Contents
  1. テーマ:「防犯システム」の点検 ~犯人を捕まえる前に、仕組みを診る~
  2. 【練習問題】パート1 セクションD-3-a

テーマ:「防犯システム」の点検 ~犯人を捕まえる前に、仕組みを診る~

セクションD-3-aは、個別の不正を探す(捜査する)ことではなく、組織全体が持っている「不正を防ぎ、見つけ、対処する仕組み(プログラム)」が有効に機能しているかを評価するパートです。

内部監査人は、警備員(現場で泥棒を捕まえる人)としての役割よりも、「警備システム全体の設計・運用状況をチェックするエンジニア」としての視点が求められます。

1. 導入:不正リスク・マネジメント(FRM)とは

組織は、偶発的に不正を発見するのを待つのではなく、体系的なプログラムを持って不正に対処すべきです。これを「不正リスク・マネジメント(Fraud Risk Management: FRM)」と呼びます。

効果的なFRMプログラムには、以下の5つの原則(COSOガイダンス参照)が含まれます。

  1. 不正リスク・ガバナンス: 組織文化、「トーン・アット・ザ・トップ(経営者の姿勢)」。
  2. 不正リスク評価: どこが危ないかを定期的に分析する。
  3. 予防・発見コントロール: 具体的な対策(職務分掌、ホットラインなど)。
  4. 調査と是正措置: 不正発覚時の対応ルール。
  5. モニタリング: プログラム全体の有効性を監視する。

2. 内部監査人の役割と責任

ここが試験の最重要ポイントです。「内部監査人は不正に対してどのような責任を負うのか?」という問いです。

  • × 間違い: 「内部監査人は、組織内のすべての不正を発見し、防止する第一義的な責任を負う。」
    • これは経営陣の責任です。
  • 〇 正解: 「内部監査人は、組織の不正リスク・マネジメントのプロセスが有効であるかを評価し、改善を勧告する責任を負う。」

つまり、監査人は「犯人捜し」が主務ではありません。「犯人が出ないような(出てもすぐ見つかるような)仕組みになっているか」を診断することが主務です。

3. 具体的な評価ポイント

内部監査人がFRMプロセスを評価する際、具体的に何を見るべきでしょうか?

① 「トーン・アット・ザ・トップ」の評価

  • 経営陣は「不正は絶対に許さない(Zero Tolerance)」というメッセージを発信しているか?
  • 倫理規定は全従業員に周知され、理解されているか?(署名の有無だけでなく、理解度テストなど)

② 不正リスク評価(Risk Assessment)の評価

  • リスク評価は「一度やって終わり」になっていないか?(定期的更新の有無)
  • 「経営者による統制の無視(Override)」のリスクが含まれているか?

③ 通報制度(Whistleblowing / Hotline)の評価

  • 通報窓口は周知されているか?
  • 通報者の匿名性は守られているか?
  • 通報に対して、報復が行われないような保護規定はあるか?
  • ★レッドフラグ: 「通報件数がゼロ」は、良いことではありません。「制度が信頼されていない」あるいは「機能していない」可能性が高いです。

④ 調査プロセスの評価

  • 不正の疑いが生じた際、誰が調査を行い、誰に報告するかというプロトコル(手順)が決まっているか?
  • 調査は公平かつ迅速に行われているか?

4. 職業的専門家としての注意(Due Professional Care)

GIASでは、内部監査人がFRMプロセスを評価する際、「職業的専門家としての注意(Due Professional Care)」を払うことを求めています。

これは、「不正の可能性を常に意識し(職業的懐疑心)、不正の兆候(レッドフラグ)を見逃さないだけの十分な知識とスキルを持って業務にあたる」ことを意味します。

まとめ

セクションD-3-aのポイントは、「システムの診断」です。

  • 泥棒が入らないように鍵はかかっているか?(予防)
  • 入ってもすぐに警報が鳴るか?(発見)
  • 警備会社はすぐに駆けつけるか?(対応)

