内部監査の品質評価について考えてみる。

　内部監査を担当するようになって5年ほど経ったころ、私は自分たちがしている内部監査が適切なのか気になってきた。そこで、同業で同等規模の企業と内部監査部門同士の情報交換をしようと考えた。声をかけた3社がいずれも協力してくれて、順次個別に実施した。それで分かったのは、同じ「内部監査」と称していてもその活動は千差万別で、多少の情報交換では比較さえできないということだった。

　3社のうち1社は、数年前に始まった内部統制報告制度への対応に追われて、本来の内部監査どころではないという状況だった。私のところは、内部統制報告制度対応と内部監査の比率は１対３ぐらいだった。同業で同等規模、生産品目は違うが、事業全体としては特別な違いはないのに、ずいぶん違った。他の2社も、内部監査の単位が異なり、私たちが3年周期で全部署・全子会社を回るのに対し、彼らは毎年2-3のテーマを決めて、それに関連する部署・子会社を一巡するという。
　年度内部監査計画を策定方法や個別監査の実施通知から準備・往査の手順、内部監査の結果整理から指摘・提言をまとめて報告書にまとめる流れについて、自分たちのやり方を説明しても、彼らのやり方を説明してもらっても、お互いにきょとんとしてしまう。何から何まで違いすぎて、なぜ、そのようなやり方をしているのか、理解できないのだ。

　「グローバル内部監査基準」は、内部監査の品質評価について、5年に1回の外部評価と年1回の内部評価を必須としている。しかしながら、それはなかなか難しい。私が内部監査部長を務めたとき、人件費を除く毎年の経費予算は2-3百万円だった。外部評価は費用が数百万円もかかるので、そのような内部監査部門には大きすぎる負担である。
　一方、内部評価については、自分たちでできるので、直接には出費はない。その手順は、日本内部監査協会から発行されている「内部監査の品質評価マニュアル」に従えばよい。内部評価の手順をこなすことはできるが、効果的に行うのはなかなか難しい。

　外部評価を安価に済ませる方法はないわけではない。外部評価を、少人数かつ短期間で行うのだ。外部評価を未経験であれば、おそらく問題の発見は第三者には難しくない。短期間でもいくつかの改善点の指摘ができて、一定の成果を得られる。それでは物足りないというレベルに達したあとで、人手と時間をかけた本格的な外部評価を実施するのだ。
　内部評価についても、少人数の内部監査部門でも実効性を上げることはできる。部員以外のメンバーを1名でも加えるのだ。そのメンバーを毎年交代させれば、毎年新たな視点を加えて監査することができる。そのメンバーは、評価の全体に参加する必要はない。計画策定と結果評価の段階で加わり、新たな視点を提供すればよいだろう。

　少人数の内部監査部門の場合、外部評価は一度もできていないという話を聞くことが多い。まず一度、簡便な方法でよいのでしてみてはどうか。あるいは、社長か内部監査部門長が交代したときなどにしてはどうか。新任社長が内部監査に不満を感じるころには任期は終盤になる。この記事をお読みの経営者や内部監査部門長の皆さんは、どうお考えだろうか。

※「グローバル内部監査基準」は新しく、2025年1月から適用されている。それ以前は「内部監査の専門的実施の国際基準」のほか「専門職的実施の国際フレームワーク」（略してIPPF）の中に分散して、基準と同じような内容が含まれていた。
　新しい「グローバル内部監査基準」に基づく「内部監査の品質評価マニュアル」の最新版は2025年６月（ブログ掲載直後！）に発行されたばかりだ。6月の初版は不備があったようなので、9月の初版第2刷を購入されたい。

