独立性の侵害とリスク報告｜CAEが伝えるべき重要事項【CIAパート3】

Contents

テーマ：「緊急ブレーキ」と「ホイッスル」の使い方
【練習問題】パート3 セクションA-4-c

テーマ：「緊急ブレーキ」と「ホイッスル」の使い方

セクションA-4-cは、内部監査部門長（CAE）が直面する最も困難な局面、すなわち「独立性が脅かされた時」や「経営陣が危険なリスクを放置しようとしている時」に、どのような手順で取締役会に警告を発するべきかというテーマです。

試験では、単に騒ぎ立てるのではなく、プロフェッショナルとしての冷静な手順（エスカレーション・プロセス）を踏めるかどうかが問われます。

1. 導入：CAEは「最後の砦」

通常、内部監査は経営陣と協力して業務を進めます。しかし、時に意見が対立したり、監査の実施が妨害されたりすることがあります。

GIAS（グローバル内部監査基準）は、こうした状況においてCAEが沈黙すること（黙認）を許しません。CAEには、組織を守るために取締役会へ直接報告するルートが保証されています。

2. ケース①：独立性が「阻害」された場合

「阻害（Impairment）」とは？ 内部監査部門が、偏見なく自由に監査を行えない状況のことです。

個人的な利害対立： 監査対象の責任者がCAEの親族である、またはCAE自身が以前その部署の責任者だった場合。
範囲の制限（Scope Limitation）： 経営陣が「あの部署の監査はするな」「この資料は見せられない」と制限をかけてきた場合。
資源の制限： 必要な予算や人員を与えられず、重要な監査ができない場合。

手順： CAEは、これらの阻害が発生した場合、その内容と影響を、上級経営陣および取締役会に開示（報告）しなければなりません。

3. ケース②：重大なリスク・エクスポージャー（許容できないリスク）

ここが試験の最重要ポイントです。「経営陣がリスクを受け入れる（受容する）」と判断したが、CAEが「それは危険すぎる」と判断した場合の対立構造です。

前提知識：
リスクを受け入れるかどうかを決めるのは「経営陣」の責任です。
しかし、経営陣が受け入れた「残余リスク（対策後のリスク）」が、組織の「リスク選好（Risk Appetite：ここまでなら損してもいいという基準）」を超えている場合、CAEは行動を起こす必要があります。

エスカレーションの手順（3ステップ）：

ステップ1：上級経営陣との協議 まず、そのリスクを受け入れた経営陣と話し合います。「このリスクは会社のリスク選好を超えているようですが、どういう意図ですか？」と確認し、リスクを低減するよう説得を試みます。
ステップ2：取締役会への報告 経営陣と話し合っても問題が解決しない（経営陣がリスク対策を拒否する）場合、CAEはその旨を取締役会に報告します。
ステップ3：取締役会の決断 最終的にそのリスクを受け入れるかどうかを決めるのは取締役会です。CAEは取締役会の決定に従います（ただし、それが違法行為でない限り）。

イメージ：
経営陣（運転手）が「猛吹雪の中でスピードを出そう」としています。 CAE（助手席）は「危険です、スピードを落としてください」と警告します（ステップ1）。
それでも無視された場合、オーナー（取締役会）に電話して「運転手が暴走しようとしています」と伝えます（ステップ2）。

4. 試験で狙われる「ひっかけ」ポイント

×「経営陣がリスクを受け入れた場合、CAEはいかなる場合もその決定を尊重し、口を挟んではならない」
- 解説： 間違いです。リスクが「リスク選好」を超えていると判断される場合は、報告義務があります。
×「リスク選好を超えていると判断した場合、CAEは直ちに外部の規制当局に通報すべきである」
- 解説： まずは組織内のガバナンスプロセス（経営陣→取締役会）を経るのが先です。外部通報は、違法行為などで組織内の是正機能が完全に麻痺している場合の最終手段です。
×「監査範囲の制限（特定の資料を見せない等）を受けた場合、CAEは強制捜査権限を行使できる」
- 解説： 内部監査人に警察のような強制力はありません。行うべきは「取締役会への報告（制限の事実とその影響を伝えること）」です。

