Contents
  1. テーマ:段階的な警報システム ~いきなり非常ベルを鳴らさない~
  2. 【練習問題】パート3 セクションD-8-b

テーマ:段階的な警報システム ~いきなり非常ベルを鳴らさない~

セクションD-8-bは、経営管理者が約束した改善措置を行わない、あるいはリスクを放置した場合の、具体的な「報告の手順(ステップ)」に関する領域です。

内部監査部門長(CAE)は、未解決のリスクを見つけたからといって、いきなり取締役会に駆け込んだり、外部にリークしたりしてはいけません。組織の秩序を守りつつ、効果的にリスクを解決するためには、定められた階段を一段ずつ登るような「段階的アプローチ(Step-by-Step Approach)」が必要です。

1. 導入:エスカレーションの基本原則

改善措置が実施されない理由は様々です。「やる気がない」だけでなく、「予算が足りない」「状況が変わった」「リスク認識が違う」といった理由があるかもしれません。 したがって、報告プロセスは「対話」から始まり、「命令」で終わるという流れが基本です。

★ポイント: まずは当事者間で解決を試み、解決できない場合にのみ、より高い権限を持つ者へ判断を仰ぐ(エスカレーションする)。

2. 報告プロセスの4つのステップ

GIASおよび実務慣行において、推奨される標準的なステップは以下の通りです。

ステップ①:経営管理者との議論(Discussion)

  • 対象: 当該プロセスの責任者(部長、工場長など)。
  • アクション:
    • まず、「期限を過ぎていますが、どうなっていますか?」と確認します。
    • 実施できない正当な理由(予算凍結、システム障害など)があるかを聞き取ります。
    • もし単なる怠慢やリスクの軽視であれば、リスクの重要性を再説明し、直ちに実施するよう説得します。

ステップ②:上級経営陣への報告(Senior Management)

  • 対象: 担当役員、CEO、CFOなど。
  • 条件: ステップ①で解決しない場合(是正を拒否された、または権限不足で実行できない場合)。
  • アクション:
    • 「現場レベルでは解決していませんが、重要なリスクが残っています」と報告します。
    • 上級経営陣は、全社的な視点からリソース(予算・人員)を配分したり、現場に是正命令を出したりすることができます。

ステップ③:取締役会への報告(The Board)

  • 対象: 監査委員会などの監視機関。
  • 条件: 上級経営陣もリスクを放置し、そのリスクが「組織のリスク許容度(Risk Appetite)」を超えているとCAEが判断した場合。
  • アクション:
    • これが最終的な内部通報です。
    • 「経営陣はリスクを受容していますが、これは組織にとって危険すぎます」という意見を、客観的なデータとともに提示します。

ステップ④:決定と記録(Decision & Documentation)

  • アクション:
    • 取締役会が最終決定を下します(是正命令 or リスク受容の承認)。
    • CAEはその決定プロセスと結果を詳細に文書化します。もし取締役会がリスク受容を承認した場合、CAEはその決定に従い、以後のモニタリング対象から外す(または監視レベルを下げる)等の調整を行います。

3. ステップを進める判断基準

CAEは、どのような基準で「次のステップ(上司への報告)」に進むべきかを判断するのでしょうか?

  1. リスクの重要性(Significance):
    • 軽微なリスクなら、現場レベルの催促で十分です。取締役会まで上げるのは「時間の無駄」です。
  2. 期間(Duration):
    • どれくらいの期間、放置されているか? 長期化するほどリスクは高まります。
  3. 経営陣の対応(Response):
    • 「やります」と言いつつやらないのか、明確に「やらない」と拒否しているのか。

4. 試験で狙われる「ひっかけ」ポイント

  1. ×「現場の管理者が是正を拒否した場合、CAEは自ら改善策を実行し、事後報告として取締役会に伝える」
    • 解説: 絶対にNGです。監査人が業務を代行することは独立性の侵害です。監査人の武器は「実行」ではなく「報告」です。
  2. ×「ステップを省略して、発見と同時に取締役会へ報告するのが最も効率的である」
    • 解説: ガバナンスの崩壊を招きます。経営陣に解決の機会を与えずに頭越しに報告することは、信頼関係を損ないます。ただし、経営陣自身による重大な不正が見つかった場合は例外として、即座に取締役会(監査委員会)へ報告します。
  3. ×「取締役会がリスク受容を決定した場合でも、CAEは納得できるまで外部機関への通報を続けるべきである」
    • 解説: 違法行為でない限り、最高意思決定機関の判断を尊重します。

