Contents
  1. テーマ:3つの歯車をチェックする ~GRCの全体像~
  2. 【練習問題】パート1 セクションB-5-b

テーマ:3つの歯車をチェックする ~GRCの全体像~

内部監査人が「正当な注意(Due Professional Care)」を発揮する際、その評価対象は個別の伝票や手続きだけに留まりません。

組織を動かす3つの巨大な歯車、すなわち「ガバナンス(Governance)」「リスク・マネジメント(Risk Management)」、そして「コントロール(Control)」の各プロセスが、それぞれ正しく機能しているかを評価することが求められます。

これらは「GRC」と総称され、相互に密接に関連しています。このセクションでは、それぞれの評価ポイントと、監査人が持つべき視点を学びます。

1. ガバナンス(Governance)の評価

ガバナンスとは、組織の目的達成のために、ステークホルダーのニーズを反映し、方針を決定し、パフォーマンスを監視する仕組みのことです。

評価の視点(正当な注意の適用)

  • 倫理と価値観の促進: 組織内に健全な倫理文化(トーン・アット・ザ・トップ)が浸透しているか?
  • 説明責任と透明性: 経営陣は取締役会や株主に対して、正確な情報をタイムリーに開示しているか?
  • 戦略的整合性: IT戦略や人事戦略が、全社のビジネス戦略と整合しているか?

2. リスク・マネジメント(Risk Management)の評価

リスク・マネジメントとは、目的達成を阻害する不確実性を識別し、評価し、対応するプロセスです。

評価の視点

  • 網羅性: 重要なリスク(新興リスクを含む)が漏れなく識別されているか?
  • リスク選好との整合性: リスクへの対応(回避、低減、移転、受容)が、組織のリスク選好(Risk Appetite)の範囲内で行われているか?
  • プロセスの有効性: リスク評価は一度きりではなく、継続的に更新されているか?

★ポイント: 監査人は、個別のリスク対応だけでなく、「リスク管理プロセスそのもの」が有効に機能しているかを評価します。

3. コントロール(Control)の評価

コントロールとは、リスクを管理し、目的達成の可能性を高めるために経営陣が講じるあらゆる措置(規程、システム、活動)のことです。

評価の視点

  • 設計の妥当性(Adequacy): そのコントロールは、対象とするリスクを本当に低減できる仕組みになっているか?
  • 運用の有効性(Effectiveness): そのコントロールは、定められた通りに継続して実行されているか?
  • 効率性(Efficiency): 過剰なコントロール(コストが効果を上回る)になっていないか?

4. GRCの相互依存性

これら3つはバラバラではありません。

  • ガバナンスが方向性を決め、
  • リスク・マネジメントが障害物を予測し、
  • コントロールが具体的な対策を実行します。

監査人は、「コントロールの不備」を見つけた時、それが単なる現場のミスなのか、それとも「リスク管理の欠陥」や「ガバナンスの不全」に起因するものなのかを、深掘りして評価する必要があります(根本原因分析)。

まとめ

セクションB-5-bのポイントは、「システム思考」です。

  • 正当な注意を発揮するとは、目の前の現象だけでなく、その背後にある「仕組み(プロセス)」を評価することです。
  • GRCの3つの歯車が噛み合って回っているかを確認することが、内部監査の究極の役割です。

【練習問題】パート1 セクションB-5-b

Q1. 内部監査人が組織の「ガバナンス・プロセス」の有効性を評価する際、専門職としての正当な注意(Due Professional Care)をもって検証すべき事項として、最も適切なものはどれか。

A. 従業員の出張旅費精算書における領収書の添付漏れがないか。

B. 組織の倫理規定や行動規範が、全従業員に対して適切に周知・促進され、遵守状況がモニタリングされているか。

C. サーバーのウイルス対策ソフトが最新バージョンに更新されているか。

D. 工場の製造ラインにおける不良品率が目標値を下回っているか。

【解答・解説】

正解と解説を表示

正解(B): ガバナンス・プロセスの評価においては、組織文化、倫理観の醸成、説明責任の確立といった上位レベルの仕組みが焦点となります。倫理規定の浸透度合いは、健全なガバナンスを測るための重要な指標です。

不正解(A)、(C)、(D): これらは個別の「コントロール」や「業務プロセス」の評価(コンプライアンス監査、IT監査、業務監査)に該当し、ガバナンス全体の評価としては範囲が限定的です。

Q2. 内部監査人がリスク・マネジメント・プロセスを評価したところ、「リスクの識別は行われているが、識別されたリスクに対する対応策(回避、低減など)が、組織のリスク選好(Risk Appetite)と整合していない」ことを発見した。この状況に対する評価として正しいものはどれか。

A. リスクが識別されている以上、プロセスは有効である。

B. リスク選好は主観的なものであるため、監査人の評価対象外である。

C. リスク対応がリスク選好と不整合であることは、リスク・マネジメント・プロセスの重大な欠陥であり、組織が過度なリスクを負う(または過度に回避する)原因となるため、不備として報告すべきである。

D. 現場の判断を尊重し、リスク選好の定義を変更するよう監査人が指示する。

【解答・解説】

正解と解説を表示

正解(C): リスク・マネジメントの目的は、リスクを組織が許容できる範囲(リスク選好)内に収めることです。対応策とリスク選好の不整合(ミスマッチ)は、プロセスが機能していないことを示しており、経営目標の達成を阻害する要因となります。

不正解(A): 識別するだけでは管理になりません。

不正解(B): リスク選好との整合性は評価の核心部分です。

不正解(D): リスク選好の決定・変更は取締役会や経営陣の役割であり、監査人が指示すべきではありません。

Q3. 内部監査人が、ある業務プロセスの「コントロールの妥当性と有効性」を評価している。正当な注意を発揮するために、監査人が最初に行うべきことは何か。

A. 過去の監査で発見されたすべての不備リストを確認する。

B. その業務プロセスに関連するリスクを理解し、コントロールがそのリスクを許容レベルまで低減するように設計されているか(妥当性)を確認する。

C. 担当者にインタビューを行い、業務マニュアル通りに作業しているか(有効性)を確認する。

D. 統計的サンプリングを用いて、大量の取引データをテストする。

【解答・解説】

正解と解説を表示

正解(B): コントロール評価の鉄則は「まず設計(妥当性)、次に運用(有効性)」の順序です。そして、設計が妥当かどうかを判断するためには、「何のリスクに対応するためのコントロールなのか」を理解していなければなりません。

不正解(A): 過去の不備は参考になりますが、現在の評価の出発点ではありません。

不正解(C)、(D): これらは「運用の有効性」を確認する手続きであり、設計の妥当性を確認した後に行うべきものです。