【CIA試験講義】パート2 セクションC-2-c: コミュニケーション対象者の決定
テーマ:宛先のない手紙は届かない ~情報を「価値」に変える相手選び~
セクションC-2-cは、個々の監査業務において、発見事項や結論を共有すべき「適切なステークホルダー」を特定するプロセスです。
試験では、単に「被監査部門の長に送ればよい」という単純な思考ではなく、「誰が行動を起こせるのか」「誰がこのリスクを知る必要があるのか」という観点から、報告先を戦略的に選定する能力が問われます。
1. 導入:ステークホルダーは「被監査部門」だけではない
内部監査のコミュニケーション相手は多岐にわたります。 「購買部の監査だから、購買部長だけに報告すればよい」というのは間違いです。その監査結果は、全社的なリスク管理やガバナンスに関わる可能性があるからです。
GIAS(グローバル内部監査基準)では、監査人は業務の性質や発見事項の重要性に応じて、コミュニケーションの対象範囲を決定する必要があります。
2. 主要なステークホルダーとその役割
監査情報の受け取り手は、大きく以下のレイヤーに分類されます。
| 対象者 | 役割とコミュニケーションの目的 |
|---|---|
| プロセスオーナー (現場管理者) | 直接的な是正措置の実行者。 詳細な発見事項と具体的な改善案を伝え、合意を得る必要があります。 |
| 上級経営陣 (Senior Management) | リソース配分と監督の責任者。 重要なリスクや傾向、組織全体への影響を要約して報告します。 |
| 取締役会 / 監査委員会 | ガバナンスの監視役。 極めて重要なリスク(Material Risk)、経営陣によるリスク受容の妥当性、上級役員の不正などを報告します。 |
| その他の保証提供者 (法務、コンプライアンス等) | 専門的な助言者・連携先。 法令違反やコンプライアンス問題が見つかった場合、法務部門やコンプライアンス部門とも情報を共有する必要があります。 |
| 外部監査人 / 規制当局 | 外部の利害関係者。 必要に応じて(または法的義務に基づいて)、監査結果を共有します。 |
3. 対象者を決定する3つの基準
「このメールのCCに誰を入れるべきか?」と悩むのと同様に、監査報告書の配布先(Distribution List)を決める際は、以下の基準を用います。
① 是正権限(Authority)
誰がその問題を解決する権限を持っているか?
- 例: 予算不足が原因でコントロールが効かない場合、現場課長だけでなく、予算権限を持つ部長や本部長を含める必要があります。
② 知る必要性(Need-to-know)
誰がその情報を知っておく必要があるか?
- 業務上の必要性: そのプロセスに関連する他部門(例:ITの問題ならIT部門)。
- 機密性の考慮: 逆に、個人情報や機密性の高い調査結果(不正調査など)は、関係のない人に見せてはいけません。配布先を厳格に制限する必要があります。
③ 影響の範囲(Impact)
そのリスクが顕在化したら、誰が困るか?