（ブログ 2025/6/4～2025/6/14）

　SCORモデルをご記憶だろうか。業務プロセスの参照モデルであり、サプライチェーンマネジメントのツールとして1990年代後半に登場した。当時、これから必須の知識になると私は思ったが、日本では、その後の10年ほどで忘れ去られてしまったようだ。一方、欧米では引き続き研究が進んだと聞いた。ERPベンダが「ベストプラクティス」と表現したものは、SCORモデルが由来だと思う。そのSCORモデルのJ-SOXへの利用について考える。
※SCOR model：Supply Chain Operations Reference modelであり、APICS supply chain councilが提唱したサプライチェーンプロセスの参照モデル。
※J-SOX：ここでは、金融商品取引法で上場企業に課されている内部統制報告制度に対応する、企業の一連の活動。

　J-SOXにおいて、業務処理統制の状況は、業務フロー、業務記述書、RCMの三文書で表現し、業務を可視化する必要がある。その文書を作成するために、文書作成者は業務担当者から手順を聞き取るのだが、その時に参照モデルと照らし合わせながら進めると、聞き取りの効率は格段に上がる。参照モデルには通常必要な手順が網羅されているので、文書作成者は聞く前に手順を想定し、業務担当者の説明を聞き漏らさずに済む。

　仮に、業務担当者の説明する手順を文書作成者が聞き取ったまま文書化すると、業務のバリエーションと説明のバリエーションが掛け合わさって、文書は千差万別になる。その状態で、他のプロセスと効率を比較し、あるいは他の良い点を取り入れることは難しい。一方、参照モデルに沿って手順をまとめると、その表現や粗さが整うので、他のプロセスと比較し、あるいは良い点を取り入れることが可能になる。

　SCORモデルがなくても、自社の既存プロセスがあれば、それを参照モデルとする方法もある。ところが、実在する既存プロセスは業務特性に応じて合理化され、たとえばプロセスの一部が省かれている。それを元にして別のプロセスを可視化すると、省かれた部分の検討が漏れる。その分だけ手直し・手戻りが増え、時間が掛かる。標準的なプロセスを網羅したモデルのほうが、短時間でよい結果に至る。

　SCORモデルを使わないと、文書作成者が業務担当者から手順を聞き取るときの効率が悪い。その結果はどうなるだろうか。手順を聞き洩らすと、統制が弱いように見えてしまう。統制を補うために手順を追加してしまい、業務の負荷は増える。今まで業務のミスが問題になっていないのに、J-SOX対応により業務の負荷が増えたとしたら、こんなことが想定される。その場合、聞き洩らしていた統制を文書化するだけで業務を効率化できる。

　SCORモデルには懸念もある。J-SOXへの利用という目的に対して、SCORモデルは重過ぎる。J-SOXは財務報告の信頼性向上が目的であるが、SCORモデルは通常想定される管理を網羅している。故に、J-SOXのためだけにSCORモデルを導入することはお勧めしない。新規事業の業務設計やERP導入を主目的としてSCORモデルを導入し、ついでにJ-SOXにも使うぐらいがよさそうだ。
　あるいは、SCORを導入せずに利用だけすることもできる。SCORを知る人、たとえば情報システム部員やコンサルタントに、J-SOXの整備・文書化を手伝ってもらうのだ。
（ブログ 2025/5/2～2025/6/2）

　兵庫県知事のパワハラを第三者調査委員会が認定したというニュースを三月に聞き、調査報告書を読んでみた。確かに、10項目についてパワハラだとしている。ただし、「職場の雰囲気を壊すので、こういう行為はやめなさい」という趣旨であり、辞任を求めるものではない。ハラスメントは、軽微な場合でも職場の雰囲気を悪くするので、やめるべきだ。一部のマスコミは知事に辞任を迫った。彼らは傷害や強制わいせつなどの犯罪行為でも「ハラスメント」や「いじめ」と表現するので、問題の程度を表現できないらしい。

　パワハラには程度がある。ひどい場合は懲戒すべきだが、止めればよいというものもある。たとえば、大声で部下を叱る行為は、頻繁なら懲戒の対象となり得るが、一回だけで懲戒はまずない。懲戒はないけれど、状況によってはパワハラに該当し、「止めなさい」なのだ。マスコミは、パワハラに該当したことだけで辞任を迫るが、この場合はマスコミがパワハラの加害者だ。

