法令・規制要件の洗い出し｜コンプライアンス義務を監査対象に反映【CIAパート3】

Contents

テーマ：見えない「地雷」を地図に落とし込む～コンプライアンス・ユニバースの構築～
【練習問題】パート3 セクションB-1-e

テーマ：見えない「地雷」を地図に落とし込む～コンプライアンス・ユニバースの構築～

セクションB-1-eは、監査計画を策定する際、組織が遵守しなければならない「法律」や「規制」をどのように把握し、それを監査対象領域（ユニバース）に反映させるかというプロセスです。

試験では、内部監査人が六法全書を暗記していることではなく、「誰から情報を得て、どのようにリスクとして認識するか」というプロセスと連携が問われます。

1. 導入：なぜ「法律」の識別が必要なのか？

組織活動には常にルール（法律・規制）が伴います。もし、新しい環境規制が施行されたのに、内部監査計画に「環境監査」が含まれていなければ、組織は知らぬ間に法違反を犯し、巨額の罰金や評判の失墜（レピュテーション・リスク）に直面するかもしれません。

内部監査部門長（CAE）は、監査計画を作成する際、組織に適用される法的義務（Legal Obligations）を網羅的に把握し、高リスクな領域を特定する必要があります。

2. 識別プロセスの「源流」を探る（情報源）

内部監査人が独力ですべての法律を調べるのは非効率であり、専門性も不足しがちです。 GIAS（グローバル内部監査基準）では、組織内の第2線（専門管理部門）との連携を重視しています。

① 主要な内部情報源

法務部門（Legal）： 訴訟状況、契約上の法的義務、法解釈。
コンプライアンス部門： 業法（銀行法、薬機法など）や規制対応の状況。
政府渉外・広報部門： 将来施行される法案の動向。

② 主要な外部情報源

規制当局のウェブサイト・ニュースレター： 監督官庁からの直接情報。
業界団体・協会： 同業他社の動向や業界特有の規制。
外部監査人・法律顧問： 専門家からのアドバイス。

3. プロセスの手順（3ステップ）

CAEは、以下の手順で法的リスクを監査計画に取り込みます。

インプットの収集： 法務・コンプライアンス部門と定期的に協議し、「今、どの規制が一番ホットか？（例：AI規制、データプライバシー、労働法改正）」を確認します。
監査ユニバースへのマッピング： 識別された法的義務を、関連する監査対象（部門やプロセス）に紐づけます。
- 例：「GDPR（EU一般データ保護規則）」→「欧州支店」および「ITデータ管理プロセス」に紐づけ。
リスク評価と優先順位付け： 違反時のインパクト（罰金、業務停止）と発生可能性を評価し、監査計画の優先順位を決定します。

4. 内部監査人の「能力」の限界

ここが試験の頻出ポイントです。内部監査人は、法律や規制について「十分な知識（Sufficient Knowledge）」を持っている必要がありますが、弁護士のような「完全な専門知識」までは求められていません。

監査人の役割： 「コンプライアンス・プロセスが有効に機能しているか」を評価すること。
やってはいけないこと： 監査人自身が「これは違法だ」と断定的な法的判断を下すこと（これは法務部門や顧問弁護士の役割です）。

5. 試験で狙われる「ひっかけ」ポイント

×「内部監査人は、組織に適用されるすべての法律を自力で調査し、リスト化しなければならない」
- 解説： 非効率です。まずは法務やコンプライアンス部門（第2線）が作成している管理台帳（コンプライアンス・ユニバース）を活用し、それを検証・利用するアプローチが正解です。
×「監査中に法違反の疑いを発見した場合、監査報告書に『違法行為があった』と明記して発行する」
- 解説： 勇み足です。監査報告書には「違反の可能性がある」や「要件と不一致である」と記述し、最終的な「違法性」の判断は法務部門や顧問弁護士の助言を仰ぐ必要があります。
×「グローバル企業であっても、本社の国の法律のみを基準に監査計画を立てればよい」
- 解説： 間違いです。海外拠点（現地法人）がある場合、現地の法律・規制（Local Regulations）を識別し、計画に反映させるプロセスが必要です。

