性、正確性、適時性
 ・適用される法律、規制、契約、方針および手続の遵守について
 ・財務報告の信頼性
-内部統制は、エラーや不正を防止し、問題を特定し、是正措置を確実に実施することを目的としている。多くの場合、部門内のプロセスオーナーが日常的にコントロールを実行し、コントロール構造と相互作用している。時には、コントロールが業務に組み込まれているため、それに気づかないこともある。
-統制の定義には、ある基本的な概念が反映されている。
 ・内部統制はプロセスである。内部統制はプロセスであり、目的に対する手段であって、それ自体が目的ではない。
 ・内部統制は人によって行われる。内部統制は人によって行われるものであり、単に方針書や書式だけでなく、組織のあらゆるレベルの人々によって行われるものである。
 ・内部統制は、企業の経営者や取締役会に対して、絶対的な保証ではなく、合理的な保証を提供することだけが期待される。
-内部統制は、さらに強化されるために敷かれている:
 ・情報の信頼性と完全性
 ・方針、計画、手続、法律及び規制への適合性
 ・資産の保護
 ・資源の経済的・効率的な使用
 ・業務またはプログラムに関して設定された目的および目標の達成
(2)内部統制の構成
-内部統制構造は、経営陣が業務や機能を運営する方法から導き出され、経営プロセスと統合されたものである。構成要素は全学に適用されるが、小規模および中規模の部門は、大規模な部門とは異なる形で実施することができる。これらの構成要素は、全体として設定された目的および目標が達成されるよう合理的な保証を提供するよう設計されている。
内部統制構造は、相互に関連する5つの要素から構成されている。
 ① 統制環境 – 統制環境は、組織の基調を決定し、人々の統制意識に影響を与える。統制環境要因には、(1)組織の人々の誠実さ、倫理観、能力、(2)経営者の理念と運営スタイル、(3)経営者による権限と責任の付与、組織と人材の育成方法、(4)大学による注意と指導が含まれます。その他の例としては
  ・トップからのトーン
  ・大学の方針
  ・組織的な権限
 ② リスク評価 – リスク評価とは、目的の達成に関連するリスクを特定・分析し、そのリスクをどのように管理すべきかを決定するための基礎となるものである。例としては、以下のようなものがあります。
  ・リスクに関する問題を議論するための月例会議
  ・内部監査によるリスク評価
  ・内部部局の正式なリスクアセスメント
 ③ 統制活動 – 統制活動とは、経営者の指示が確実に実行されるようにするための方針および手続きのことである。統制活動には、承認、認可、検証、照合、業務実績のレビュー、資産の保全、職務の分離など、さまざまな活動が含まれる。その他の例としては、以下のようなものがある。
  ・購入限度額
  ・承認
  ・セキュリティ
  ・特定の方針
 ④ 情報と伝達 – 適切な情報を特定し、把握し、人々が責任を果たせるような形と時間枠で伝達しなければならない。情報システムは、組織の運営と管理を可能にする業務、財務、コンプライアンス関連の情報を含む報告書を作成する。また、効果的なコミュニケーションは、広い意味で、組織の下へ、横へ、上へと流れていかなければならない。例えば、以下のようなものがあります。
  ・ビジョンとバリュー、またはエンゲージメント調査
  ・問題解決のための電話連絡
  ・報告書作成
  ・大学でのコミュニケーション(例:電子メール、会議など)
 ⑤ モニタリング – 内部統制システムは、時間の経過とともにシステムのパフォーマンスの質を評価するプロセスであるモニタリングが必要である。これは、継続的なモニタリング活動、個別の評価、またはその2つの組み合わせによって達成される。継続的なモニタリングは、業務の過程で行われる。内部統制の不備は上流で報告されるべきであり、重大な事項はトップマネジメントおよびリージェントに報告される。例としては、以下のようなものがある。
  ・業績報告書の月次レビュー
  ・内部監査機能

2.内部統制のタイプ

-リスクと環境が異なれば、必要な統制も異なる。以下に示す統制の種類は、組織に対するリスクを軽減するために組み合わせて使用することができる。
(1)予防と検出のための統制
 ・予防的統制は、望ましくない結果が起こる前に、それを抑止または阻止しようとするものである。例えば、パスワードの使用、承認、方針、手順などが挙げられる。
 ・発見的統制は、すでに発生している可能性のあるエラーや不正を発見しようとするものである。例としては、照合、予算に対する実際の支出の監視、前期、予測などが挙げられます。
(2)ハードコントロールとソフトコントロール
 ・ハード面の統制は、形式的で目に見えるものである。例えば、組織構造、方針、手順、職務分掌などが挙げられる。
 ・ソフトコントロールとは、非公式で無形のものである。例えば、トップの考え方、倫理的風土、誠実さ、信頼、能力などである。
(3)手動コントロールと自動コントロール
 ・手動による統制は、手動のみ、またはITに依存して実行され、特定の統制をテストするために、システムが生成したレポートが使用される。
 ・自動化されたコントロールは、コンピュータシステムによって完全に実行される。
(4)主要な統制と二次的な統制
 ・主要な統制とは、リスクを許容レベルまで低減するために効果的に機能しなければならない統制のことである。
 ・二次的管理とは、プロセスの円滑な運営を助けるが、必須ではない管理である。
実施すべき正しい統制を特定するためには、どのようなリスクが存在するかを知らなければならない。どのようなリスクがあるのかを知るためには、どのような目的を求めているのかを理解する必要がある。 したがって、目的→リスク→コントロールとなる。

