Contents
  1. テーマ:「合意なきまま進む」ときの手続き ~是正されないリスクの最終報告~
  2. 【練習問題】パート3 セクションD-6-c

テーマ:「合意なきまま進む」ときの手続き ~是正されないリスクの最終報告~

セクションD-6-cは、経営陣が「受容できないレベルのリスク」を受け入れ、話し合い(D-6-bのエスカレーション)を経てもなお平行線をたどる場合の、最終的な事務手続きと記録に関する領域です。

これは内部監査における「非常ボタン」を押す手順です。感情的な対立に陥るのではなく、あくまでプロフェッショナルとして、冷静かつ客観的な手順(プロトコル)に従って取締役会に判断を仰ぐ必要があります。

1. 導入:口頭ではなく「文書化」が必須

経営管理者や上級経営陣と議論しても、「このリスクは受容する」という結論が変わらず、CAE(内部監査部門長)が「それは組織にとって危険すぎる」と判断した場合、議論は最終段階に入ります。

この段階で最も重要なのは、すべての経緯と主張を公式に文書化することです。 「言った・言わない」の水掛け論を防ぎ、取締役会が正しい裁定を下せるようにするためです。

2. 取締役会への報告手順(レポートの作成)

CAEは、取締役会(または監査委員会)への報告資料を作成します。この資料には、以下の要素が公平に含まれていなければなりません。

  1. リスクの特定と分析:
    • どのようなリスクか? 影響度と発生可能性は?
    • 組織のリスク許容度(Risk Appetite)をどう逸脱しているか?
  2. 経営陣の主張(Rationale):
    • なぜ経営陣はそのリスクを受容したのか?(コスト、戦略的優先順位など)
  3. 内部監査人の見解(Opinion):
    • なぜ是正措置が必要だと考えるのか?

★ポイント: CAEは「検察官」のような立場で経営陣を糾弾するのではなく、「専門家としての意見」を提示し、最終決定権を持つ「裁判官(取締役会)」に判断を委ねる姿勢が求められます。

3. 取締役会による「最終決定」とその後の対応

取締役会が報告を受け、審議した結果、以下の2つのパターンのいずれかになります。試験では特にパターンBの対応が問われます。

パターンA:取締役会が「CAEを支持」した場合

  • 取締役会は経営陣に対し、是正措置をとるよう指示します。
  • CAEは通常の監査同様、是正措置の進捗をモニタリングします。

パターンB:取締役会が「経営陣を支持(リスク受容)」した場合

  • 取締役会が「今回は特別にリスクを受け入れる(許容度を拡大する)」と判断した場合です。
  • CAEの対応:
    1. 決定を受け入れる: 組織の最高意思決定機関の判断を尊重します(違法行為でない限り)。
    2. 文書化する: 取締役会がリスクを受容した事実と、その議論の過程を議事録等に残します。
    3. 外部へは通報しない: 合法的な経営判断であれば、CAEが外部機関に通報する必要はありません。

4. 残留リスクのモニタリング

取締役会がリスクを受容した場合でも、CAEの仕事は終わりではありません。 そのリスクが将来的にさらに悪化しないか、あるいは前提条件(環境)が変わっていないか、継続的にモニタリングする責任があります。

「一度許可されたからといって、永遠に放置してよいわけではない」という点を認識してください。

5. 試験で狙われる「ひっかけ」ポイント

  1. ×「取締役会がリスク受容を決定した場合、CAEは抗議のために辞任するか、規制当局に通報すべきである」
    • 解説: それが法令違反や公共の安全を脅かすものでない限り、取締役会の経営判断(ビジネスジャッジメント)を尊重するのが原則です。
  2. ×「報告書にはCAEの正当性を証明するため、監査人の意見のみを記載し、経営陣の反論は口頭で説明させればよい」
    • 解説: 不公平です。文書化された報告書に双方の見解を併記しなければ、取締役会は適切な判断ができません。
  3. ×「エスカレーションの手順を踏む時間は無駄なので、リスク発見後すぐに取締役会へ報告書を送付する」
    • 解説: 経営陣との協議(解決の努力)を経ずに取締役会へ持ち込むのは、手続き違反であり、ガバナンスの軽視です。

まとめ

セクションD-6-cのポイントは、「最後は組織が決める」です。

  • Process: 双方の言い分を文書化して取締役会へ提出する。
  • Decision: 取締役会が白黒をつける。
  • Action: CAEはその決定に従い、記録を残す。

