Contents
  1. テーマ:非常ボタンを押す勇気 ~リスク選好と指揮命令系統~
  2. 【練習問題】パート2 セクションC-2-b

テーマ:非常ボタンを押す勇気 ~リスク選好と指揮命令系統~

セクションC-2-bは、通常の報告ルート(担当者→管理者)では解決できない問題に直面した際、内部監査人がより上位の権限者(上級経営陣や取締役会)へ問題を報告する「上申(Escalation)」の判断プロセスです。

試験では、上申を「告げ口」ではなく、「組織を守るための最終安全装置(セーフティネット)」として正しく機能させるための判断力が問われます。

1. 導入:なぜ「上申」が必要なのか?

通常、内部監査人は発見事項を被監査部門の管理者(ラインマネジメント)に報告し、是正を求めます。しかし、以下のような状況では、そのルートが機能しません。

  • 管理者が「直さない」と開き直った場合。
  • 管理者自身が不正に関与している場合。
  • 管理者が監査を妨害する場合。

このような時、監査人は指揮命令系統を飛び越えて、より高いレベル(上級経営陣や取締役会)に報告する必要があります。これを「上申」と呼びます。

2. 上申が必要な3つの主要シナリオ

GIAS(グローバル内部監査基準)において、上申が必須となる代表的な状況は以下の通りです。

① 残存リスクが「リスク選好」を超えている場合

これが試験で最も重要な概念です。 経営陣にはリスクを受け入れる権利(リスク受容)があります。しかし、経営陣が受け入れようとしているリスクが、組織全体の「リスク選好(Risk Appetite:組織が許容できるリスクの総量)」を超えているとCAE(内部監査部門長)が判断した場合、CAEはこの問題を取締役会に上申しなければなりません。

例: 営業部長が「売上優先だからセキュリティ対策はしない」と言った。 → そのリスクが、会社が決めた「セキュリティ基準」を超えているなら、CAEは黙認できず、社長や監査委員会に報告する義務があります。

② 上級経営陣が関与する不正や違法行為

被監査部門の長や、CFOなどの上級役員が不正に関与している兆候がある場合、本人に報告するのは証拠隠滅のリスクがあります。

  • 対応: 直ちに監査委員会や取締役会(または法的助言者)などの、被疑者より上位または独立した機関へ報告します。

③ 監査範囲の制限(Scope Limitation)や妨害

必要な情報へのアクセスが拒否されたり、監査人への脅迫・圧力があったりして、監査業務が遂行できない場合。

  • 対応: 現場での解決が困難な場合、CAEを通じて上級経営陣や取締役会へ状況を報告し、介入を求めます。

3. 上申のプロセス(慎重さと大胆さ)

上申は組織内に緊張をもたらす行為です。慎重な手順が必要です。

  1. 事実の確認: 「感覚」ではなく、「確固たる証拠」が必要です。
  2. 当該管理者との協議(原則): 不正以外の場合、まずは当該管理者に「このリスクは許容範囲を超えているため、上に報告せざるを得ない」と通告し、最後の是正チャンスを与えます。
  3. 上級経営陣への報告: それでも解決しない場合、CEOなどの上級経営陣へ報告します。
  4. 取締役会への報告: 上級経営陣も動かない(または上級経営陣がリスクを受容した)場合、最終的に取締役会へ報告します。

4. 監査人の「独立性」と「客観性」の守護

上申は、監査人の独立性を守るための武器でもあります。 現場の圧力に屈して「まあいいか」と報告書を修正してしまうことは、監査人としての自殺行為です。「上申する」という選択肢を持っていること自体が、監査人の交渉力を高めます。

まとめ

セクションC-2-bのポイントは、「リスク選好(Appetite)との比較」です。

  • 経営陣がリスクを受け入れるのは自由。
  • ただし、それが組織の許容限度(リスク選好)を超えているなら、監査人は「待った(上申)」をかけなければならない。

監査人は、組織が崖から落ちそうになっている時、たとえ運転手(経営陣)が「大丈夫だ」と言っても、助手席からブレーキを引く(上申する)義務があるのです。

【練習問題】パート2 セクションC-2-b

Q1. 内部監査人は、ある事業部門において重要なサイバーセキュリティの欠陥を発見した。しかし、当該部門の責任者は「対策コストが高すぎる」としてリスクを受容し、是正措置を取らないことを決定した。CAE(内部監査部門長)は、この残存リスクが組織の「リスク選好(Risk Appetite)」を超えていると判断している。この場合、GIASに基づきCAEが取るべき行動はどれか。