　兵庫県知事のパワハラ等を告発する文書は、当初は県庁外部に送られた。告発された知事の行為は、パワハラ以外に６つあり、その一つは事実とは言えず、あとの５つは事実の部分もあるが問題とは言えないと委員会は評価した。その、問題としなかった5つの行為の中に法令違反があることをもって、この告発を公益通報とみなした。外部への告発の場合、この判断は微妙だ。まず、通常のパワハラは、公益通報の対象ではない。通報にはパワハラ以外の違法行為の指摘もあったが、外部への通報で通報者が保護されるためには、通報対象事実が生じたと信じるに足る相当の理由が必要である。その「相当の理由」を委員会は明確にせず、公益通報者を保護する体制に関する条文の解釈を根拠にしている。（公益通報を内部…今回の場合は県庁の通報窓口宛に行った場合は「相当な理由」は要件になく、不正な目的でない限り、通報者は保護の対象となる。）
　委員会は、兵庫県知事のパワハラ等をマスコミ等に通報した行為は不正な目的ではないと判定した。理由は、告発文書に「関係者の名誉を毀損することが目的ではない」と書かれているからだという。本人がそう書いたことをもって不正な目的ではないと判断するのは、客観性の点で疑問が残る。一方、不正な目的と判断する場合はそれを証明しなければならず、それも難しい。

　最初の文書での指摘は7件もあって、パワハラは7つの最後の1件だった。この種の文書は重要なことから書くものだから、通報者にはパワハラの問題よりも他の6つのほうが重要なのだろう。その６つが事実ではなく、または問題ではなく、しかも通報を内部通報窓口で受けてないのだから、この種の通報を内部通報ではなく誹謗中傷だと決めつけてしまうことはどこにでも起こり得る。他山の石とすべきだ。
（ブログ 2025/3/24～2025/4/2）

　農業分野におけるデジタル活用について議論する機会があり、デジタルを活用した新たなサービスを考え出してみようという話題になった。出てきたアイデアには、経験のない新規就農者に対して圃場（田畑）に最適な作物や品種をAIで判定して提供する案や、農作業計画をAIで策定する案があった。これらをAIで実現しようとしても、年のサイクルでしか学習できないので、機械学習の利点を発揮できないと考え、私は「できっこない」と一蹴してしまった。では、農業に関して何ならできるのだろうか。

　デジタルが、経験のない新規就農者の助けになるケースはある。たとえば、農作物の病気や害虫の診断をするサービスは、スマホで撮った病気・虫食いの葉の写真などを元にAIで原因の病気や虫を診断してくれる。原因が分かれば対策を打てる。グローバル化により病気・害虫が多様化し、また、熟練生産者が高齢化して新規就農者に技術を伝える時間がない中での解決策だ。ただし、対象の作物は限られる。
参考：「AIを活用した病害虫診断技術の開発」㈱ノーザンシステムサービス
https://www.nssv.co.jp/randd/ja/project-02.html

　あるいは、経験のない新規就農者でも熟練者と同等の農作業を可能にするアプリがある。たとえば、ブドウ収穫作業で掛ける眼鏡だ。収穫時期になった房を見分けてガイドしてくれて、未経験者でも熟練者と同等のスピードで収穫できる。収穫した房の秀品率は熟練者を上回るという。ブドウの花が咲き始めたころに、房の形を整えるために余分な花を切り落とす作業や、実の粒を大きくするために余分な実を間引く作業を支援する機能の眼鏡もあるという。
参考： 「⾼品質シャインマスカット⽣産のための匠の技の「⾒える化」技術の開発・実証」ＪＡフルーツ山梨
https://www.naro.go.jp/smart-nogyo/r2/files/r2_5g_C02.pdf

