本稿では、IIAの内部監査の専門職的実施の国際基準(以下、IIA国際基準)の考察を行っています。IIA国際基準は、アシュアランス業務とコンサルティング業務の両方を対象としていますが、本稿では主にアシュアランス業務を中心に考察を行っています。
目次
基準2200の概要
基準2200は、個別監査の計画策定について定めています。
| 2200 ─ 内部監査の個々の業務に対する計画の策定 内部監査人は、内部監査の個々の業務ごとに、当該個々の業務の目標、範囲、実施時期および資源の配分を含む計画を策定し文書化しなければならない。内部監査人は、この計画の策定に当たって、当該個々の業務に関連する組織体の戦略、目標およびリスクを勘案しなければならない。 出所:IIA国際基準 |
基準2200の構成
基準2200番台は、基準2201から2240にかけて、次の要素を示し、個別監査の計画段階におけるポイントを定めています。
| 2201 ─ 計画の策定における考慮事項 2210 ─ 内部監査の個々の業務における目標 2220 ─ 内部監査の個々の業務の範囲 2240 ─ 内部監査の個々の業務の作業プログラム 出所:IIA国際基準 |
それでは、ここからは、各基準の概要についてみていきましょう。
基準2201 ─ 計画の策定における考慮事項
基準2201は、監査対象の戦略・目標・経営資源等を踏まえ、重要なリスクを識別することや、ガバナンス、リスクマネジメント、コントロールのプロセスの有効性を考慮することを求めています。具体的には、例えば、監査対象の事業計画やKPI(売上高・利益率等)を把握・分析したうえで、事業戦略の立案プロセスや目標管理のPDCAサイクルの仕組み、そして、それに伴うリスクをどのように管理しているかを分析し、必要なコントロールが整備・運用されているかをハイレベルに分析することなどが挙げられます。
(個別計画の策定ステップの例)
| ①監査対象の戦略・目標の把握 ・事業計画書上の戦略・目標(営業方針、売上目標、利益目標等) ・KPI・業績指標(受注件数、成約率、品質検査合格率等) ・営業拠点数、要員数、など ②監査対象のプロセスの概要把握・分析 ・事業戦略の立案~決定プロセス ・目標管理のPDCAサイクル(プロセス) ・事業上のリスク抽出・対応プロセス、など ③コントロールの把握・分析 ・規程類・マニュアル類の整備状況 ・自己点検の実施状況 ・問題事象の発生状況、など ④重大なリスク候補、改善機会の候補の識別 ・上記①~③を踏まえ、重大なリスク候補、改善機会の候補を識別します。 出所:内部監査.info |
基準2210 ─ 内部監査の個々の業務における目標
基準2210は、事前にリスク評価を行い、その結果を監査の目標に反映することを求めています。また、誤謬・不正・コンプライアンス違反といった複数の観点を考慮することも併せて求めています。さらに、評価にあたっては、妥当な規準(クライテリア)を設定すること使用するよう求めています。具体的には、例えば、誤謬・不正・コンプライアンスといった観点を含むリスクカテゴリーに基づきリスクアセスメントを行い、リスクマップを作成することなどが挙げられます。
(個別監査のリスク評価の観点例)
| ①戦略・ガバナンス ・無理な戦略目標が設定されていないか ・都合の良い情報しか報告されず、問題が潜在化していないか ・委員会等が形骸化し、機能不全に陥っていないか ②財務 ・重要な取引先について与信管理・債権管理が行われているか ・資金繰りのリスクがないか ・会計処理は適正に行われているか ③コンプライアンス ・重点的に対応すべき法令等を網羅的に認識しているか ・コンプライアンスプログラムが整備・運用されているか ・点検や検査機能がが形骸化し、機能不全に陥っていないか このほか、オペレーションやIT・セキュリティ、事業継続、外部委託先管理などについても同様にリスク評価を行います。また、レピュテーショナルリスクについては、それぞれのリスクを原因として結果として生じるリスクであることから、リスクのカテゴリーとしては用意しないことが一般的です。 出所:内部監査.info |
規準(クライテリア)については、具体的には、例えば、情報セキュリティ分野でいえば、社内の規準は情報セキュリティポリシーやマニュアルなどが挙げられますし、社外の規準は経済産業省の情報セキュリティ管理基準などが挙げられます。
(内部監査で用いられる規準・クライテリアの例)