- 例: 工場の生産停止リスク → 営業部門(納期遅延)や財務部門(売上減)にも知らせるべきかもしれません。
4. センシティブな状況での判断
試験でよく問われるのが、「通常のルート」が使えない場合です。
- シナリオ: 被監査部門のトップ(部長)自身に不正の疑惑がある。
- 対応: 通常であれば部長に報告書案を送りますが、この場合は部長を配布先から除外し、さらに上位の役員や監査委員会、法務部門に直接コミュニケーションを図ります。
まとめ
セクションC-2-cのポイントは、「アクション(行動)につながる宛先選び」です。
- 改善してほしいなら、権限のある人に送る。
- リスクを共有したいなら、影響を受ける人に送る。
- 守りたい情報なら、宛先を絞る。
漫然と「いつものリスト」で送付するのではなく、監査業務ごとの内容に合わせて配布先をカスタマイズすることが求められます。
【練習問題】パート2 セクションC-2-c
Q1. 内部監査人は、製造部門の監査において、工場排水が環境規制値を超過している事実を発見した。これは法的制裁や工場の操業停止につながる重大なリスクである。この発見事項についてコミュニケーションを図るべきステークホルダーの組み合わせとして、最も適切なものはどれか。
A. 現場の担当者のみ(迅速に修正させるため)。
B. 工場長のみ(工場の最高責任者であるため)。
C. 工場長に加え、環境安全担当役員、法務部門、および監査委員会(法的リスクと経営への影響が甚大であるため)。
D. 外部のメディアおよび環境保護団体(社会的責任を果たすため)。
【解答・解説】
正解と解説を表示
正解(C): 重大な法令違反リスクは、現場や工場長レベルだけでなく、組織全体のリスク管理に関わる問題です。したがって、担当役員、法的対応を検討する法務部門、および監視役である監査委員会へ報告する必要があります。
不正解(A): 現場担当者だけでは、法的対応や大規模な設備投資などの判断ができません。
不正解(B): 工場長への報告は必須ですが、リスクの重大性を考慮すると、それだけでは不十分です。
不正解(D): 内部監査人は組織の代理人であり、法的な義務や組織の承認なしに、独断で外部へ情報を漏洩させてはなりません(内部通報制度などの例外を除く)。
Q2. 人事部門の監査において、内部監査人は「従業員の給与データ」を含む機密性の高い発見事項を報告書に記載することになった。最終報告書の配布先(ステークホルダー)を決定する際の判断として、GIASに基づき最も適切なものはどれか。
A. 透明性を確保するため、社内のイントラネットに報告書を公開し、全従業員が閲覧できるようにする。
B. 標準的な配布リストを使用し、通常通り全役員および全部門長に写しを送付する。
C. 「知る必要性(Need-to-know)」の原則に基づき、人事担当役員や人事部長など、是正措置に直接関与する権限者のみに配布先を限定する。
D. 機密情報であるため、文書化は行わず、人事部長への口頭報告のみで済ませる。
【解答・解説】
正解と解説を表示
正解(C): 個人情報や機密情報を含む監査結果は、情報の漏洩リスクを最小限に抑えるため、配布先を厳格に制限する必要があります。是正に必要な権限を持つ人だけに送るのが原則です。
不正解(A): プライバシー侵害および情報セキュリティ事故につながるため、絶対に行ってはいけません。
不正解(B): 「いつものリスト」で自動的に送ると、関係のない部門長にまで個人情報が渡るリスクがあります。
不正解(D): 重要な発見事項については、機密性を保ちつつも、監査証跡として文書化する必要があります。口頭のみでは不十分です。
Q3. 内部監査人は、営業部門の監査において、販売促進費の使用に関する不正の兆候を発見した。調査の結果、営業本部長が関与している可能性が高いことが判明した。この段階におけるコミュニケーションの相手方として、最も適切なものはどれか。
A. 疑いを晴らす機会を与えるため、まずは営業本部長本人に詳細な証拠を提示して説明を求める。
B. 営業本部長の直属の部下である営業部長に相談し、本部長の動向を探ってもらう。
C. 営業本部長を除外した上で、CEO(最高経営責任者)および監査委員会、法務部門などの独立した権限を持つステークホルダーに報告・相談する。
D. 外部監査人にのみ報告し、社内には一切情報を伝えない。
【解答・解説】
正解と解説を表示
正解(C): 上位者が不正に関与している場合、その人物に報告することは証拠隠滅や妨害を招くため不適切です。指揮命令系統を飛び越えて、より上位の経営陣や監視機関(監査委員会)、法的助言者(法務)と連携する必要があります。
不正解(A): 証拠隠滅のリスクが極めて高く、不正調査の原則に反します。
不正解(B): 部下を巻き込むことは、その部下を利益相反や報復のリスクに晒すことになり、不適切です。
不正解(D): 外部監査人との連携も重要ですが、まずは組織内の適切なガバナンス機関(監査委員会等)への報告が優先されます。
