【CIA試験講義】パート1 セクションC-1-a: ガバナンスにおける役割分担
テーマ:「三権分立」の組織版 ~誰が舵を取り、誰が漕ぎ、誰がチェックするのか~
セクションC-1-aは、組織のガバナンス(統治)を機能させるための「登場人物」と「役割」の整理です。
試験では、具体的な状況設定(例:リスク管理の責任は誰にあるか?)において、取締役会、経営陣、内部監査人がそれぞれの「領分」を守っているか、あるいは越権行為をしていないかを判断する力が問われます。
1. 導入:ガバナンスを支える4つの柱
GIAS(グローバル内部監査基準)において、効果的なガバナンスは以下の主体がそれぞれの役割を果たすことで成立します。
- 取締役会(The Board): 監視と方向付けを行う(ガバナンス機関)。
- 最高経営者・上級経営陣(Senior Management): 業務を執行し、リスクを管理する。
- 内部監査部門(Internal Audit): 独立した客観的なアシュアランス(保証)と助言を提供する。
- その他のアシュアランス・プロバイダ: コンプライアンス、リスク管理、外部監査人など。
★ポイント: 最も重要なルールは、「管理(マネジメント)の責任は経営陣にあり、監視(オーバーサイト)の責任は取締役会にある」という区分けです。内部監査人はそのどちらも代行してはいけません。
2. 各主体の詳細な役割(3ラインモデルの視点)
組織のリスク管理と統制に関する役割分担は、しばしば「3ラインモデル」で説明されます。
① 取締役会(ガバナンス機関)
役割:監視(Oversight)と方向付け
- 組織の使命、戦略、リスク選好(どの程度のリスクを取るか)を承認します。
- 経営陣が適切にリスクを管理しているかを監督します。
- 内部監査部門の独立性を保障します(内部監査憲章の承認、内部監査部門長の任命など)。
イメージ: 船のオーナーや船長(大局的な行き先を決める人)。
② 最高経営者・上級経営陣(第1線・第2線の役割)
役割:実行(Execution)とリスク所有
- リスクの所有者(Risk Owners): リスク管理プロセスの設計と運用に最終責任を持ちます。
- 内部統制システムを構築し、維持します。
- 取締役会の戦略を実行に移します。
イメージ: 実際に船を漕ぐ漕ぎ手や、現場監督。「リスク」という波に直接対処するのは彼らです。
③ 内部監査部門(第3線)
役割:独立したアシュアランス(Independent Assurance)
- ガバナンス、リスク管理、コントロールのプロセスが有効に機能しているかを評価します。
- 経営陣には「改善の提案」を行いますが、経営判断そのものは行いません。
- 取締役会と経営陣の両方に報告を行います。
イメージ: 船の計器が正しいか、漕ぎ手が正しい方向に進んでいるかを客観的にチェックする航海士。
④ その他のアシュアランス・プロバイダ
役割:専門的な支援と保証
- 内部(第2線): 法務、コンプライアンス、安全衛生、品質管理部門など。特定の専門分野におけるリスク管理を支援・監視します。
- 外部: 外部監査人(会計監査人)、規制当局の検査官など。
- 結合的アシュアランス(Combined Assurance): 内部監査部門は、これらの活動と重複を避け、効率的に監査を行うために、彼らと「調整」を行う必要があります。
3. 試験で問われる「責任の所在」
このセクションで最も狙われるのは、「誰が責任を負うのか?」という点です。
| 項目 | 責任者 | 解説 |
|---|---|---|
| 内部統制の構築・維持 | 最高経営者・経営陣 | 内部監査人は評価するだけで、構築はしません。 |
| リスク選好の決定 | 取締役会 | 経営陣の提案に基づき、取締役会が最終決定・承認します。 |
| 監査計画の承認 | 取締役会 | 経営陣は意見を述べますが、承認権限は取締役会にあります(独立性確保のため)。 |
| 不正の防止・発見 | 経営陣 | 主たる責任は経営陣です。内部監査人は不正リスクを評価する役割です。 |
4. 内部監査と「その他のプロバイダ」の関係
GIASでは、内部監査人が他のアシュアランス・プロバイダ(例:コンプライアンス部門)の作業に依存・活用することを認めています。 しかし、「丸投げ」は禁止です。
- ○ 適切な活用: コンプライアンス部門のレポートを参考にしつつ、内部監査人が独自のテストも行い、結論の責任を負う。