3.自部門における内部統制

-自部門における統制活動としては、以下のようなものが考えられる:
 ・職務を異なる人に分担(分離)する職務分離を実施し、ミスや不適切な行為のリスクを低減する。一人の人間が、あらゆる金融取引のすべての側面をコントロールすることはできない。
 ・取引が方針と一致し、資金がある場合には、承認権限を委譲された者が取引を承認するようにする。
 ・取引が適切に処理されたかどうかを判断するために、記録の作成者または取引者以外の者が、定期的に記録を見直し、照合していることを確認すること。
 ・設備、在庫、現金およびその他の財産が物理的に保護され、定期的に計数され、管理記録に示された品目の説明と比較されていることを確認すること。
 ・職員が、(1)職務を遂行するために必要な知識を有し、(2)適切なレベルの指示・監督を受け、(3)不正の疑いを報告するための適切な手段を知っていることを確認するために、適切な研修及び指導を行うこと。
 ・大学及び部局レベルの方針と業務手順が正式に制定され、従業員に伝達されていることを確認すること。方針と手順を文書化し、職員がアクセスできるようにすることは、職員に日々のガイダンスを提供し、職員の長期不在や離職があった場合に活動の継続性を促進するのに役立つ。
-内部統制は、部署内の全員が責任をもって従事するものであることを忘れてはならない。
注:上記の内部統制の定義は、UCSF Audit & Advisory Servicesが認めているCommittee of Sponsoring Organizations of the Treadway Commission(COSO)によって作成されたものである。

4.監 査

-監査は、基本的に組織の業務に対する健康診断である。監査は、(1)業務プロセスを体系的かつ詳細に調査し、(2)リスク(どのような悪いことが起こり得るか)とコントロール(望ましい結果を達成するために何が行われているか)を特定し、(3)業務を改善し、組織の戦略目標を達成するための洞察とアドバイスを提供するものである。
(1)監査対象はどのように決定されるのか?
-A&ASの監査は、様々な理由により、UCSFが財政的またはその他の損失を被るリスクが最も高いと思われる分野に焦点を絞って行われる。A&ASは、毎年広範囲にわたるプロセスを経て、次年度の監査が必要と思われるリスクの高い分野やトピックを特定します。
-私たちは、UCSFの企業全体の機能領域における内部統制、リスク管理、コンプライアンス、ガバナンス活動の有効性の評価を含む正式なリスク評価方法を用いて、これらのキャンパスの「リスクトピック領域」を特定している。キャンパスとUCSFヘルス企業のすべての重要な業務は、リスクを示す可能性のある6つの属性について採点される。
 ・経営管理環境
 ・業務量
 ・公共性の高さ
 ・コンプライアンス要件
 ・情報報告
 ・組織改革
-これらの調査結果は、UCSF Audit Work Planの基礎となり、UCSFの戦略的イニシアチブを支援するためのリソースの優先順位付けに利用される。
キャンパスの一部の業務は、コアビジネス機能とみなされているため、定期的に監査が実施される。
(2)監査に期待すること
-私たちは、各監査を行うにあたり、以下のことを約束します。
 ・監査を実施するチームは、独立した客観的な立場であること。 ・監査チームは、独立した客観的な立場から監査を実施する。また、経営陣は、特定されたリスクについて情報を得、常に把握する。
 ・監査の目的、範囲、要件は、日常業務への支障が最小限になるように伝達されます。
 ・監査は適時に完了する。

5.監査プロセス

-監査法人アドバイザリーサービス(A&AS)の目的のひとつは、監査においてお客様と建設的で透明な関係を維持することである。A&ASは、お客様の日常業務に支障をきたすことがないよう、私たちが何をなぜ行うのか、どのように業務を行うのかを理解していただくために、すべての段階でお客様に継続的に関与していただくよう努めている。
-監査法人アドバイザリーサービスの監査プロセスには、主に4つの段階があります。
 ・Preliminary planning 監査範囲を決定するためのクライアントとの予備計画立案
 ・Fieldwork 組織内のリスクレベルおよびコントロールに関する情報(データを含む)を収集、分析、評価するためのフィールドワーク
 ・Reporting 報告(1)監査結果および是正勧告(ある場合)の伝達、(2)特定されたリスクを低減し、統制を改善するために経営者が取るべき措置の最終決定
 ・Postaudit follow-up 監査後のフォローアップ:実施した措置の結果を判断し、監査経験に関するクライアントのフィードバックを得ること

page top

サインイン

新規登録

パスワードをリセット

ユーザー名またはメールアドレスを入力してください。新規パスワードを発行するためのリンクをメールで送ります。