まとめ

セクションB-1-eのポイントは、「連携（Collaboration）と境界線（Boundary）」です。

連携： 法務・コンプライアンス部門から情報を得る。
境界線： 法的判断（解釈）は専門家に任せ、監査人はプロセスの有効性を評価する。

「法律」という地雷原を歩くための地図は、専門家（第2線）から入手し、監査人はその地図を使って安全確認（監査）を行うのです。

【練習問題】パート3 セクションB-1-e

Q1. 内部監査部門長（CAE）が次年度の監査計画を作成するにあたり、新たに施行される厳格な「データプライバシー規制」を監査対象領域に組み込もうとしている。この規制に関する正確な要件や適用範囲を識別するためのプロセスとして、最も適切かつ効率的な方法はどれか。

A. 内部監査部門のスタッフ全員に条文を読ませ、各自の解釈を持ち寄って議論し、監査基準を独自に作成する。

B. コンプライアンス部門および法務部門の責任者と協議し、彼らが特定した規制の影響範囲やリスク評価の結果を入手して、監査計画に反映させる。

C. 規制当局に直接問い合わせを行い、内部監査計画のドラフトを送付して、内容が法的に正しいか確認を求める。

D. 外部の法律事務所に高額な費用を支払って「監査チェックリスト」の作成を依頼し、内部のリソースは一切使用しない。

【解答・解説】

正解と解説を表示

正解（B）： 内部監査部門は、組織内の他の保証・助言機能（第2線）と連携することが求められます。法務やコンプライアンス部門は法律の特定と解釈の専門家であるため、彼らの知見（インプット）を活用することが最も効率的かつ適切です。

不正解（A）： 監査人だけの独自の解釈は、法的な誤解を生むリスクがあり、非効率です。

不正解（C）： 規制当局は個別の監査計画のレビュー機関ではありません。

不正解（D）： 外部専門家の利用は有効ですが、内部リソース（第2線）との連携を無視して丸投げすることは、コスト面でも組織の能力活用の面でも最善ではありません。

Q2. 内部監査人は、組織に適用される法律や規制に関する知識について、どの程度の水準が求められるか。GIASおよび専門職としての能力の観点から、最も適切な記述はどれか。

A. 監査対象となる業務に関連する主要な法律や規制について、違反の兆候を識別し、リスクを評価できるだけの「十分な知識」を有している必要がある。

B. 弁護士と同等の法的解釈ができる「絶対的な専門知識」を有していなければ、コンプライアンス監査を実施してはならない。

C. 法律や規制は法務部門の責任範囲であるため、内部監査人は一般的なビジネス知識があれば十分であり、特定の法律知識は不要である。

D. 監査計画の承認時に取締役会から提供される情報の範囲内でのみ知識があればよく、自ら情報を更新する必要はない。

【解答・解説】

正解と解説を表示

正解（A）： 内部監査人には、監査対象に関連する主要なリスク（コンプライアンス・リスクを含む）を理解し、評価するための「十分な知識（Sufficient Knowledge）」が求められます。これは弁護士のような専門資格レベルではありませんが、違反の兆候に気づけるレベルである必要があります。

不正解（B）： 弁護士と同等の知識までは求められていません。必要に応じて専門家の支援を仰ぐことができます。

不正解（C）： コンプライアンスは重要なリスク領域であり、知識が不要ということはありません。

不正解（D）： 監査人には、専門職として継続的に知識を更新する責任があります。

Q3. 多国籍企業の内部監査部門長（CAE）が監査計画を策定している。本社のある国では「接待」に関する規制は緩やかだが、海外子会社がある国では最近、公務員への接待に対する規制（贈収賄防止法）が厳格化された。この状況における監査計画の識別プロセスとして、最も適切な対応はどれか。

A. 全社的な統一性を保つため、本社の基準（緩やかな基準）に基づいて監査計画とテスト手順を作成する。

B. 海外子会社の現地経営陣や現地の法務顧問から情報を収集し、現地のより厳格な規制要件を識別して、当該子会社の監査計画に反映させる。

C. 法律は国によって異なるため、コンプライアンスに関する監査はすべて現地の外部監査人に任せ、内部監査の対象から除外する。

D. 国際的な贈収賄リスクは政治的な問題であるため、監査対象領域には含めず、外務省の勧告に従うよう経営陣にメールするだけにとどめる。

【解答・解説】

正解と解説を表示

正解（B）： グローバルな監査計画においては、各拠点の「管轄区域（Jurisdiction）」ごとの法律や規制の違いを識別する必要があります。より厳格な現地法がある場合、そのリスクに対応した監査を実施しなければなりません。

不正解（A）： 本社基準を押し付けると、現地での法令違反リスクを見過ごすことになります。