Contents
  1. テーマ:正直さが信頼を守る ~「基準」を守れなかった時の作法~
  2. 【練習問題】パート3 セクションC-2-a

テーマ:正直さが信頼を守る ~「基準」を守れなかった時の作法~

内部監査部門は、組織内の他部署に対して「ルールを守っているか」を厳しくチェックする立場です。では、その内部監査部門自身が、自らのルールブックである「GIAS(グローバル内部監査基準)」を守れていないことが発覚したらどうすべきでしょうか?

「隠す」のは最悪手です。GIASは、不適合が生じた際の「透明性のある開示(Disclosure)」を強く求めています。 試験では、不適合が発生した際に、「誰に」「何を」「どのように」伝えるべきかという、内部監査部門長(CAE)の責任ある行動が問われます。

1. そもそも「不適合(Nonconformance)」とは?

通常、内部監査部門は品質保証と改善プログラム(QAIP)を通じて、自分たちが基準に準拠しているかをチェックします。 しかし、以下のような理由で「不適合」が生じることがあります。

  • リソース不足: 必要なスキルを持つ監査人がおらず、特定の重要リスクを監査できなかった。
  • 独立性の侵害: 経営陣から不当な圧力を受け、監査範囲を縮小せざるを得なかった。
  • 手続きの不備: 必須の文書化やスーパーバイズ(監督)が行われていなかった。

これらの不適合が、内部監査部門の全体的な業務範囲や運営に重大な影響(Significant Impact)を与える場合、CAEはそれを開示しなければなりません。

2. コミュニケーションをとるべき「4つの必須要素」

GIASは、不適合を開示する際、単に「守れませんでした」と報告するだけでは不十分だとしています。上級管理職と取締役会に対して、以下の4つの要素をセットで伝える必要があります。

これらは、不祥事の謝罪会見の構成要素に似ています。「何が起き、なぜ起き、どう影響し、どう償うか」です。

① 状況(Situation)

具体的に、GIASのどの基準(スタンダード)や要求事項が遵守されなかったのかを特定します。

  • 例:「基準〇〇が求める、監査調書の査読プロセスが一部実施されていませんでした。」

② 不適合の根拠・理由(Rationale / Reason)

なぜその不適合が起きたのか、根本原因を説明します。言い訳ではなく、事実に基づく分析です。

  • 例:「急激な離職による人手不足と、それに伴う管理職の監督時間不足が原因です。」

③ 当該措置の影響(Impact)

その不適合によって、内部監査の品質や信頼性にどのような悪影響があるのかを客観的に評価します。

  • 例:「査読不足により、一部の監査報告書の誤記や、証拠不十分なまま結論を出しているリスクが残存しています。」

④ とられた措置(Action taken / Remediation)

問題を解決し、再発を防ぐために何をしたか(あるいは何をする予定か)を提示します。

  • 例:「外部リソースを一時的に採用して査読を完了させるとともに、次年度に向けた要員計画を見直しました。」

3. 開示の相手とタイミング

  • 誰に?
    • 上級管理職 および 取締役会
    • 内部監査のスポンサーであり、監視役である彼らに隠し事は許されません。
  • いつ?
    • 外部評価(5年に1度)の結果報告時。
    • または、内部評価(継続的モニタリング)で重大な不適合が発見された時。

4. 「基準に準拠して実施された」というフレーズの使用

内部監査報告書には、通常「本業務はグローバル内部監査基準に準拠して実施された」という定型文(スタンプ)を使用できます。 しかし、QAIPの結果、基準への不適合が判明している場合、このフレーズの使用は禁止されるか、あるいは「〇〇を除き、準拠している」といった限定的な表現に修正する必要があります。

まとめ

試験対策としてのポイントは、以下のストーリーを頭に入れることです。

  1. 不適合発見!(QAIPでバレた、あるいは自己申告)
  2. 隠すな!(信頼性の危機)
  3. 4点セットで報告せよ!(状況・理由・影響・対策)
  4. 相手はトップだ!(取締役会と経営陣)