まとめ

セクションA-4-cのポイントは、「対話とエスカレーション」です。

Conflict: 独立性の阻害や、過大なリスク受容が発生した。
Action: まず経営陣と協議する。
Escalation: 解決しなければ、取締役会に報告する。

CAEは、組織の「良心」として機能するために、嫌われる勇気を持ってこの手順を踏む必要があります。

【練習問題】パート3 セクションA-4-c

Q1. 内部監査部門長（CAE）は、購買部門の監査を実施しようとしたところ、最高財務責任者（CFO）から「現在はシステムの入れ替え時期で忙しいため、購買部門の監査は延期し、関連するデータへのアクセスも控えてほしい」と指示された。CAEはこの制限により、購買不正のリスクが見過ごされる可能性が高いと考えている。この状況におけるCAEの対応として、GIASに基づき最も適切なものはどれか。

A. CFOは上級経営陣の一人であるため、その指示に従い、購買部門の監査を中止し、監査計画から削除する。

B. 監査の独立性と客観性が侵害されている「範囲の制限」とみなし、この制限の事実と、それが監査業務に及ぼす影響について取締役会に報告する。

C. CFOの指示を無視し、IT部門の協力を得て秘密裏にデータを入手し、監査を強行する。

D. 監査が実施できない代替として、CFOに対して「不正が存在しないこと」を保証する誓約書の提出を求める。

【解答・解説】

正解と解説を表示

正解（B）： 監査対象や情報へのアクセスを不当に制限されることは「範囲の制限（Scope Limitation）」であり、独立性の阻害要因です。CAEはこの事実と、監査ができないことによるリスク（影響）を取締役会に報告し、対応を仰ぐ必要があります。

不正解（A）： 正当な理由のない制限を受け入れ、重要なリスクを見過ごすことは職務怠慢です。

不正解（C）： 組織の承認プロセスを無視した強行突破は、プロフェッショナルとしての行動規範に反し、信頼関係を破壊します。

不正解（D）： 経営陣の誓約書は内部監査による検証の代わりにはなりません（自己評価に過ぎません）。

Q2. 内部監査の過程で、CAEは組織が新しい金融商品への投資を通じて、極めて高いリスクを負っていることを発見した。CAEの分析では、このリスクレベルは組織が定めた「リスク選好（Risk Appetite）」を大幅に超えている。CAEが上級経営陣にこの懸念を伝えたところ、経営陣は「収益向上のためには必要なリスクだ」として、対策を講じずにリスクを受容（Accept）すると回答した。次にCAEがとるべき行動はどれか。

A. 経営陣がリスクを受容することを決定したため、CAEとしての役割は終了したと考え、監査報告書にその旨を記載してクローズする。

B. 経営陣の判断は誤っているため、CAEの権限で当該金融商品の取引停止を現場に命令する。

C. 残余リスクがリスク選好を超えている可能性があるという懸念について、取締役会に報告し、議論を求める。

D. 組織が危険な状態にあるため、直ちに金融監督庁（規制当局）に通報する。

【解答・解説】

正解と解説を表示

正解（C）： 経営陣が受容した残余リスクが、組織のリスク選好と整合していない（許容範囲を超えている）とCAEが判断した場合、まずは経営陣と協議し、それでも解決しない場合は取締役会に報告する義務があります。

不正解（A）： リスク選好を超えている場合、単に経営陣の決定を受け入れるだけでは不十分です。

不正解（B）： 内部監査部門は助言・保証を行う部門であり、業務執行（取引停止命令など）の権限はありません。

不正解（D）： 違法行為の明白な証拠などがない限り、内部のガバナンスプロセス（取締役会への報告）を経ずに外部通報を行うことは適切ではありません。

Q3. 内部監査部門長（CAE）自身に関わる「独立性の阻害」に関する記述として、適切な対応手順が含まれているものはどれか。

A. CAEは、かつて自分が部長を務めていた経理部門の監査を来月実施する予定である。CAEは自分の経験を活かせると判断し、自らが監査チームリーダーを務めることにした。