CAEは「リスクの警鐘を鳴らす義務」はありますが、「組織を支配する権利」はありません。最終的なリスクのオーナーは取締役会であることを忘れないでください。

【練習問題】パート3 セクションD-6-c

Q1. 内部監査部門長(CAE)は、ある重大なITリスクについて上級経営陣と協議したが、経営陣はコストを理由に対策を拒否し、リスクを受容する姿勢を崩さなかった。CAEはこのリスク受容が組織の存続に関わると判断している。CAEが取締役会へ報告を行う際の手順として、GIASに基づき最も適切なものはどれか。

A. 取締役会への報告前に、外部監査人と相談し、共同で経営陣を説得する計画を立てる。

B. リスクの重大性、経営陣がリスクを受容した理由、およびCAEがそれが受容できないと判断した根拠を含む報告書を作成し、取締役会に提出する。

C. 経営陣の顔を立てるため、公式な報告書には記載せず、取締役会の休憩時間に非公式に監査委員長に伝える。

D. 経営陣がリスクを受容した時点で監査人の責任は果たされたため、取締役会への報告は行わず、監査調書にその旨を記録して終了する。

【解答・解説】

正解と解説を表示

正解(B): 適切なエスカレーション手順の問題です。上級経営陣と合意できない場合、CAEは双方の見解(リスクの分析、経営側の受容理由、監査側の反対理由)を文書化し、公平な形で取締役会に提示して裁定を仰ぐ必要があります。

不正解(A): 外部監査人の関与は状況によりますが、まずは内部のガバナンスプロセス(取締役会への報告)を完了させることが先決です。

不正解(C): 重大なリスクに関する意思決定は、公式な会議の場で行われ、記録されるべきです。

不正解(D): 組織のリスク許容度を超えていると判断した場合、CAEには取締役会へ報告する責務があります。

Q2. CAEから「受容できないリスク」についての報告を受けた取締役会は、審議の結果、「経営陣の判断(リスク受容)を支持する」という決定を下した。このリスクは法令違反を伴うものではない。この状況におけるCAEの対応として、最も適切なものはどれか。

A. 取締役会の決定は最終的なものであるため、その決定を受け入れ、リスクが受容された事実を文書化する。

B. 取締役会がリスクを理解していないと判断し、再度同じ報告書を提出して再審議を求める。

C. 組織のガバナンスが機能していないとみなし、直ちに監督官庁へ通報する。

D. 取締役会の決定に関わらず、次回の監査計画に当該リスクの是正確認を含め、現場に改善を要求し続ける。

【解答・解説】

正解と解説を表示

正解(A): リスク許容度を決定する権限は取締役会にあります。法令違反などの不正行為でない限り、取締役会がリスクと便益を天秤にかけて「受容する」と決定したならば、CAEはその判断を尊重し、決定プロセスを記録に残すことで責任を果たします。

不正解(B): 決定後の執拗な再審議要求は、監査人の役割(客観性)を逸脱しています。

不正解(C): 違法行為でない場合、外部通報の要件を満たしません。

不正解(D): 最高意思決定機関の決定を無視して現場に介入することは、指揮命令系統の違反です。

Q3. リスクの受容に関する取締役会への報告プロセスにおいて、文書化(Documentation)が重要視される主な理由はどれか。

A. 監査人が仕事をしたという証拠を残し、監査報酬を請求するため。

B. 将来リスクが顕在化して損害が発生した場合に、誰がどのような理由でそのリスクを受け入れる決定をしたかという「説明責任(Accountability)」を明確にするため。

C. 経営陣の反論を封じ込め、監査人の意見を通しやすくするため。

D. 外部の規制当局が定期検査に来た際、提出する書類の量を増やすため。

【解答・解説】

正解と解説を表示

正解(B): 文書化の最大の目的は、説明責任の明確化です。リスク受容は経営判断ですが、もし将来そのリスクが現実となり巨額の損失が出た場合、「なぜそのリスクを放置したのか」「取締役会は知っていたのか」が問われます。適切な文書化により、プロセスが適正であったことを証明できます。

不正解(A): 内部監査は通常、給与制であり、成果報酬請求のための文書化ではありません。

不正解(C): 監査人の意見を通すための道具ではなく、公正な判断材料を提供するためのものです。

不正解(D): 書類を増やすこと自体は目的ではありません。