Contents
  1. テーマ:味方からの「意図せぬ」妨害 ~3ラインの境界線~
  2. 【練習問題】パート1 セクションA-8-b

テーマ:味方からの「意図せぬ」妨害 ~3ラインの境界線~

3ラインモデルにおいて、第3線(内部監査)は「独立している」ことが最大の武器です。

しかし、第1線(現場)や第2線(リスク管理・コンプライアンス部門)が、善意であれ悪意であれ、内部監査の独立性を脅かす行動をとることがあります。

このセクションでは、組織内の他のラインがどのように内部監査の領域を侵食し、独立性を損なう可能性があるか(そして、それをどう防ぐか)について学びます。

1. 第1線(マネジメント)による侵害のパターン

第1線は「リスクの所有者」であり、内部監査の「被監査者」でもあります。彼らが監査をコントロールしようとするとき、侵害が発生します。

① 監査範囲の制限(Scope Limitation)

  • 事例: 営業本部長が「今月は忙しいから監査に来ないでほしい」「このプロジェクトは機密だから資料は見せない」と言う。
  • 解説: これは監査人が見るべきリスクを隠蔽する行為であり、独立した評価を妨げる重大な侵害です。

② 監査人の人事への介入

  • 事例: 経理部長が、自分にとって都合の悪い指摘をする監査人の評価を下げたり、異動させるよう人事に圧力をかける。
  • 解説: 監査人が「クビになるのが怖いから手心を加えよう」と思ってしまえば、客観性は失われます。

③ 監査業務の代行依頼(責任の転嫁)

  • 事例: 現場が「忙しいから、業務マニュアルの作成は監査人がやっておいて」と頼む。
  • 解説: 監査人がマニュアルを作ると、それは「運用責任(経営責任)」を負うことになり、将来そのマニュアルを監査できなくなります(自己監査の禁止)。

2. 第2線(リスク管理・コンプライアンス等)による侵害のパターン

第2線は内部監査の「協力者」ですが、役割が近いため、境界線が曖昧になりがちです。

① 役割の混同(Blurring of Roles)

  • 事例: リスク管理部が「我々がリスク評価をしたから、内部監査はもう必要ない」と主張し、監査予算を削減させる。
  • 解説: 第2線はあくまで「経営陣の一部」であり、独立性は限定的です。彼らの評価を鵜呑みにせず、第3線が独立して検証する必要があります。

② 報告ラインの統合

  • 事例: 内部監査部門が「法務・コンプライアンス本部(第2線)」の下部組織として配置される。
  • 解説: 上司である法務部長(第2線)の活動を、部下である内部監査人が客観的に監査することは不可能です。

③ 監査計画への過度な干渉

  • 事例: 第2線が「監査計画は我々のリスクマップ通りに作れ」と強制する。
  • 解説: 第2線の情報は重要なインプットですが、最終的な監査計画の決定権はCAE(内部監査部門長)になければなりません。

3. 侵害を防ぐための対策

これらの侵害から身を守るためには、以下の対策が必要です。

  1. 内部監査基本規程(憲章)での明記:
    • 無制限のアクセス権や、経営陣からの独立性を文書化し、取締役会に承認してもらう。
  2. 取締役会との直結:
    • 侵害があった場合、CAEがすぐに取締役会に報告できるルート(ホットライン)を確保する。
  3. 役割分担の明確化:
    • 3ラインモデルに基づき、「誰が実行し、誰が支援し、誰が保証するか」を組織内で教育する。

まとめ

セクションA-8-bのポイントは、「なれ合いと圧力の排除」です。

  • 第1線に対して: 「監査される側」が「監査する側」のルールを決めてはいけません。
  • 第2線に対して: 「支援する側」と「保証する側」は、協力はしても一体化してはいけません。

内部監査人が「誰の味方か」と問われれば、それは経営陣でも現場でもなく、「組織の利益(および取締役会)」の味方であることを忘れないでください。

【練習問題】パート1 セクションA-8-b

Q1. 組織の第1線(事業部門のマネジメント)が内部監査部門に対して行った以下の行為のうち、内部監査の「独立性」または「客観性」を侵害しているとみなされるものはどれか。

A. 内部監査の開始前に、業務プロセスの最新の変更点について説明し、監査人が理解を深められるよう協力した。

B. 監査報告書の草案(ドラフト)に含まれる「事実誤認」について指摘し、修正を求めた。

C. 業務プロセス改善のために新しいITシステムを導入する際、内部監査人にシステムの設計・設定作業を行うよう強く依頼した。

D. 過去の監査での指摘事項に対する改善状況(フォローアップ)のレポートを提出した。

【解答・解説】

正解と解説を表示

正解(C): 内部監査人がシステムの設計や設定(実行・運用)を行うことは「経営責任」を負うことに該当します。これを行うと、将来そのシステムを監査する際に「自分の仕事を自分でチェックする(自己監査)」ことになり、客観性が損なわれます。

不正解(A)、(B)、(D): これらは監査を円滑に進め、正確性を高めるための正当な協力・コミュニケーションであり、侵害には当たりません。

Q2. 組織には強力なコンプライアンス部門(第2線)が存在する。内部監査部門(第3線)との関係において、独立性の観点から「不適切」とされる状況はどれか。

A. 内部監査部門長(CAE)が、コンプライアンス部門長に対して機能的に報告し、人事評価を受けている。

B. コンプライアンス部門が実施した研修の受講記録を、内部監査人が監査の証拠として利用している。

C. 内部監査部門とコンプライアンス部門が定期的に会合を持ち、リスク情報を共有している。

D. コンプライアンス部門が作成したリスク評価結果を参考に、内部監査人が監査計画を策定している。

【解答・解説】

正解と解説を表示

正解(A): 内部監査部門は、第2線(コンプライアンス部門)の活動も監査対象とします。CAEが監査対象者(コンプライアンス部門長)に報告し、評価される関係にある場合、上司の不備を指摘できなくなるため、独立性が著しく侵害されます。

不正解(B)、(C)、(D): これらは3ラインモデルが推奨する「連携・調整(Alignment)」の範疇であり、独立性を維持しつつ効率を高める適切な活動です。

Q3. 内部監査部門長(CAE)は、監査対象である製造部門の責任者から「来月の監査は、工場が繁忙期で対応できないため中止してほしい。代わりに私が作成した自己点検レポートを提出する」と申し入れを受けた。この状況におけるCAEの対応として、独立性を守るために最も適切なものはどれか。

A. 現場の負担を考慮し、申し入れを受け入れて監査を中止し、自己点検レポートをそのまま監査報告書として採用する。

B. 監査の時期については調整に応じるが、監査そのものの中止は認めず、自己点検レポートの内容が正確かどうかを後日検証(監査)することを伝える。

C. 繁忙期であっても一切の妥協をせず、予定通り強制的に監査を実施する。

D. 自己点検レポートの提出を拒否し、外部監査人に監査を委託する。

【解答・解説】

正解と解説を表示

正解(B): 監査の「タイミング」を調整することは実務上の配慮としてあり得ますが、監査の「実施」そのものを被監査部門の都合でキャンセルさせることは、監査範囲の制約(独立性の侵害)にあたります。自己点検(第1線の活動)は内部監査(第3線の活動)の代替にはなりません。

不正解(A): 独立した検証を行わずに自己申告を鵜呑みにすることは、アシュアランスの放棄です。

不正解(C): 独立性は重要ですが、ビジネスの阻害要因にならないよう、妥当な範囲での日程調整は行うべきです。

不正解(D): 外部委託は一つの手段ですが、まずは自部門での対応を検討すべきです。