まとめ

セクションD-8-bのポイントは、「段階的な解決(Escalation Ladder)」です。

  • Step 1: 現場で解決を図る。
  • Step 2: 上司の力を借りる。
  • Step 3: ガバナンス機関に裁定を仰ぐ。

この手順を踏むことで、CAEは感情的な対立を避け、組織としての正しい意思決定プロセスを支援することができます。

【練習問題】パート3 セクションD-8-b

Q1. 内部監査部門長(CAE)は、ある工場における安全管理基準の不備(高リスク)が、是正期限を過ぎても解消されていないことを確認した。工場長は「生産スケジュールが優先だ」と主張し、取り合わない。GIASが推奨する報告プロセスに従い、CAEが次にとるべきステップとして最も適切なものはどれか。

A. 工場長の態度に問題があるため、直ちに監査委員会に報告し、処分を求める。

B. 工場長の上司である上級経営陣(製造担当役員やCEOなど)に状況を報告し、是正に向けた対応を協議する。

C. 労働基準監督署に通報し、外部からの指導によって強制的に是正させる。

D. 次回の監査まで様子を見ることとし、特に行動は起こさない。

【解答・解説】

正解と解説を表示

正解(B): 段階的エスカレーションの原則に従います。現場の責任者(工場長)との議論で解決しない場合、次のステップはその上司(上級経営陣)への報告です。いきなり取締役会(監査委員会)や外部機関に持ち込むのは、内部の指揮命令系統を軽視した行動です。

不正解(A): 上級経営陣への報告ステップを飛ばしています。

不正解(C): 内部での解決努力を尽くす前に外部通報を行うのは不適切です(明白な法令違反等の緊急事態を除く)。

不正解(D): 高リスク案件を放置することは、CAEの職務怠慢です。

Q2. 経営管理者が「改善措置を実施しない(リスクを受容する)」と決定し、そのリスクが組織のリスク許容度を超えているとCAEが判断した場合の最終的な報告ステップにおいて、CAEが取締役会に提示すべき情報として最も適切な組み合わせはどれか。

A. 監査人の意見のみ(経営管理者の反論は記載しない)。

B. リスクの詳細、経営管理者がリスクを受容した理由、および監査人が是正が必要と考える根拠。

C. リスクを無視した経営管理者の個人的な非難と、人事評価の引き下げ提案。

D. 過去10年間のすべての類似した発見事項のリスト。

【解答・解説】

正解と解説を表示

正解(B): 取締役会が公正な裁定を下すためには、双方の言い分(Pros & Cons)が必要です。CAEは、単に自分の正当性を主張するのではなく、なぜ経営陣がその判断に至ったのかという背景も含めて報告し、議論を促進する役割を担います。

不正解(A): 情報が一方的であり、公正な判断を妨げます。

不正解(C): 個人攻撃は監査の目的ではありません。

不正解(D): 情報過多であり、現在の意思決定に必要な焦点がぼやけます。

Q3. 報告プロセスの最終段階において、取締役会が「経営陣のリスク受容を支持する(是正措置は不要)」という決定を下した。当該リスクは法令違反に関わるものではない。この場合のCAEの対応として、最も適切なものはどれか。

A. 取締役会の決定は最終であるため、その決定と経緯を文書化し、当該発見事項をモニタリング対象から外す(またはステータスを変更する)。

B. 取締役会の決定は誤りであると公言し、株主総会で異議を唱える。

C. 決定を無視し、現場の工場長に対して執拗に是正を要求し続ける。

D. 外部監査人に圧力をかけ、財務諸表監査において不適正意見を出させる。

【解答・解説】

正解と解説を表示

正解(A): 組織のリスク許容度を決定する権限は取締役会にあります。取締役会がリスクと便益を考慮した上で受容を決定したのであれば、CAEはその判断を尊重します。重要なのは、その決定プロセスが適正に行われ、記録に残されることです。

不正解(B、C、D): ガバナンス機関の正当な決定に抵抗することは、組織の秩序を乱す行為であり、CAEの役割ではありません。