【CIA試験講義】パート1 セクションA-2-a: 内部監査部門の権限、役割及び責任
テーマ:監査人の「免許証」と「捜査令状」 ~内部監査憲章の力~
内部監査人がいきなり他部署に現れて「金庫の中身を見せなさい」と言ったとしても、相手が拒否すればそれまでです。 なぜ監査人には、他人の業務をチェックし、機密情報にアクセスする権利があるのでしょうか?
その根拠となるのが、「内部監査の権限(Authority)」であり、それを文書化したものが「内部監査憲章(Internal Audit Charter)」です。 このセクションでは、監査人が仕事をするための法的根拠(権限)、果たすべき職務(役割)、そして誰に対して義務を負うのか(責任)について学びます。
1. 権限の源泉:「内部監査憲章」
GIAS(グローバル内部監査基準)において、内部監査部門の権限は、口約束や慣習ではなく、必ず文書化されていなければなりません。これが「内部監査憲章」です。
憲章に含めるべき必須事項
- 目的(Purpose): 内部監査が何のために存在するのか(価値の創造・保護・維持)。
- 権限(Authority):
- 無制限のアクセス権: 監査業務に関連するすべての記録、人員、物理的資産へのアクセス権。これがなければ監査は不可能です。
- 活動の自由: 監査範囲や手続きを決定する自由。
- 責任(Responsibility): どのようなサービス(保証・助言)を提供し、どのような基準(GIASなど)に従うか。
- 組織上の地位(Position): 取締役会への報告ライン。
★ポイント:承認プロセス
内部監査憲章は、CAE(内部監査部門長)が作成しますが、最終的に「取締役会(The Board)」の承認を得なければ効力を持ちません。 経営陣(CEO)との合意も重要ですが、最終決定権はあくまで取締役会にあります。
2. 内部監査部門の「役割(Role)」
内部監査部門は、組織内でどのような立ち位置で振る舞うべきでしょうか。
① 保証(Assurance)と助言(Advice)の提供者
- 保証業務: 客観的な証拠に基づき、監査人が独自に結論を出すこと(例:財務諸表の正確性の証明、セキュリティ評価)。
- 助言業務: クライアント(経営陣)との合意に基づき、助言や提案を行うこと(例:新システム導入時のアドバイス)。
② 「経営責任」との境界線
ここが試験の頻出ポイントです。監査人は「助言」はできますが、「経営判断」や「運用」をしてはいけません。
- 〇 できること: 「この管理方法にはリスクがあるので、A案かB案を推奨します」と言う。
- × できないこと: 「A案を採用して、私がその承認印を押します」と言う(これは経営陣の役割)。
3. CAEと取締役会の「責任(Responsibility)」の分担
GIASでは、それぞれの責任範囲を明確に定義しています。
| 項目 | 取締役会 (The Board) の責任 | 内部監査部門長 (CAE) の責任 |
|---|---|---|
| 監視と承認 | 内部監査憲章、監査計画、予算、CAEの報酬を承認する。 | 憲章や計画を作成し、取締役会の承認を求める。 |
| 品質管理 | 品質保証と改善プログラム(QAIP)の結果報告を受け、状況を監督する。 | QAIPを実施・維持し、結果を報告する。 |
| 資源 | 監査に必要な十分なリソース(予算・人)が提供されているか確認する。 | リソースが不足している場合、その影響を伝える。 |
| 倫理と基準 | 内部監査がGIASや倫理綱領に従っているかを監視する。 | 内部監査部門全体がGIASや倫理綱領を遵守するように管理する。 |
4. 試験で狙われる「ひっかけ」ポイント
- ×「内部監査憲章は、監査業務の柔軟性を保つために、具体的な権限の記述は避けるべきである」
- 解説: 逆です。権限(特にアクセス権)があいまいであったり、制限されていたりすると、監査人は必要な情報を入手できず、監査が失敗します。憲章には権限を明確に定義する必要があります。
- ×「内部監査人は、不正を発見した場合、直ちに法的措置を取る責任がある」
- 解説: 内部監査人の責任は、発見事項を適切な権限者(上級管理職や取締役会、法務部門など)に「報告」することです。法的措置や処罰の決定は経営陣や法務の役割です。
- ×「内部監査部門長(CAE)の任命と解任は、CEO(最高経営責任者)の専権事項である」
- 解説: これではCEOの不正を監査できなくなります。CAEの任免権は、独立性を担保するために取締役会が持つべきです(CEOの意見を聞くことはあります)。
まとめ
セクションA-2-aのポイントは、「公式な裏付け」です。
