Contents
  1. テーマ:「約束」が守られなかった時 ~誰にエスカレーションすべきか~
  2. 【練習問題】パート3 セクションD-8-a

テーマ:「約束」が守られなかった時 ~誰にエスカレーションすべきか~

セクションD-8-aは、フォローアップの結果、「経営管理者が約束した改善措置を行っていない」ことが判明した場合の対応についてです。

監査報告書で「やります」と合意したにもかかわらず、期限を過ぎても放置されている。あるいは、やったふりをして効果が出ていない。 このような場合、内部監査部門長(CAE)は沈黙していてはいけません。

組織を守るために、適切なルートを通じてこの事実を報告(エスカレーション)する必要があります。

1. 導入:なぜ報告が必要なのか?

経営管理者が改善措置を怠るということは、「発見されたリスクが、軽減されずに残っている(残余リスクが高いまま)」ということを意味します。

もし、そのリスクが顕在化して事故が起きたとき、「監査で見つかっていたのに、なぜ直さなかったのか?」と問われます。このとき、CAEが「現場が直さないのを知っていましたが、誰にも言いませんでした」では、監査部門の存在意義(組織価値の保全)が問われます。

したがって、CAEには「未解決の重要リスク」を適切な権限者に知らせる義務があります。

2. 報告すべき「適切な関係者」の階層

報告のルートは、組織の指揮命令系統(Chain of Command)とガバナンス構造に従って段階的に行われます。

第1段階:当該業務の経営管理者(Process Owner)

  • 誰? 改善措置を行うと約束した本人(部長、課長など)。
  • 目的: 「理由の確認」と「再督促」
  • アクション: 即座に上へ報告する前に、まず本人に確認します。「予算が削減された」「担当者が退職した」などの正当な理由があるかもしれません。あるいは、単に忘れているだけかもしれません。

第2段階:上級経営陣(Senior Management)

  • 誰? 経営管理者の上司、またはC-Suite(CEO, COOなど)。
  • 目的: 「資源の配分」と「是正命令」
  • アクション: 現場レベルで解決しない場合(やる気がない、予算がない場合)、その上司に報告します。上級経営陣は、リソースを配分したり、業務命令として是正を強制したりする権限を持っています。

第3段階:取締役会 / 監査委員会(The Board)

  • 誰? 組織の監視(オーバーサイト)機関。
  • 目的: 「ガバナンス不全の指摘」と「最終判断」
  • アクション: 上級経営陣に報告しても是正されない、あるいは上級経営陣自身がリスクを放置している場合、CAEは取締役会に報告します。これは「経営陣がリスク受容の限界を超えている(Unacceptable Risk)」と警告することを意味します。

3. 取締役会への定期報告プロセス

個別のエスカレーションとは別に、CAEは通常、年次または半期ごとに「未完了の改善措置リスト」を取締役会に報告します。

  • このリストには、「期限を過ぎても完了していない重要なリスク」が含まれます。
  • これにより、取締役会は経営陣に対し、「なぜこのリスクが放置されているのか?」と質問する機会を得ます。

4. 外部監査人や規制当局との関係

  • 外部監査人: 財務報告に関連する不備が放置されている場合、外部監査人にも情報を共有することが一般的です(監査の効率化のため)。
  • 規制当局: 改善不履行が「法令違反の継続」を意味する場合、法務部門と協議の上、規制当局への報告義務が生じることがあります。

5. 試験で狙われる「ひっかけ」ポイント

  1. ×「改善措置が行われていない場合、CAEは直ちに全従業員にメールでその事実を公表し、社会的圧力をかけるべきである」
    • 解説: 不適切です。報告は権限を持つ関係者(Need-to-know)に対して行われるべきであり、無秩序な拡散は組織を混乱させます。
  2. ×「現場の課長が是正しない場合、CAEはその部下に是正を命じるべきである」
    • 解説: 指揮系統を飛び越えて部下に命令するのは不適切です。また、監査人に業務命令権はありません。報告すべきはその「上司」です。
  3. ×「理由の如何に関わらず、期限を1日でも過ぎたら即座に取締役会へ報告しなければならない」
    • 解説: 現実的ではありません。まずは現場や上級経営陣と調整し、それでも解決しない「重要なリスク」について取締役会へ報告します。