| ①社内規程類・マニュアル類 ・営業・販売マニュアル ・情報セキュリティポリシー、マニュアル ・経費精算ハンドブック、など ②業界ガイドライン ・生保協会「生命保険商品に関する適正表示ガイドライン」 ・日本仮想通貨交換業協会「仮想通貨の取扱いに関する規則・ガイドライン」 ・日本証券業協会「店頭売買事故証券の処理に関する規則」、など ③公的ガイドライン ・経済産業省「情報システム管理基準」 ・証券取引等監視委員会「金融商品取引業者等検査マニュアル」 ・個人情報委員会「特定個人情報の適正な取扱いに関するガイドライン」など 出所:内部監査.info |
基準2220 ─ 内部監査の個々の業務の範囲
基準2220は、個別監査の範囲について定めています。
2220.A1
2220.A1では、個別監査の範囲に重要な第三者・外部委託先等が含まれる場合、それらを対象範囲に含めるよう定めています。具体的には、例えば、情報システム管理の監査を行う際に、システム開発の大部分をITベンダーに委託している場合、その開発体制やプロセスを含めることが挙げられます。
(重要な第三者・外部委託先等の例)
| ①自社製品の製造委託 ②事務センター、コールセンターの業務委託 ③社内システムの開発におけるITベンダーへの業務委託 ④給与計算における計算代行 ⑤税務申告の業務委託、など 出所:内部監査.info |
2220.A2
2220.A2では、アシュアランスとコンサルティング業務の関係を定めています。仮に個別監査の過程で、コンサルティング業務の必要性を認識し、コンサルティング業務を提供した場合、アシュアランス業務と区別するために、コンサルティング業務の目標や範囲等について確実に文書化を行ったうえで結果を伝えるよう定めています。具体的には、例えば、子会社の総合監査を実施していた際に、改正個人情報保護法の全社的な研修が行われていないことが判明し、子会社からの求めがあったことから、個別監査の期間中に、親会社の内部監査部門が子会社の全従業員に対してコンサルティング業務として、別途研修会を開催したとします。このような場合でも、コンサルティング業務の目標・範囲・期待事項と提供事項の合意や実施結果などを文書化することなどが挙げられます。
基準2230 ─ 内部監査の個々の業務への資源配分
基準2230は、個別監査における資源の確保について定めています。資源とは、一義的には人的資源を指しており、個別監査の実施に必要な人材を割り当てるよう求めています。具体的には、例えば、全国に30の営業拠点がある事業の法人営業業務を監査する場合、法人営業経験を有する監査人を確保することはもちろん、監査期間に全国の30の営業拠点へ訪問できるだけの要員を確保しなければなりません。リスクアプローチによる効率的な実施は許容されますが、監査の目的・目標を達成するために十分な人的資源を確保することが求められます。
2240 ─ 内部監査の個々の業務の作業プログラム
基準2240では、個別監査における作業プログラムについて定めています。いわゆる監査プログラムと呼ばれるもので、個別監査計画で定めた監査の目標を達成するために、どのような証拠を入手するか、どのような監査手続を行うか、といった点を詳細化します。具体的には、例えば、個別監査で、「内部通報プロセスの有効性」を監査の主題・目標に設定した場合、一般的には、次のようなプロセスに分解されます。
(「内部通報プロセスの監査」における監査項目の例)
| ①社内の内部通報に関するルールの整備プロセス ②従業員等への周知・浸透プロセス ③通報受領後の調査要否判断・調査実施プロセス ④調査結果の分析・対応プロセス 出所:内部監査.info |
そしてさらに、それぞれについてリスクとコントロールを識別し、監査手続を作成していきます。作業プログラムの作成にあたっては、このような詳細化を文書化し、一つに資料にまとめること(例:監査プログラム兼監査調書など)が一般的です。
2240.A1 – プログラムの承認
2240.A1には、個別監査の実施の過程で詳細化した情報を文書化すること、そしてその内容は実施する前に承認をうけることを定めています。具体的には、例えば、前述したような内容で監査プログラムを作成し、監査部長や個別監査の責任者が内容を承認することが挙げられます。
2240.C1 – プログラムの柔軟な作成(コンサルティング業務)
2240.C1は、コンサルティング業務では、その案件内容に応じて、作業プログラムが異なってもよいことを定めています。コンサルティング業務は、アシュアランス業務とは異なり、提供する業務の種類が大きく異なります。そのため、作業プログラムも一様ではなく、様々な内容があってよいということです。
[post_footer]