- 内部監査人が強い権限(アクセス権)を持てるのは、自分が偉いからではなく、「取締役会が承認した憲章」という後ろ盾があるからです。
- その権限を行使する際、経営陣の領域(運用責任)を侵してはならず、あくまで評価と助言に徹するという「役割」の境界線を守る必要があります。
【練習問題】パート1 セクションA-2-a
Q1. 新任の内部監査部門長(CAE)は、監査業務を開始しようとした際、購買部長から「機密保持契約上の理由により、サプライヤーとの契約書の閲覧は許可できない」と拒否された。GIASおよび内部監査の権限に基づき、CAEが取るべき行動として最も適切なものはどれか。
A. 購買部長の主張はもっともであるため、契約書の閲覧は諦め、購買担当者へのインタビューのみで監査を進める。
B. 取締役会によって承認された「内部監査憲章」に、記録への無制限のアクセス権が規定されていることを提示し、閲覧を求める。
C. 強制的に閲覧すると人間関係が悪化するため、CEOに仲裁を依頼し、閲覧が許可されるまで監査を延期する。
D. 外部監査人に依頼して契約書を確認してもらい、その結果を共有してもらうことでアクセス権の代用とする。
【解答・解説】
正解と解説を表示
正解(B): 内部監査憲章は、内部監査部門の権限を定義する公式文書であり、そこには「記録、人員、物理的資産への完全かつ自由なアクセス権」が含まれている必要があります。部門長の拒否に対しては、取締役会が承認したこの権限(憲章)を根拠に対応するのが基本です。
不正解(A): アクセスの制限を受け入れることは、監査範囲の制約(Scope Limitation)となり、十分な保証を提供できなくなります。
不正解(C): 監査を無期限に延期するのは責任放棄です。また、CEOへの依存は解決策の一つですが、まずは自身の権限の根拠(憲章)を示すべきです。
不正解(D): 外部監査人への依存は、内部監査人としての責任を果たしたことにはなりません。
Q2. 内部監査部門の「役割(Role)」に関する記述として、GIASの定義および独立性の観点から正しいものはどれか。
A. 内部監査部門は、内部統制システムの不備を発見した場合、自ら修正プログラムを作成し、システムに実装する責任を負う。
B. 内部監査部門は、組織のリスク管理プロセスを確立し、日々のリスク所有者(Risk Owner)としての役割を果たさなければならない。
C. 内部監査部門は、リスク・ベースの保証、助言、および洞察を提供することによって、組織の価値を創造、保護、維持する。
D. 内部監査部門の役割は、財務報告の正確性を保証することに限定されており、業務監査やコンプライアンス監査は含まれない。
【解答・解説】
正解と解説を表示
正解(C): 内部監査の核心的な役割は、保証(Assurance)と助言(Advice)を通じて組織の価値に貢献することです。
不正解(A): 修正プログラムの実装は「経営上の責任(運用)」であり、これを行うと独立性が損なわれます。監査人は「助言」に留めるべきです。
不正解(B): リスク管理プロセスの確立と所有は経営陣の責任です。内部監査はその有効性を「評価」する立場です。
不正解(D): 内部監査の範囲は財務に限らず、ガバナンス、リスク管理、コントロールの全領域(業務、IT、法令遵守など)に及びます。
Q3. 内部監査憲章(Internal Audit Charter)の承認プロセスおよび維持管理に関する、取締役会と内部監査部門長(CAE)の責任についての記述として、最も適切なものはどれか。
A. 憲章は一度作成されれば恒久的なものであるため、定期的な見直しや再承認は不要である。
B. CAEは憲章の草案を作成し、上級管理職と協議した上で、最終的な承認のために取締役会に提出する責任がある。
C. 憲章の内容は専門的であるため、取締役会ではなく、CAEが単独で承認し署名する権限を持つ。
D. 憲章の承認は形式的な手続きに過ぎないため、監査委員会の議長による口頭での承認で十分である。
【解答・解説】
正解と解説を表示
正解(B): これが正しいプロセスです。CAEは憲章を作成・維持する責任を負いますが、その権限を組織として公式に認める(承認する)のは、ガバナンス機関である取締役会の責任です。上級管理職との協議は、実務的な整合性を図るために重要です。
不正解(A): 組織の変化や基準(GIAS)の改訂に合わせて、憲章は定期的に見直され、必要に応じて再承認されるべきです。
不正解(C): CAEが自分の権限を自分で承認することはできません。
不正解(D): 憲章は重要な公式文書であり、取締役会(または監査委員会)の議事録に残る形での正式な承認が必要です。
