多くの内部監査部門は、誇らしげに「リスクベース」と自称しています。ですが、実際にはまったくリスクベースではないところが少なくありません。単にリスクの言葉遣いで整理された、統制テスト機能にすぎないのです。それは同じではありません。
より深い問題はこうです。出発点はリスクであってはならない。目的であるべきです。なぜなら、リスクは組織が達成しようとしている何かに対してのみ存在するからです。
監査がリスク登録簿から始まると、しばしば次のものを引き継いでしまいます。
- 汎用的なカテゴリ
- 政治的に濾過された優先順位
- つながりの薄い統制ライブラリ
- そして、重要そうに聞こえるのに、事業が実際に成功しているかどうかをほとんど語らない大量の活動
より強いモデルは次のとおりです。
目的 → リスク → 統制 → 成果
これがすべてを変えます。
次のように問う代わりに:
- 統制は実施されたか?
監査が問うべきは次の点です:
- 何が必ずうまくいかなければならないのか?
- それを妨げうるものは何か?
- 最も重要な統制はどれか?
- そして、組織は実際にその成果を達成しているのか?
なぜなら、不都合な真実がここにあるからです。
プロセスは、完全に統制され、完全に文書化され、定期的に表明されていても、なお組織が必要とするものを提供できないことがあります。だからこそ、監査業務の多くはいまだに、成功に対する保証ではなく、活動に対する保証を生み出しているのです。
取締役会が最終的に気にかけるのは、照合作業に署名が期限内に行われたかどうかではありません。財務の健全性が守られているかどうかです。
彼らが気にするのは、統制マトリクスが網羅的かどうかではありません。重要な目的が安定的に達成されているかどうかです。
私の見解では、監査の未来は単なるリスクベース監査ではありません。目的ベースで、リスクに基づき、成果に焦点を当てたアシュアランスです。
監査がこの転換を遂げない限り、専門職の多くは、統制実行のテストと、真のアシュアランスの提供を混同し続けるでしょう。
0 件のコメント:
コメントを投稿