まとめ

セクションD-8-aのポイントは、「ボールを上に投げる」ことです。

  • 現場が持っているボール(リスク)が爆発しそうなのに、手放そうとしない。
  • CAEは、「彼らがボールを持ったまま動いていません!」と上司(審判)に伝える。

この伝達ルートを間違えないことが、組織のガバナンスを機能させる鍵となります。

【練習問題】パート3 セクションD-8-a

Q1. 内部監査人はフォローアップの結果、ある重要なリスクに対する改善措置が期限を過ぎても実施されていないことを確認した。担当の経営管理者に理由を尋ねたところ、「他の業務が忙しくて手が回らなかった」との回答を得た。GIASに基づき、内部監査部門長(CAE)が次にとるべき行動として最も適切なものはどれか。

A. 経営管理者の怠慢を理由に、人事部に対して懲戒処分を申請する。

B. 経営管理者の上司にあたる上級経営陣に状況を報告し、是正措置の実施に向けた支援や指示を仰ぐ。

C. 担当者が忙しいため、監査人が代わりに改善措置(マニュアル作成など)を実施し、リスクを低減する。

D. 期限を守れなかったため、この発見事項は「是正不能」として監査対象から除外する。

【解答・解説】

正解と解説を表示

正解(B): 適切なエスカレーションのプロセスに関する問題です。現場レベルで解決しない(リソース不足や優先順位の問題)場合、その上の権限を持つ上級経営陣に報告し、解決を促すのが正しい手順です。

不正解(A): 監査人の役割は処分の要求ではなく、リスク管理の支援です。

不正解(C): 独立性の侵害にあたるため、監査人が代行してはいけません。

不正解(D): リスクが残っている以上、除外してはいけません。未完了として管理し続けます。

Q2. 内部監査部門長(CAE)が、実施されなかった改善措置(未完了事項)について取締役会に報告する際、最も重視すべき判断基準はどれか。

A. 改善措置を実施しなかった経営管理者の役職の高さ。

B. 未完了となっている期間の長さ(例:1年以上放置されているものすべて)。

C. 残存しているリスクの重要性(Significance)と、それが組織の目標達成に与える影響。

D. 外部監査人が関心を持っているかどうか。

【解答・解説】

正解と解説を表示

正解(C): 取締役会の時間は貴重です。すべての未完了事項を報告するのではなく、組織にとって「受容できないレベルのリスク」が残存しているかどうかに基づいて報告対象を選別します。最も重要なのはリスクの大きさ(重要性)です。

不正解(A): 役職ではなくリスクベースで判断します。

不正解(B): 期間も要素の一つですが、低リスク案件が長く残っていることよりも、高リスク案件が短期間でも放置されていることの方が重要です。

不正解(D): 外部監査人の関心は二次的な要素です。

Q3. 内部監査部門長(CAE)は、上級経営陣が特定の重要なリスクについて是正措置をとらず、リスクを受容する決定をしたことを知った。CAEはこの残留リスクが組織のリスク許容度を超えていると考えている。この場合、CAEが報告すべき「適切な関係者」は誰か。

A. 取締役会(または監査委員会)

B. 規制当局

C. 株主

D. メディア

【解答・解説】

正解と解説を表示

正解(A): 経営陣がリスクを受容し、その判断が組織の許容度を逸脱しているとCAEが考える場合、最終的な裁定者はガバナンス機関である取締役会(監査委員会)です。取締役会へ報告し、その受容が妥当かどうかの判断を仰ぐ必要があります。

不正解(B): 法令違反等の特別な事情がない限り、まずは内部のガバナンス機関へ報告します。

不正解(C、D): 内部監査人が直接株主やメディアに報告することはありません。