Contents
  1. テーマ:「餅は餅屋」の知恵を借りる ~専門家とのコラボレーション~
  2. 【練習問題】パート1 セクションD-5-e

テーマ:「餅は餅屋」の知恵を借りる ~専門家とのコラボレーション~

セクションD-5-eは、内部監査人が、組織内のセキュリティ部門や法務部門などの「不正調査者(Fraud Examiners)」、あるいは外部の専門家とどのように連携し、彼らが作成したデータやリスク評価をどのように監査に活用すべきかを学ぶパートです。

内部監査人は万能ではありません。不正対策の専門家が既に持っている知識や情報を有効活用することで、監査の効率と効果を飛躍的に高めることができます。

1. 導入:なぜ連携が必要なのか?

不正調査者(例:CFE – 公認不正検査士)は、不正の手口や調査技法において高度な専門性を持っています。一方、内部監査人は組織のプロセスやコントロールに精通しています。

この両者が連携することで、以下のメリットが生まれます。

  • 重複の回避: 同じことを二度調べなくて済む。
  • 死角の補完: 監査人が見落としがちな「犯罪心理」や「隠蔽手口」を専門家の視点でカバーできる。
  • リソースの最適化: 互いの強みを活かすことで、限られた人員で最大の効果を上げる。

2. 不正調査者のアウトプットを活用する

不正調査者(セキュリティ部門やコンプライアンス部門など)は、日常的に様々な情報を収集・分析しています。内部監査人はこれらを「監査のインプット」として活用します。

① リスク評価のレビュー

不正調査者が作成した「不正リスクアセスメント(FRA)」を確認します。

  • 活用法: 彼らが「高リスク」と評価した領域を、内部監査計画の重点項目に組み込む。

② 過去の調査報告書のレビュー

過去に発生した不正事例や調査結果を確認します。

  • 活用法: 「同じ手口が再発していないか?」「是正措置(コントロールの改善)は完了しているか?」を確認する監査を実施する。

③ 調査傾向(トレンド)の分析

業界全体や組織内での不正トレンド(例:サイバー攻撃の増加、特定の経費不正の流行)を確認します。

  • 活用法: 最新の脅威に対応できるように、監査プログラムをアップデートする。

④ 内部通報内容のレビュー

ホットラインに寄せられた通報内容や、それに対する対応状況を確認します。

  • 活用法: 通報が多い部署やプロセスを特定し、監査対象に選定する。また、通報制度自体が機能しているかを評価する。

3. 連携の具体的な機会(タイミング)

  • 計画策定時: 不正リスクの情報を共有し、監査範囲を決定する。
  • 実査(フィールドワーク)中: 不正の兆候(レッドフラグ)を発見した際に、専門的な助言を求める。
  • 調査実施時: 役割分担を行い、監査人はプロセス評価、調査者は事実解明を担当する。

4. 信頼性と客観性の評価

外部の専門家や他部門の成果物を利用する場合、内部監査人は盲目的に信じるのではなく、以下の点を確認する必要があります(GIASの要求事項)。

  • 能力(Competence): 彼らは十分な資格や経験を持っているか?
  • 客観性(Objectivity): 彼らは独立した立場で評価しているか?(経営陣の影響を受けていないか?)
  • 業務の質: 彼らの調査手法やエビデンスは適切か?

まとめ

セクションD-5-eのポイントは、「情報のシェアと活用」です。

内部監査人は「一匹狼」であってはいけません。組織内の防衛ライン(セキュリティ、法務、コンプライアンス)と情報を共有し、彼らの知見を監査計画や手続きに取り込むことで、より強固な不正対策体制を構築します。

【練習問題】パート1 セクションD-5-e

Q1. 内部監査人は次年度の監査計画を策定している。組織内には独立した「不正対策室(セキュリティ部門)」が存在し、定期的に不正リスク評価を行っている。この状況において、内部監査人がとるべき最も効率的かつ効果的なアプローチはどれか。

A. 独立性を保つため、不正対策室の評価結果は見ずに、内部監査部門独自でゼロから不正リスク評価を実施する。

B. 不正対策室が実施した不正リスク評価の結果を入手・レビューし、その内容の妥当性を確認した上で、高リスク領域を監査計画に反映させる。

C. 不正リスクの評価は不正対策室の専任事項であるため、内部監査計画からは不正関連の監査をすべて除外する。

D. 不正対策室の評価結果をそのまま監査報告書として取締役会に提出する。

【解答・解説】

正解と解説を表示

正解(B): 他の保証部門(不正対策室など)の作業結果を活用することは、監査の重複を避け、効率性を高めるために推奨されます。ただし、丸呑みするのではなく、その質や妥当性をレビューした上で計画に取り込む必要があります。

不正解(A): 完全に無視するのは非効率であり、組織全体のリスク管理の調整(Coordination)の観点からも不適切です。

不正解(C): 内部監査人には独自の不正リスク評価責任があり、完全に除外することはできません。

不正解(D): 監査人自身の評価を経ずに他者の成果物をそのまま自らの報告とするのは不適切です。

Q2. 内部監査人が、過去の内部通報(ホットライン)の記録をレビューすることによって得られる主なメリットとして、最も適切なものはどれか。

A. 過去に通報された特定の個人を特定し、その人物を解雇するための証拠を収集できる。

B. 通報の傾向やパターン(特定の部署や業務での多発など)を分析することで、不正リスクが高いプロセスを特定し、監査の焦点を絞ることができる。

C. 通報制度の運用コストを削減する方法を見つけることができる。

D. 内部監査人が自ら通報対応を行うことで、法務部門の業務負担を軽減できる。

【解答・解説】

正解と解説を表示

正解(B): 通報記録の分析は、リスクの所在(ホットスポット)を特定するための貴重な情報源です。「どこで問題が起きているか」を知ることで、リスク・ベースの監査計画が可能になります。

不正解(A): 監査の目的は個人の解雇(人事処分)ではなく、プロセスの改善とリスク管理です。

不正解(C): コスト削減は副次的な効果であり、主たる監査目的ではありません。

不正解(D): 業務の代行ではなく、リスク情報の活用が目的です。

Q3. 内部監査人が外部の不正調査専門家(公認不正検査士など)と連携する際、GIAS(グローバル内部監査基準)が求める「専門家のアウトプットを利用するための要件」として、内部監査人が評価・確認すべき事項に含まれないものはどれか。

A. 専門家の専門的能力(資格、経験、知識)。

B. 専門家の客観性(組織からの独立性や利益相反の有無)。

C. 専門家が使用した調査手法や前提条件の妥当性。

D. 専門家が所属する組織の財務状況や株価の推移。

【解答・解説】

正解と解説を表示

正解(D): 「含まれないもの」を選ぶ問題です。専門家個人の能力や客観性、仕事の質は評価対象ですが、所属組織の株価や財務状況は、調査業務の質や信頼性に直接関係しないため、評価要件には含まれません。

不正解(A)、(B)、(C): これらは外部専門家の作業結果を監査証拠として利用する際に必ず確認すべき必須項目です。