内部監査人は、この一連の流れ(プロセス)が絵に描いた餅になっていないかを厳しくチェックします。

【練習問題】パート1 セクションD-3-a

Q1. 内部監査人が組織の不正リスク・マネジメント・プロセスを評価する際の責任に関する記述として、GIAS(グローバル内部監査基準)に基づき最も適切なものはどれか。

A. 内部監査人は、組織内で発生するすべての不正行為を発見し、犯人を特定する第一義的な責任を負う。

B. 内部監査人は、不正防止のための内部統制システムを自ら設計し、導入・運用する責任を負う。

C. 内部監査人は、経営陣が構築した不正リスク・マネジメントのプロセスが、不正の抑止、発見、および対応において有効に機能しているかを評価する責任を負う。

D. 不正リスクの管理は法務部門とセキュリティ部門の専任事項であるため、内部監査人は関与すべきではない。

【解答・解説】

正解と解説を表示

正解(C): 内部監査人の主な役割は、経営陣が構築したプロセス(仕組み)を第三者の視点で「評価(Evaluate)」し、有効性を保証することです。

不正解(A): すべての不正を発見する責任(絶対的保証)は負いません。不正の防止・発見の第一義的責任は経営陣にあります。

不正解(B): システムの設計・運用は経営陣の責任(マネジメント機能)であり、監査人が行うと独立性を損ないます。

不正解(D): 不正リスクの評価は内部監査の重要な範囲であり、関与しないことは基準違反です。

Q2. 内部監査人が内部通報制度(ホットライン)の有効性を評価している。過去3年間のデータを確認したところ、通報件数は「ゼロ」であった。この状況に対する内部監査人の評価として、最も適切なものはどれか。

A. 組織内に不正や問題が存在しないことを示す素晴らしい結果であり、この分野のリスクは極めて低いと評価する。

B. 従業員が制度を信頼していない、報復を恐れている、あるいは制度の存在を知らない可能性が高く、制度が機能不全に陥っているリスクがあると評価する。

C. 通報制度の維持費が無駄であるため、制度の廃止を経営陣に提案する。

D. 外部からの通報のみを受け付けるように制度を変更すべきであると提案する。

【解答・解説】

正解と解説を表示

正解(B): 統計的に見て、一定規模の組織で通報が長期間ゼロであることは不自然です。これは「問題がない」のではなく、「声が上がらない(上げられない)」という制度上の欠陥を示唆する強力なレッドフラグです。

不正解(A): 件数ゼロを「健全」と判断するのは楽観的すぎます(職業的懐疑心の欠如)。

不正解(C): 制度自体は必要であり、廃止ではなく改善(周知や保護の強化)が必要です。

不正解(D): 従業員などの内部通報者は最も重要な情報源であり、内部通報を排除すべきではありません。

Q3. 組織の不正リスク・マネジメント・プロセスにおいて、「経営者による統制の無視(Management Override)」のリスクに対処するための仕組みとして、内部監査人が評価すべき項目はどれか。

A. 従業員の出退勤記録が正確に管理されているか。

B. 小口現金の残高が帳簿と一致しているか。

C. 内部監査部門が、経営陣の影響を受けずに取締役会(または監査委員会)へ直接報告できるルート(報告ライン)が確保されているか。

D. 購買担当者が特定のベンダーから接待を受けていないか。

【解答・解説】

正解と解説を表示

正解(C): 経営者自身がルールを無視して不正を行う場合、通常の指揮命令系統の下にある部門(法務や経理など)では発見・是正が困難です。したがって、内部監査人が経営陣を飛び越えて取締役会等に直接報告できる「独立した報告ルート」の存在が、経営者不正に対する重要な牽制機能(コントロール)となります。

不正解(A)、(B)、(D): これらは一般的な従業員不正に対するコントロールであり、権限を持つ経営者によるオーバーライドを防ぐ仕組みとしては不十分です。