Contents
  1. テーマ:ルールの「森」を歩くための地図 ~コンプライアンス・ユニバースの理解~
  2. 【練習問題】パート1 セクションC-3-a

テーマ:ルールの「森」を歩くための地図 ~コンプライアンス・ユニバースの理解~

セクションC-3-aは、組織を取り巻く無数のルール(倫理、法律、規制)を、内部監査人がどのように認識し、識別すべきかを扱います。

組織が活動するには、法律を守る(Legal)だけでなく、社会的な規範(Ethical)や業界の規制(Compliance)も遵守しなければなりません。これらを総称して「コンプライアンス・ユニバース(法令等遵守の全体像)」と呼びます。

1. 3つの「守るべきもの」の階層

内部監査人は、単に「法律違反がないか」を見るだけではありません。以下の3つの層を識別する必要があります。

  1. 法律・規制(Laws and Regulations):
    • 強制力:大
    • 刑法、会社法、労働法、税法、GDPR(データ保護)、環境規制など。
    • 違反すれば罰金、営業停止、逮捕のリスクがあります。
  2. コンプライアンス要件(Compliance Requirements):
    • 強制力:中~大
    • 業界団体の自主規制、ISO規格、契約上の義務(SLA)、社内規程。
    • 違反すれば認証取り消しや契約解除のリスクがあります。
  3. 倫理的要件(Ethical Requirements):
    • 強制力:社会的制裁
    • 行動規範(Code of Conduct)、ESG(環境・社会・ガバナンス)、人権尊重、公正な取引。
    • 「法律違反ではないが、人として/企業として間違っていること」を指します。違反すればレピュテーション(評判)が失墜します。

★ポイント: GIAS(2025年基準)では、「公益(Public Interest)」の保護が重視されています。たとえ現地の法律で許されていても、倫理的に問題がある(例:環境破壊や児童労働)場合、内部監査人はそれを重大なリスクとして識別する必要があります。

2. 内部監査人の役割と限界

ここで試験によく出る「ひっかけ」があります。 「内部監査人は、弁護士のようにすべての法律に精通していなければならないか?」 答えは NO です。

  • 経営陣の責任: 適用される法令を特定し、遵守するシステムを構築すること。
  • 内部監査人の責任:
    • 組織が法令を特定し、最新の状態に保つプロセスを持っているかを評価すること。
    • 監査対象領域に影響を与える主要なリスク(例:工場監査なら排水規制、人事監査なら労働法)については、十分な知識を持つこと。

イメージ:
あなたは「サッカーの審判(内部監査人)」です。 ルールブック(法律)の全ての条文を暗記している必要はありませんが、「オフサイド」や「ファウル」といった、試合(ビジネス)に影響する主要なルールを知らなければ、笛を吹くことはできません。

3. 情報源の識別

監査計画を立てる際、監査人は「この業務にはどんなルールが適用されるか?」をリサーチする必要があります。

  • 内部情報: 社内規程、倫理規定、過去の監査報告書、法務部のメモ。
  • 外部情報: 官報、業界ニュース、規制当局のガイドライン、外部弁護士の意見書。

もし、監査対象が極めて専門的な法規制(例:医療機器の認可プロセス)に関わる場合、監査人自身の知識だけでは不十分なことがあります。その場合は、専門家(SME)の支援を仰ぐことが、「専門職としての正当な注意(Due Professional Care)」の要件となります。

4. 変化する要件への対応

法律は変わります。

  • 「去年までは適法だったが、今年の法改正で違法になった」
  • 「新しい国に進出したが、現地の商習慣が本国の倫理規定と衝突する」

内部監査人は、組織がこうした「規制変更リスク(Regulatory Change Risk)」をモニタリングできているかどうかも評価対象とします。

まとめ

セクションC-3-aの核心は、「法的・倫理的感度(Sensitivity)」です。

  • すべての法律を知る必要はないが、「ここには法的リスクがありそうだ」と気づく感度が必要。
  • 「法律さえ守ればよい」ではなく、「倫理的に正しいか」を問う姿勢が必要。
  • 自分の知識不足を認識し、必要なときは専門家を活用する判断力が必要。

【練習問題】パート1 セクションC-3-a

Q1. 内部監査人が、海外子会社のサプライチェーン監査を実施している。現地の法律では、14歳以上であれば工場で労働させることが合法とされているが、親会社の倫理行動規範および国際的な人権基準では、16歳未満の労働は禁止されている。子会社はこの現地の法律に従って15歳の労働者を雇用している。この状況における内部監査人の評価として、GIASに基づき最も適切なものはどれか。