　さらに、自動的にキャベツを収穫する「キャベツ収穫機」が実用化されている。キャベツ畑を走りながらAIでキャベツを識別して、その位置に刃物を合わせて刈り取り、まわりの余分な葉を落として、丸いかたまり（売る部分）だけを車上の籠に収納する。運転は無人でできるが、籠へのキャベツの収納は人が補助したほうがよさそうだ。ところで、収穫期しか使わない農業機械に、農家はどれほど投資できるのだろうか。
参考：オサダ農機株式会社「キャベツ収穫機」
http://www.osada-nouki.co.jp/cabbage.html

　収穫を自動化する例は多いが、使用時期が短いので、大きな機械の場合はなかなか採算が合わない。そこで、シェアというサービスがある。農業機械を利用する時期だけ借りて、終わったら返す。業者は、返却されたらメンテナンスをして、季節を追いかけて別の地域の農家に貸し出す。借りる費用は所有するより若干安く、メンテナンスにより農作業中の故障は少ない。
参考：ＪＡ三井リース「農機具リース」
https://www.jamitsuilease.co.jp/service/agriculture/special.html

　農業分野にAIを使う例は多いが、AIは機械学習のためのデータを必要とする。たとえば病気や害虫の診断AIには、病気や害虫の被害を受けた作物や葉の写真が学習に使われる。写真は原則として著作権を保護されるので、勝手にコピーできない。学習のための写真は数が必要なので、大勢の生産者等が協力して、このために提供している。もちろん、これらの写真も保護される必要があることは言うまでもない。提供した生産者等が意図する範囲を越えて情報・知識等が流出する事態、提供した結果の成果を提供した生産者が利用できない事態は避けたい。そういうときの契約書のガイドラインを農水省が提供している。その出来栄えを評価できるほど読み込んでいないが、契約内容を白紙から考えるよりはこれを利用するのが確実だ。
参考：農水省「農業分野におけるAI・データに関する契約ガイドライン～農業分野のノウハウの保護とデータ利活用促進のために～」
https://www.maff.go.jp/j/kanbo/tizai/brand/keiyaku.html

　農研機構が提供する農業データ連携基盤WAGRIというクラウドサービスがある。気象や農地、収量予測など農業に役立つデータやプログラムを提供する公的なサービスで、官公庁・農研機構・民間企業・民間団体などから様々なデータやシステムが提供され（有償を含む）、それを利用して農機メーカやICTベンダなどが農業者等へのサービスを提供する。私自身は直接利用したことはないが、注目している。
参考：WAGRI　https://wagri.naro.go.jp/

　あるいは、AgriTechという表現でスマート農業を表すこともある。その中には販売支援も含まれる。たとえば、「農家の直売所」という農産物流通プラットフォームは、生産者と都市部のスーパーマーケットを結び付け、収穫翌日には店頭に並べる仕組みを整備し、販売価格は通常の流通経路より若干安く、生産者の手取り額は多い。売場に生産者の顔写真を置くなどして、消費者に身近に感じてもらえる工夫をしている。
参考：株式会社農業総合研究所「農家の直売所」
https://nousouken.co.jp/service/farmers-direct-sales-office

　冒頭に述べたような、経験のない新規就農者に対して、自分の圃場（田畑）に最適な作物や品種をAIで判定して提供する例や、農作業計画をAIで策定する例は見つけられなかった。やはり、AIではできないのだと思う。
（ブログ 2025/2/23～2025/3/3）

