情報の取り扱い手順｜監査プロセスにおける機密性維持【CIAパート1】

Contents

テーマ：食材を「レシピ通り」に調理する義務～情報の適切な処理プロセス～
【練習問題】パート1 セクションB-6-b

テーマ：食材を「レシピ通り」に調理する義務～情報の適切な処理プロセス～

セクションB-6-bは、秘密情報の「利用」に関するルールです。ここで言う「利用」とは、監査人が入手したデータを、確立された内部監査の手法（メソドロジー）に従って分析・評価・文書化することを指します。

「秘密保持」というと「隠すこと」ばかりに目が行きがちですが、内部監査人には「情報を正しく使い、結論を導き出す」という積極的な義務があります。

1. 導入：「私的利用」vs「専門的利用」

監査業務中に知った重大な情報を、どう扱うべきでしょうか？

× 私的利用： 友人に話す、株取引に使う、好奇心を満たすために覗き見る。
× 不適切な無視： 面倒だから見なかったことにする。
○ 専門的利用（本セクションのテーマ）： 監査計画に基づき、分析し、証拠として文書化し、監査結果として報告する。

★ポイント： GIAS（グローバル内部監査基準）において、情報を「適切に利用する」とは、「内部監査の専門職としての基準や手法（IPPF/GIAS）に則って、その情報を監査プロセスに乗せること」を意味します。

2. 具体的な「手法」への適用ステップ

情報は、以下のプロセス（監査のライフサイクル）を経て「適切に利用」されなければなりません。

ステップ①：情報の収集（Scope）

情報は、承認された監査の目的と範囲に関連する場合にのみ収集・利用します。

NG例： 財務監査を行っているのに、好奇心で人事評価ファイル（監査範囲外）にアクセスし、内容をチェックする。これは「権限の濫用」であり、適切な手法の適用ではありません。

ステップ②：情報の分析と評価（Analysis）

入手した情報は、十分な裏付け（証拠）とするために分析されなければなりません。

噂や推測だけで情報を利用してはいけません。「監査手続」というフィルターを通して、客観的な事実（Finding）へと昇華させる必要があります。

ステップ③：文書化（Documentation）

ここが試験で頻出です。監査プロセスにおいて、利用した情報は「監査調書（Working Papers）」に記録されなければなりません。

「上司に口頭で伝えたからOK」ではありません。情報は、監査の結論を裏付ける記録として、組織の保存規定に従い体系的に保存される必要があります。

3. 「Need-to-Know（知る必要性）」の原則

内部監査の手法を適用する際、情報の共有範囲もコントロールする必要があります。

監査チーム内： 情報を共有し、分析を行う（適切）。
監査対象部門： 事実確認のために情報を提示する（適切）。
無関係な役員： 興味本位で聞いてきた役員に詳細を話す（不適切）。

監査手法の一部として、「誰に、いつ、どの程度の深さで」情報を開示するかを判断することも含まれます。

4. 試験で狙われる「ひっかけ」ポイント

×「秘密保持のため、重要な不正の証拠を発見しても、監査調書には詳細を記載せず、監査人の記憶に留めるべきである」
- 解説： 間違いです。内部監査の手法として、発見事項は必ず文書化（記録）されなければなりません。記録しないことは、専門職としての義務違反です。
×「監査人は組織内のあらゆる情報にアクセスできるため、業務時間内であれば、監査範囲外の機密データ（役員報酬など）を閲覧し、将来のリスク評価の参考にしてもよい」
- 解説： 不適切です。アクセス権限があることと、それを行使してよいことは別です。現在の監査業務（または承認されたリスク評価業務）に関連しない情報へのアクセスは、情報の不適切な利用とみなされます。
×「監査手法を適用した結果、個人的に不適切だと感じる慣行を見つけたため、監査報告書には載せず、SNSで匿名で社会に問うことにした」
- 解説： 重大な倫理違反です。監査手法（報告プロセス）を無視し、組織外へ情報を持ち出すことは許されません。

まとめ

セクションB-6-bの核心は、「情報は『監査の目的』を達成するためにのみ使え」ということです。

Input： 監査範囲内の情報を集める。
Process： 基準に従って分析・評価・記録する。
Output： 適切なルートで報告する。

このライン（手法）から外れた情報の使い方は、すべて「不適切な利用」となります。

【練習問題】パート1 セクションB-6-b

Q1. 内部監査人は、購買部門の業務監査を実施中に、ある購買担当者の給与明細データが誤って共有フォルダに保存されているのを偶然発見した。今回の監査範囲は「購買プロセスの効率性」であり、人件費や給与計算は範囲外である。内部監査の手法および倫理原則に基づき、監査人がとるべき行動として最も適切なものはどれか。

A. 将来の給与監査に役立つ可能性があるため、そのデータをダウンロードして個人の監査用PCに保存し、分析を行う。

B. データの内容（給与額）は見なかったものとし、共有フォルダのアクセス権限設定に不備があるという事実のみを、IT部門および購買部門の管理者に報告する。

C. 購買担当者の給与が市場平均より高いかどうかを分析し、不正の兆候がないかを確認した後、結果を報告書に含める。

D. 興味本位で同僚の監査人にその給与額を教えるが、外部には漏らさないように口止めする。

【解答・解説】

正解と解説を表示

正解（B）： 監査人は、承認された監査業務の「目的と範囲」に関連しない情報を収集・分析してはなりません。ただし、アクセス権限の不備（情報セキュリティ上のリスク）自体は発見された事実であるため、内容（個人の給与額）を詳細に分析するのではなく、「管理不備」として適切な部署に報告・対処を求めるのが正しい監査手法の適用です。

不正解（A）： 監査範囲外の個人情報を、正当な理由なく保存・分析することは情報の不適切な利用にあたります。

不正解（C）： 監査目的（効率性）から逸脱しており、承認されていない手続きを勝手に行うことは避けるべきです。

不正解（D）： 明確な秘密保持違反であり、情報の私的利用（ゴシップとしての利用）にあたります。

Q2. 内部監査人は、営業支店の監査において、支店長が交際費を私的に流用している強力な証拠を発見した。しかし、支店長は社長の親族であり、報告すれば監査人自身の立場が危うくなる可能性がある。GIASおよび内部監査の手法に照らし、この情報の取り扱いとして正しいものはどれか。

A. 監査人の身を守るため、この情報は監査調書には記録せず、口頭でのみ監査委員長に伝える。

B. 証拠が不十分であると判断し、今回の監査報告書からは除外するが、個人的な日記には詳細を記録しておく。

C. 内部監査の専門的基準に従い、発見した事実と証拠を監査調書に正確に文書化し、規定された報告ラインに従って事実を報告する。

D. 情報を隠蔽することは倫理に反するため、直ちに匿名のメールで全社員に事実を公表する。

【解答・解説】

正解と解説を表示

正解（C）： 「内部監査の手法を適用する」とは、相手が誰であれ、事実に基づき客観的に証拠を文書化し、基準通りに報告することを意味します。恐れや忖度によって正規の手続き（文書化・報告）を歪めることは、情報の適切な利用とは言えません。

不正解（A）： 監査調書への記録（文書化）を怠ることは、監査基準違反です。口頭のみの報告は証跡が残らず、後で言った言わないの問題になるリスクがあります。