組織体によっては、内部的なアシュアランス機能が複数存在することがある。それら機能が互いに協力し合うことにより、無駄が省かれ、有効且つ効率的な内部監査業務が実現することになる。
望ましいアシュアランスのレベル、及び誰がアシュアランスを提供するべきかについてはリスクの程度等により影響を受けるがこの際の指針の一つとなりうるのが「アシュアランス・マッピング」という考え方がである。
アシュアランス・マッピングとは
アシュアランス・マップとはリスクと関連するディフェンスラインのアシュアランス活動との関係を整理した一覧表である。一覧性のある表を作成することで組織体のリスク対応状況を俯瞰的に確認することが出来る。また、各リスクオーナーも他部門の対応策を踏まえた全社的な視点に立った検討が出来るようになる。
引用:PwC’s View Vol.12 January2018
取締役会の責任と役割
近年、取締役会と経営幹部の責任と役割を求められており、それを契機に組織体はアシュアランス活動をより重視する傾向になってきた。なお、「規準」の用語一覧で定義するアシュアランスは以下の通りである。
組織体のガバナンス、リスク・マネジメントおよびコントロールの各プロセスについて独立的評価を提供する目的で、証拠を客観的に検証すること。例として、財務、業務遂行、コンプライアンス、システム・セキュリティおよびデュー・ディリジェンスなどに関する個々のアシュアランス業務が挙げられる。
取締役会の責任
取締役会の重要な責任の一つは、定められた目標を達成するために、取締役会が設定した条件の範囲で、諸プロセスが運営されていることのアシュアランスを得ることである。リスク・マネジメント・プロセスが有効に働いているかどうか、キー・リスクまたは重大なリスクが許容可能なレベルに管理されているかどうかを決定することが必要である。
取締役会の役割
取締役会は、確固たるアシュアランスを得る為に、複数の情報源を用いるようになる。経営管理者からのアシュアランスを基本とし、それに内部監査や外部監査により得られる客観的なアシュアランスを用いて完全なものとすべきである。リスク・マネージャー、内部監査人とコンプライアンスの実務家は誰が、何を、なぜやるのかと問いかける。特に取締役会は、以下の3点についての問いかけを行う。
- 誰がアシュアランスを提供しているのか
- それぞれの部署間の役割の説明はあるのか
- その役割に重複は無いのか
アシュアランスの提供者
基本的にアシュアランスの提供者には以下の3種類がある。これらは、報告先であるステーク・ホルダー、アシュアランス対象からの独立性のレベルおよび、アシュアランスの強固さにより区分される。
- 経営管理者に直属している者。または経営管理者の一部の者。(経営管理者によるアシュアランス)
- コントロールの自己評価(CSA)実施者
- 品質監査の担当者
- 環境監査の担当者
- その他経営管理者により任命された、アシュアランスを担当する者
- 取締役会に(直接)報告する者
- 内部監査人
- 外部のステーク・ホルダーに報告する者(外部監査のアシュアランス)
- 伝統的に独立した/法定の監査人
コメント