A. 現地の法律(Legal Requirements)が最優先されるため、コンプライアンス違反も倫理違反も存在しないと判断する。

B. 法律違反はないが、組織の倫理規定(Ethical Requirements)およびレピュテーションリスクの観点から問題があるとして、経営陣に報告する。

C. 倫理規定はあくまで努力目標であり、現地の雇用確保という公益(Public Interest)に貢献しているため、監査報告書には記載しない。

D. 直ちに現地の労働基準監督署に通報し、工場の操業停止を求める。

【解答・解説】

正解と解説を表示

正解(B): 内部監査人は、「法律」だけでなく「倫理」や「組織の方針」への適合性も評価します。たとえ適法であっても、組織が自ら定めた倫理規定や国際的な規範に違反している場合、それは重大なレピュテーションリスクであり、報告すべき事項です。

不正解(A): 法律は「最低限の基準」に過ぎません。組織のコンプライアンス・ユニバースには倫理規定も含まれます。

不正解(C): 児童労働のリスクは現代のガバナンスにおいて看過できない重大な倫理問題であり、報告しないことは監査人の責任放棄です。

不正解(D): 現地法で適法である以上、当局への通報は効果がないか、逆に業務妨害となる可能性があります。まずは組織内部のガバナンスプロセスを通じて解決を図るべきです。

Q2. 内部監査人が、組織に新しく導入される「AIを用いた自動融資審査システム」の監査を計画している。監査人は金融法規制については詳しいが、AIに関する最新の倫理ガイドラインやデータプライバシー規制(アルゴリズムの透明性など)については十分な知識を持っていない。この場合の対応として、専門職としての正当な注意の観点から最も適切なものはどれか。

A. 監査人はすべての知識を持つことは不可能なため、知っている金融法規制の範囲内でのみ監査を行い、AI固有のリスクは監査範囲外とする。

B. 監査中にインターネットでAI規制について勉強しながら監査を進めれば十分である。

C. 必要な知識と経験を持つ外部の専門家やIT監査人をチームに加えるか、あるいは監査の実施を辞退・延期することを監査部門長に相談する。

D. AIシステムはブラックボックスであるため、法規制の識別は不可能であると結論付け、システム部門の自己点検に任せる。

【解答・解説】

正解と解説を表示

正解(C): 内部監査人には「能力(Competency)」が求められます。適用される複雑な要件(この場合はAI倫理や技術的規制)を識別・評価する能力が不足している場合、専門家の支援を得るか、リスクを適切に評価できないことを正直に伝える必要があります。

不正解(A): 重要なリスク領域(AI)を知識不足を理由に除外することは、監査の目的を果たせません。

不正解(B): 専門性の高い分野において、付け焼き刃の知識で監査を行うことは「正当な注意」を欠く行為であり、誤った保証を与えるリスクがあります。

不正解(D): 識別が難しいからといって責任を放棄することはできません。

Q3. 組織のコンプライアンス要件を識別する際、内部監査人が評価すべき「経営陣のプロセス」に関する記述として、最も適切なものはどれか。

A. 経営陣が、適用されるすべての法律条文を暗記しているかどうかをテストする。

B. 経営陣が、法令の改正や新たな規制の導入をタイムリーに把握し、業務プロセスや規定に反映させる仕組み(モニタリング体制)を持っているかを評価する。

C. 内部監査部門が自ら法令データベースを作成し、経営陣に代わって最新の規制情報を各部署に配信しているかを評価する。

D. 過去に一度も法令違反による罰金を受けていない場合、コンプライアンス要件の識別プロセスは有効であると自動的に結論付ける。

【解答・解説】

正解と解説を表示

正解(B): 内部監査人の役割は、経営陣が「規制の変化に対応する仕組み」を持っているかを評価することです。これには、法務部門による情報の収集、影響分析、規定の更新といったプロセスが含まれます。

不正解(A): 暗記のテストは監査ではありません。

不正解(C): 法令情報の把握と配信は第2線(法務・コンプライアンス部門)の役割であり、第3線(内部監査)が代行すべきではありません(独立性の脅威)。

不正解(D): 過去に違反がないことは、将来のリスク管理が有効であることの証明にはなりません(「たまたま運が良かっただけ」の可能性があります)。