Contents
  1. テーマ:「言いっぱなし」はプロの仕事ではない ~改善の完了を見届ける責任~
  2. 【練習問題】パート3 セクションD-7-a

テーマ:「言いっぱなし」はプロの仕事ではない ~改善の完了を見届ける責任~

セクションD-7-aは、監査報告書を発行したのプロセスです。 「悪いところを見つけて、報告書を出した。これにて一件落着!」と監査人が祝杯を挙げているとしたら、それは大きな間違いです。

内部監査の価値は「報告書を書くこと」ではなく、「組織が良くなること(リスクが低減されること)」にあります。

したがって、GIAS(グローバル内部監査基準)では、経営管理者が約束した改善策が本当に実行されたかを確認する「モニタリング(フォローアップ)」のプロセスを確立することを、内部監査部門長(CAE)の必須の責任としています。

1. 導入:責任の分界点(誰が何をやるか)

改善のフェーズにおいても、役割分担(3線モデル)は明確です。

  1. 経営管理者(第1線・第2線):
    • 責任: 改善措置の計画(Action Plans)を実行すること。
    • 「いつまでに、どう直すか」を宣言し、実際に手を動かすのは彼らです。
  2. 内部監査部門(第3線):
    • 責任: 改善措置の進捗状況をモニタリング(追跡)し、完了を確認すること。
    • 監査人が代わりに作業をしてはいけません(独立性の侵害)。しかし、「やったかどうか」をチェックする義務があります。

2. フォローアップ・プロセスの確立

CAEは、すべての監査業務における発見事項について、そのステータスを追跡するためのシステムやプロセスを確立しなければなりません。

  • 何を追跡するか?
    • 合意された改善措置の計画。
    • (または)経営陣が受け入れたリスク受容の決定。
  • ステータスの分類例:
    • 「完了(Completed)」
    • 「進行中(In Progress)」
    • 「期限切れ(Overdue)」
    • 「リスク受容(Risk Accepted)」

★ポイント: フォローアップは「次の監査まで待つ」ものではありません。リスクの重要性に応じて、適切なタイミングで実施されるべきです。

3. フォローアップの手法(重要性に基づくアプローチ)

すべての改善措置に対して、再度現場に行って実査を行う必要はありません。リスクの重要度(Significance)に応じて、確認の深さを調整します。

リスクの重要度フォローアップの手法
高(High)再監査(Follow-up Audit):
実際にテストを行い、リスクが解消されたか証拠を入手して検証する。
中(Medium)証拠の送付依頼:
スクリーンショットや修正後の文書を送ってもらい確認する。
低(Low)状態確認(Inquiry):
経営管理者へのメールや口頭での確認で済ませ、次回の定期監査でついでに見る。

4. 改善が進まない場合(期限切れへの対応)

経営管理者が「やります」と言ったのに、期限を過ぎても実行されていない場合、CAEはどうすべきでしょうか?

  1. 理由の確認: なぜ遅れているのか(予算不足、人手不足、優先順位の変更など)を聞き取ります。
  2. リスクの再評価: 遅れることで、リスクが増大していないか評価します。
  3. エスカレーション: 進捗が芳しくなく、リスクが放置されている場合、上級経営陣や取締役会に「未完了の改善措置リスト」を報告します。

「直せ」と命令する権限はありませんが、「直っていませんよ」と告げ口(報告)する強力なルートを持っています。

5. 試験で狙われる「ひっかけ」ポイント

  1. ×「監査報告書が発行された時点で監査業務は終了するため、その後の改善は経営陣の責任であり、監査人は関与しない」
    • 解説: 間違いです。監査業務のプロセスには「モニタリング(フォローアップ)」が含まれています。完了を見届けるまでが監査です。
  2. ×「改善措置が完了していない場合、監査人は自ら是正措置を行い、リスクを低減すべきである」
    • 解説: 何度も出ますが、独立性の侵害です。監査人は「実行」してはいけません。
  3. ×「すべての改善措置について、必ず次回の定期監査の際にまとめて確認しなければならない」
    • 解説: 緊急性の高いリスク(例:サイバーセキュリティの脆弱性)の場合、次回の監査(1年後など)を待っていては手遅れになります。リスクに応じて即座にフォローアップする必要があります。

まとめ

セクションD-7-aのポイントは、「Trust but Verify(信ぜよ、されど確認せよ)」の継続です。

  • Plan: 計画を立てる。
  • Do: 監査を実施する。
  • Check: 報告する。
  • Act: フォローアップする(重要!)