　日韓を結ぶ高速船クイーンビートルの浸水隠蔽についての第三者委員会調査報告書（2024年11月21日開示）を読み解く。

　この事案で最大の問題は、運航していたJR九州高速船が浸水の事実を、三か月を超えて隠蔽したことだ。同社の方針として、浸水の懸念があれば当局に報告することを定めていたにもかかわらずだ。初日は浸水が少量で、通風口などから海水が侵入したものと推定されたのでやむを得ない面もあるが、3日-4日と継続すればそうはいかない。そこが分岐点だった。
　JR九州高速船が浸水に関して定めた方針は、少量でも浸水があれば関係機関に速やかに報告、というものだった。それに基づいて、問題の浸水隠蔽が始まる前月までは、少量の原因不明の浸水でも当局に報告されていた。だが、問題の浸水は、一晩だけ様子を見るはずが、当局に報告せずに運航を継続せよとの方針変更だと船長も船員も認識したという。こういうとき、船長や運航管理者は、運航の安全に関しては社長に盾をつくぐらいに頑なでなくてはならないが、空気を読んでくじけることもある。普段から言い聞かせて支えるのは経営者の仕事だ。

　船を運航する企業なら、浸水や沈没などの事故は最重要リスクの一つである。運航部門や運航管理者には運航の安全の責任を負わせ、利益や顧客満足の責任は営業部門に負わせる。この事案の場合は、そのような責任分担が曖昧だったのか、浸水発生時に、予約客のために運航を継続する方向に幹部の意見が偏り、社長はそれを追認した。ガバナンスの欠陥である。
　リスクマネジメントの観点から、浸水や沈没などの事故を最重要と認識し、運航の安全に手厚いリスク対応を組み込むと決めることが必須だ。リスク対応としては、運航部門と営業部門の業務を分けて、運航部門は安全、営業部門は顧客満足というように責任を分離し、難しい判断のときに経営者に相談が上がるようにすることだ。

　この事案で私が次に重大と思うのは、浸水警報装置のセンサーの、本来の位置から上方への移動だ。浸水が徐々に増えて、このままでは警報が作動して浸水を当局へ報告せざるを得なくなり、運航できなくなることが理由だった。船員にとって、浸水警報装置は自らの命を守るためのものでもある。誰に「やれ」と言われてもやりたくないと思うのだが。
　この件、社内での相談や報告はされていた。運航管理者代行、運航管理者、安全統括管理者、そして社長まで承知していたのに、誰も異を唱えなかったのである。浸水の事実を隠ぺいするために浸水警報装置を上方へ移動させたことが、安全軽視という観点でのちに問題になる可能性を考えなかったのだろうか。
（注：浸水警報装置は、浸水の水位がセンサーの高さに達すると警報が作動する。上方へ移動すると、浸水がより高い水位に達するまで警報は作動しない。）

　この事案に関する具体的な問題行動は他にもあった。隠蔽された浸水が始まった初日に浸水量の記録を取るように運航管理者が船長に指示したのだが、その記録は航海日誌などの当局が閲覧し得る公式記録にではなく、非公式の記録簿にされた。3ヶ月もそれを続けたわけだが、浸水の事実を当局に隠し通せると考えたように見える。それは不可能だ。
　一般に、当局などに報告すべき問題を仲間うちで隠蔽しようとしても、しばしば失敗する。うっかりしゃべってしまう仲間がいたり、隠蔽していると知らない人がしゃべったり、仲間うちから内部通報があったりする。経営者としても、運航管理者としても、このような隠蔽はあり得ないのだ。

　この事案で、JR九州高速船がまっとうな道に戻る機会はあったと思う。その最後の機会は、浸水の記録が2-3日で終わらず記録簿のようになったときだろう。これはまずいよ、やめよう、と誰かが言えば引き返せたのではないだろうか。それが若い船員だったとしても、公益通報保護法が整備された今の時代に、従業員に黙っていろと言える経営者はさすがにいないと信じたい。

　なお、第三者委員会の報告書について、2024年12月27日に第三者委員会報告書格付け委員会が非常に低い評価結果を開示した。9人の委員のうち7人がD、2人がFだという。評価の理由のうち、社長、運航管理者、船長がそろって安全より利益を優先した理由・動機の解明がされていない点を指摘している。私は「空気を読んだ」と解釈したが、確かに他の理由もあり得る。
（ブログ 2024/12/30～2025/1/11）