A. 部門責任者の判断は経営判断であるため、CAEはその決定を尊重し、監査報告書には「経営陣によるリスク受容」として記録して監査を終了する。

B. 当該部門責任者とさらに議論し、解決しない場合は上級経営陣に報告する。それでも解決しない(リスクが受容され続ける)場合は、取締役会(監査委員会)に問題を報告する。

C. 外部の規制当局に直ちに通報し、外部からの圧力によって是正を促す。

D. 次回の監査まで様子を見て、状況が悪化していた場合にのみ報告する。

【解答・解説】

正解と解説を表示

正解(B): 経営陣が受容したリスクが、組織のリスク選好を超えているとCAEが判断した場合、CAEはまず上級経営陣と協議し、それでも解消されない場合は取締役会に報告(上申)する義務があります。

不正解(A): リスク選好を超えている場合、単に記録して終了することは許されません。組織を守るための行動が必要です。

不正解(C): 内部監査人は組織内部の機能であり、まずは組織内のガバナンスプロセス(取締役会への報告)を通じて解決を図るべきです。外部通報は法的義務がある場合などを除き、最終手段です。

不正解(D): 重大なリスクを放置することは、監査人の職務怠慢にあたります。

Q2. 内部監査の実施中、担当監査人は、最高財務責任者(CFO)が関与していると思われる大規模な架空取引の証拠を発見した。通常の報告ルートでは、監査報告書はCFOのレビューを受けることになっている。この状況において、担当監査人が取るべきコミュニケーションとして、最も適切なものはどれか。

A. 確実な証拠をつかむため、CFO本人に直接インタビューを行い、事実関係を問い質す。

B. 通常の報告ルートに従い、発見事項を記載したドラフトレポートをCFOに提出し、コメントを求める。

C. 直ちにCAE(内部監査部門長)に報告し、CAEを通じて取締役会(監査委員会)または法務部門等の適切な機関へ報告・相談する。

D. 社内の人間関係を悪化させないよう、この発見事項は報告書から除外し、個人的なメモとして保管する。

【解答・解説】

正解と解説を表示

正解(C): 上級経営陣が関与する不正の疑いがある場合、通常の報告ルート(CFOへの報告)は不適切です。証拠隠滅や監査妨害のリスクがあるため、直ちにCAEに報告し、そこから取締役会などの監督機関へ上申する必要があります。

不正解(A): 準備なしに被疑者(特に権力者)に接触すると、証拠を消されたり、圧力をかけられたりする危険があります。

不正解(B): 被疑者に報告書を渡すことは、監査の失敗を意味します。

不正解(D): 重大な不正の隠蔽は、監査人自身の倫理規定違反および共犯とみなされる可能性があります。

Q3. 個々の内部監査業務において、被監査部門のマネージャーが「機密情報である」ことを理由に、監査に必要な重要データの提出を繰り返し拒否している。この「監査範囲の制限」に対する対応として、上申のプロセスの観点から最も適切な順序はどれか。

A. 即座に警察に通報し、強制捜査を依頼する。

B. まずは当該マネージャーと話し合って誤解を解くよう努め、解決しない場合はCAEに報告し、CAEから上級経営陣または取締役会へ状況を報告して介入を依頼する。

C. データの入手をあきらめ、入手可能な情報だけで監査報告書を作成し、制限があったことには触れない。

D. 当該マネージャーの部下を脅して、こっそりデータを持ち出させる。

【解答・解説】

正解と解説を表示

正解(B): 監査範囲の制限に対する適切なエスカレーション手順です。まずは現場レベルでの解決を試み、不可能な場合は組織の階層を上がって(CAE→経営陣/ボード)、権限に基づく解決(介入)を求めます。

不正解(A): 社内のデータアクセス問題でいきなり警察に通報するのは不適切です。

不正解(C): 範囲の制限は監査報告書に明記すべき重要な事項です(限定付意見などの原因となる)。触れないのは不誠実です。

不正解(D): 倫理的にも規定的にも許されない行為です。