本稿では、IIAの内部監査の専門職的実施の国際基準(以下、IIA国際基準)の考察を行っています。IIA国際基準は、アシュアランス業務とコンサルティング業務の両方を対象としていますが、本稿では主にアシュアランス業務を中心に考察を行っています。
目次
基準1220の概要
本稿では、基準1220について解説します。 基準1220では、次のように内部監査人の専門職としてはらうべき注意について定めています。
| 1220 ─ 専門職としての正当な注意 内部監査人は、平均的にしてかつ十分な慎重さと能力を備える内部監査人に期待される注意を払い技能を適用しなければならない。専門職としての正当な注意とは、全く過失のないことを意味するものではない。 出所:内部監査.info |
では、内部監査人には、具体的にどのような注意が必要なのでしょうか。まず、1220.A1には次のように示されています。
1220.A1 – 注意すべきポイント
1220.A1には、次の点に配慮して専門職としての正当な注意をはらうべきとしています。
| ①個々のアシュアランス業務の目標を達成するために必要な業務(work)の範囲 ②アシュアランスの手続の適用対象事項の相対的な、複雑性、重要性または重大性 ③ガバナンス、リスク・マネジメントおよびコントロールの各プロセスの妥当性と有効性 ④重大な誤謬、不正またはコンプライアンス違反の可能性 ⑤潜在的な便益と対比したアシュアランスのためのコスト 出所:IIA国際基準 |
①個々のアシュアランス業務の目標を達成するために必要な業務(work)の範囲
まず一つ目についてですが、これは個別監査のスコープの話をしています。個別監査を実施するにあたり、監査の目的や達成したいゴールに対して、監査のスコープ(範囲)に重大な漏れや誤りがあってはなりません。この点に注意を払うことを求めています。具体的には、例えば、「ユーザーID管理の有効性」といった監査テーマを設定した場合に、ユーザーIDの新規登録の部分のプロセスを監査しても十分なスコープとは言えません。合理的に考えれば、ユーザーIDの変更や削除そして権限設定の棚卸・定期的な確認といった部分を範囲(スコープ)に含めるべきです。1220.A1では、このように監査の目標を達成するにあたり、重大な抜け漏れや誤りがないよう注意を払うことが求められています。
②アシュアランスの手続の適用対象事項の相対的な、複雑性、重要性または重大性
次に2つ目ですが、これは個別監査におけるリスクアプローチの話をしています。監査資源は限られており、相対的に複雑で重要・重大な分野を識別し、重点的に資源配分する必要があります。具体的には、例えば、単純な事業と複雑な事業があれば、複雑な事業のほうがリスクを管理することが難しく、残存しているリスクが大きいことが多く見受けられます。また、多数の個人情報を取り扱う分野と、個人情報を取り扱わない分野では、重要性・重大性の重みづけは明らかです。このように1220.A1では、このように監査の目標を達成するにあたり、複雑性や重要性・重大性に注意を払うよう求めています。
③ガバナンス、リスク・マネジメントおよびコントロールの各プロセスの妥当性と有効性
次に3つ目ですが、これは内部監査の対象の話をしています。IIAの内部監査の定義にもあるように、内部監査の対象はガバナンス、リスク・マネジメントおよびコントロールの各プロセスの有効性です。この3つが妥当であり有効であるかに注意を払うことを求めています。具体的には、個別監査において、コントロールのみに着眼し、ガバナンスプロセスとリスクマネジメントプロセスを評価していないことが内容に注意をはらうことが挙げられます。
④重大な誤謬、不正またはコンプライアンス違反の可能性
次に4つ目ですが、これは一般的に重要とされるリスクの話をしています。通常、監査対象部門では、その業務の過程で様々な記録や計算などを行っており、したがってそこには誤謬(間違える)リスクがあります。また、同様に業務上で金銭や在庫など資産価値のあるものを取り扱うことも多く、横領・着服のリスクがあります。さらに、金融や医療など法令等で規制された分野で事業を行うこともあり、そこには法令等の違反リスクがあります。近年では法令等の違反ではなくとも、社会から批判される不祥事など、いわゆるコンプライアンス違反のリスクもあります。このように1220.A1では、一般的に重要とされるリスクについて注意を払うよう求めています。