- × 不適切な依存: 「コンプライアンス部門が大丈夫と言っているから、監査せずに合格とする」。
まとめ
セクションC-1-aの核心は、「境界線」です。
- 取締役会は「現場介入」しない。
- 経営陣は「監視」から逃げない。
- 内部監査人は「経営」しない。
それぞれの役割が明確に分離され、かつ連携している状態こそが、健全なガバナンス構造です。
【練習問題】パート1 セクションC-1-a
Q1. ある組織において、大規模な会計不正が発覚した。調査の結果、内部統制システムに重大な欠陥があったことが判明した。GIASおよびガバナンスの原則に基づき、内部統制システムの構築および維持に関する「最終的な責任」を負う主体は誰か。
A. 内部監査部門長(CAE):内部統制の有効性を評価し、保証を与える責任があるため。
B. 取締役会(または監査委員会):株主に対して組織の全責任を負うガバナンス機関であるため。
C. 外部監査人:財務諸表の適正性について意見を表明する独立した第三者であるため。
D. 最高経営者(CEO)および上級経営陣:組織の目的を達成するためにリスクを管理し、統制を設計・運用する役割を持つため。
【解答・解説】
正解と解説を表示
正解(D): 内部統制システムの確立、維持、および運用に関する主たる責任は、最高経営者(CEO)および上級経営陣にあります。彼らはリスクの所有者(Risk Owners)です。
不正解(A): 内部監査部門の責任は、内部統制の「評価」と「助言」であり、構築・維持の責任は負いません。
不正解(B): 取締役会は、経営陣が内部統制を適切に整備しているかを「監視(Oversight)」する責任がありますが、日々の構築・運用の責任は経営陣に委譲しています。
不正解(C): 外部監査人は財務報告に関する意見を述べますが、組織の内部統制に対する責任は負いません。
Q2. 内部監査部門が年間の監査計画を作成する際、「その他のアシュアランス・プロバイダ(品質管理部門や環境安全部門など)」と連携・調整を行う主な目的として、最も適切なものはどれか。
A. 内部監査部門の人員不足を補うために、他の部門のスタッフを監査業務に動員するため。
B. 重複した作業を最小限に抑え、アシュアランスの抜け漏れを防ぎ、組織全体として効率的なモニタリングを行うため(結合的アシュアランス)。
C. 内部監査部門の独立性を高めるために、リスク評価の責任を専門部署に移管するため。
D. 経営陣に対して、内部監査部門が組織内のすべての部門を統括していることを示すため。
【解答・解説】
正解と解説を表示
正解(B): 内部監査、リスク管理、コンプライアンスなどの機能が連携することは「結合的アシュアランス(Combined Assurance)」と呼ばれます。主な目的は、監査疲れ(Audit Fatigue)を防ぎ、リソースの重複を避け、組織全体のリスクを網羅的にカバーすることです。
不正解(A): リソースの補完も副次的な効果としてはあり得ますが、主目的はアシュアランスの全体最適化です。
不正解(C): リスク評価の責任を移管することはできません。内部監査部門は独自のリスク評価を行う必要があります。
不正解(D): 内部監査部門は他の部門を「統括」する立場ではなく、独立した評価者です。
Q3. 組織の「リスク選好(Risk Appetite)」に関するガバナンス上の役割分担として、GIASに基づき最も適切な記述はどれか。
A. 内部監査部門が過去のデータ分析に基づきリスク選好を決定し、取締役会に報告する。
B. 最高経営者が独断でリスク選好を決定し、取締役会には事後報告を行う。
C. 外部監査人が業界基準に基づいてリスク選好を設定し、組織に遵守を求める。
D. 最高経営者・経営陣がリスク許容度や選好に関する情報を共有・提案し、取締役会がそれを検討・承認する。
【解答・解説】
正解と解説を表示
正解(D): リスク選好(組織が受け入れるリスクのレベル)を最終的に決定・承認するのは「取締役会(ガバナンス機関)」の役割です。しかし、実務的な提案や情報の提供は「経営陣」が行います。取締役会と経営陣の対話を通じて決定されます。
不正解(A): 内部監査部門はリスク管理プロセスを評価しますが、経営判断であるリスク選好の決定は行いません(独立性の侵害になります)。
不正解(B): リスク選好の決定はガバナンスの根幹に関わるため、取締役会の承認(または決定)が必要です。経営者の独断ではありません。
不正解(C): 外部監査人にそのような権限はありません。