このサイクルを回し、合意されたアクションが「完了」になるか、正式に「リスク受容」されるまで、CAEは追跡(Tracking)をやめてはいけません。

【練習問題】パート3 セクションD-7-a

Q1. 内部監査報告書の発行後、経営管理者が合意した改善措置の計画(アクションプラン)の実施状況をモニタリングする責任について、GIASに基づき最も適切な記述はどれか。

A. 改善措置の実施は経営管理者の責任であるため、内部監査部門は次回の定例監査まで状況を確認する必要はない。

B. 内部監査部門長(CAE)は、合意された改善措置が効果的に実施されたか、あるいは経営陣がリスクを受容したかを確認するためのフォローアップ・プロセスを確立し、維持しなければならない。

C. 監査人は、改善措置が期限内に完了しなかった場合、自ら現場に入り是正措置を代行する責任がある。

D. モニタリングの責任は外部監査人にあり、内部監査人はその結果の報告を受けるだけでよい。

【解答・解説】

正解と解説を表示

正解(B): 内部監査部門長(CAE)には、監査結果に対する経営陣の対応(改善措置)を追跡・記録し、その完了を確認するためのシステム(プロセス)を確立する責任があります。これを放置することは、監査の有効性を損なうことになります。

不正解(A): リスクの重要性によっては、次回の監査を待たずにフォローアップが必要です。

不正解(C): 監査人が業務を代行することは独立性の侵害です。

不正解(D): 内部監査のフォローアップ責任を外部監査人に転嫁することはできません。

Q2. 内部監査人は、ある重要な発見事項(High Risk)について、経営管理者から「改善措置が完了した」とのメールを受け取った。この場合のフォローアップ手続きとして、最も適切なものはどれか。

A. 経営管理者を信頼し、メールを証拠として当該案件を「完了」としてクローズする。

B. 重要なリスクに関わるものであるため、単なる回答だけでなく、実際にリスクが軽減されたことを裏付ける証拠を入手するためのテスト(フォローアップ監査)を実施する。

C. 次回の監査計画に組み込み、1年後に確認することにする。

D. 改善措置の内容が複雑であるため、外部コンサルタントを雇って評価させることを経営管理者に命じる。

【解答・解説】

正解と解説を表示

正解(B): フォローアップの深さは、リスクの重要性と相関します。リスクが高い(重要な)場合、経営管理者の自己申告(メール)のみで完了とせず、監査人が再度テストを行って有効性を検証(Verify)する必要があります。

不正解(A): 重要なリスクに対しては、検証なしのクローズは不適切です。

不正解(C): 重要なリスクを1年間放置することは、タイムリーなフォローアップとは言えません。

不正解(D): 監査人に経営管理者へ「命令」する権限はありません。

Q3. 内部監査部門長(CAE)が、改善措置の進捗状況を取締役会や上級経営陣に定期的に報告する主な目的として、最も適切なものはどれか。

A. 期限を守れない経営管理者を名指しで批判し、人事的な処分を促すため。

B. 内部監査部門がどれだけ多くの指摘を行ったかをアピールし、予算を増額させるため。

C. 組織が直面しているリスクの現状(残存しているリスク)と、改善活動の有効性をステークホルダーに伝え、必要な監督機能(オーバーサイト)を支援するため。

D. 外部監査人に対して、内部監査部門が十分に機能していることを証明するアリバイ作りのため。

【解答・解説】

正解と解説を表示

正解(C): CAEによる進捗報告の目的は、組織のガバナンスを支援することです。「どのリスクがまだ解決されていないか(残存しているか)」を取締役会に知らせることで、取締役会は経営陣に対して適切な監督や資源配分を行うことができます。

不正解(A): 個人の攻撃が目的ではありません。

不正解(B): 自己アピールではなく、組織のリスク管理への貢献が目的です。

不正解(D): 内部監査の本来の目的は組織価値の向上であり、外部監査への証明はその副産物に過ぎません。