⑤潜在的な便益と対比したアシュアランスのためのコスト
最後の5つ目は、費用対効果の話をしています。一般的に監査資源は限られており、したがって資源配分したことによるリターンが大きいと想定される分野に資源を配分するべきです。具体的には、例えば、多数の個人情報を取り扱う分野と、個人情報を取り扱わない分野があって、前者のほうで体制・管理状況が不十分であることが見込まれる場合などは、その分野に資源を多く投入すべきです。このように1220.A1では、限りある資源を有効に活用することに注意を払うよう求めています。
1220.A2 – テクノロジーの活用
1220.A2では、個別監査の実施にあたり、リスクアセスメントや監査手続の実施にあたり、テクノロジーを活用すること、例えばデータ分析等の利用を検討することを求めています。ここで注意が必要なことは、データ分析などをすることを求めているのではなく、検討することを求めている点です。重要なことは、監査対象を効率的・効果的に監査するにあたり最良のアプローチを考えることです。多くの場合、データ分析等はその有効な手段となります。具体的には、例えば、従業員が3000人の組織で労務管理の有効性を監査するにあたり、残業時間が法律で定められた基準を超えていないか確かめる監査手続として、無作為に抽出した10人について3か月間分を手作業で確認(試査)するよりも、全従業員について12か月分をデータ分析により網羅的に確認(精査)したほうが良いはずです。1220.A2は例えば、このような姿を目指すにあたり、注意を払うことを求めています。
1220.A3 – 個別監査のリスクアプローチ
1220.A3では、個別監査におけるリスクアプローチの話をしています。監査資源は限られており、重大なリスクに監査資源を多く配分するべきです必要があります。基準では、内部監査は、経営に対して絶対的な保証を提供するものではないことにも触れており、仮に正当な注意を払い、内部監査を実施したとしても、看過する可能性があることに触れています。
1220.C1 – コンサルティング業務で注意すべきポイント
1220.C1では、コンサルティング業務の提供時にはらうべき注意として次を挙げています。
| ①依頼者のニーズと期待。これには個々のコンサルティング業務の、内容、実施時期および結果の伝達が含まれる。 ②個々のコンサルティング業務の目標を達成するために必要な業務(work)の相対的な複雑性と範囲 ③潜在的な便益と対比した個々のコンサルティング業務のためのコスト 出所:IIA国際基準 |
①依頼者のニーズと期待。これには個々のコンサルティング業務の、内容、実施時期および結果の伝達が含まれる。
まず1つ目については、一般的に、コンサルティング業務の内容、実施時期、結果の伝達は、依頼元と受託元の間で期待ギャップ(お互いに期待するものの水準が異なること)が発生しやすいため、注意をはらうよう求めています。
具体的な対策としては、目的・目標、スケジュール、成果物イメージを事前に合意することなどが挙げられます。
②個々のコンサルティング業務の目標を達成するために必要な業務(work)の相対的な複雑性と範囲
2つ目については、コンサルティング業務の複雑性と範囲に注意を払うよう求めています。
具体的な対策としては、コンサルティング業務を受託する前に、目標の達成に必要な業務の複雑性(難易度)をよく考えることや、1つ目と同様に範囲を文書化し、委託元と合意することなどが挙げられます。
③潜在的な便益と対比した個々のコンサルティング業務のためのコスト
3つ目は、費用対効果の話をしています。一般的に監査資源は限られており、したがって資源配分したことによるリターンが大きいと想定される分野に資源を配分するべきです。具体的には、例えば、B2C事業を営む金融商品取引業者で内部監査部門がコンサルティング業務として、営業部門に対するマネーロンダリングの研修を受託した場合があるとします。この研修の中で、現場が行う本人確認のあるべき姿について重点的に解説することは費用対効果の面から正しいと思います。しかし一方で、営業ほとんど関係のない分野、例えば、3線としてのあるべき姿の解説に重点を置いたような研修は費用対効果の面から検討の余地があります。
[post_footer]