単に謝るのではなく、「影響の大きさ」と「改善策」を論理的に説明できるかどうかが、CAEの資質として問われます。

【練習問題】パート3 セクションC-2-a

Q1. 外部評価の結果、ある企業の内部監査部門が、文書化に関する特定のGIAS基準に準拠していないことが判明した。内部監査部門長(CAE)が取締役会にこの事実を報告する際、含めるべき情報の組み合わせとして、最も適切なものはどれか。

A. 不適合が発生した具体的な基準番号と、担当した監査人の氏名。

B. 不適合の状況、不適合が生じた理由、不適合による影響、および改善のためにとった措置。

C. 今後の改善スケジュールと、外部評価人の報酬額。

D. 不適合の事実は伏せ、全体としては概ね基準を満たしているという肯定的な意見のみ。

【解答・解説】

正解と解説を表示

正解(B): GIASでは、基準への不適合を開示する際、単なる事実だけでなく、「状況(何が)」、「根拠(なぜ)」、「影響(どの程度のリスクか)」、「措置(どう対応するか)」の4要素を含めることを求めています。これにより、取締役会は事態の深刻さと対応の妥当性を判断できます。

不正解(A): 担当者の個人攻撃や吊し上げは目的ではありません。システムやプロセスの問題に焦点を当てるべきです。

不正解(C): 改善スケジュールは「措置」の一部ですが、外部評価人の報酬額は不適合の開示内容とは直接関係ありません。

不正解(D): 重大な不適合を隠蔽することは倫理綱領違反であり、基準が求める透明性に反します。

Q2. 内部監査部門長(CAE)は、品質保証と改善プログラム(QAIP)の内部評価により、IT監査領域において専門的能力(コンピテンシー)が不足しており、重要なリスク領域をカバーできていないという「基準への不適合」を識別した。この不適合に関する「影響(Impact)」の記述として、最も適切なものはどれか。

A. 「IT監査担当者の採用が遅れており、研修予算も不足している。」

B. 「直ちにIT監査の外部委託契約を締結し、不足しているスキルを補う予定である。」

C. 「基準1234(専門的能力)に準拠していない状態が6ヶ月間続いている。」

D. 「サイバーセキュリティ等の重要リスクに対する保証を提供できず、組織が重大な脅威を見落とす可能性がある。」

【解答・解説】

正解と解説を表示

正解(D): これは不適合が組織にもたらす結果、すなわち「影響(Impact)」を記述しています。内部監査が機能しないことで、組織がどのようなリスクに晒されるかを説明することが重要です。

不正解(A): これは不適合の「理由(Rationale)」または「状況」に関する記述です。

不正解(B): これは「とられた措置(Action taken)」に関する記述です。

不正解(C): これは「状況(Situation)」に関する記述です。

Q3. 内部監査部門がGIAS(グローバル内部監査基準)に全体として準拠していないにもかかわらず、監査報告書に「GIASに準拠して実施された」と記載することは、誤解を招く行為である。不適合が存在する場合のCAEの対応として、正しい記述はどれか。

A. 不適合が解消されるまで、監査報告書の発行を全面的に停止しなければならない。

B. 不適合が軽微であるか重大であるかに関わらず、一切の基準への言及を削除しなければならない。

C. 重大な不適合がある場合、その内容と影響を取締役会等に開示した上で、報告書における「準拠している」との記述を控えるか、限定的な表現に修正する。

D. 監査計画段階で取締役会の承認を得ていれば、実際の手続きが基準を満たしていなくても「準拠している」と記載してよい。

【解答・解説】

正解と解説を表示

正解(C): 基準への準拠を宣言できるのは、QAIPの結果がそれを裏付けている場合のみです。重大な不適合がある場合は、正直にその旨を開示(報告)し、誤解を与えないよう「準拠している」という記述の使用を控えるか、適合していない部分を明記する必要があります。

不正解(A): 監査業務自体を停止する必要はありません。基準への準拠宣言を行わずに報告することは可能です。

不正解(B): 全体的な準拠に影響しない軽微な不備であれば、準拠宣言は可能です。また、部分的に準拠している場合はその旨を記述できます。

不正解(D): 計画の承認と実施の品質は別問題です。実態が伴わない記述は虚偽記載となります。