本稿では、IIAの内部監査の専門職的実施の国際基準(以下、IIA国際基準)の考察を行っています。IIA国際基準は、アシュアランス業務とコンサルティング業務の両方を対象としていますが、本稿では主にアシュアランス業務を中心に考察を行っています。
目次
規準2300の概要
基準2300は、個別監査の実施にあたり、目標の達成に必要十分な情報を、識別、分析、評価および文書化することを求めています。
| 2300 ─ 内部監査(アシュアランスおよびコンサルティング)の個々の業務の実施 内部監査人は、内部監査(アシュアランスおよびコンサルティング)の個々の業務の目標を達成するため、十分な情報を、識別、分析、評価および文書化しなければならない。 出所:IIA国際基準 |
基準2300の構成
基準2300番台は、基準2310から2340にかけて、次の要素を示し、個別監査の実施上のポイントを示しています。
| 2310 ─ 情報の識別 2320 ─ 分析および評価 2330 ─ 情報の文書化 2340 ─ 内部監査の個々の業務の監督 出所:IIA国際基準 |
それでは、ここからは、上記の内容について、それぞれについて見ていきましょう。
2310 ─ 情報の識別
基準2310は、個別監査の目標を達成するにあたっては、十分かつ信頼できる情報を集めることを求めています。解釈指針では、同等程度の知見を有する監査人が同じ結論に達するものとしています。不十分なものの例としては、例えば、監査の発見事項で「顧客への請求10件について、入金が全て一致しているべきところ、3件について一致しなかった」というものがあったとして、監査証拠が1件のサンプルしか残されていないケースや、入出金の証拠が経理担当者が作成したエクセル表であるようなケースが挙げられます。
| 不十分な情報の例 ①内部監査報告書上の発見事項の記載 「顧客への請求10件について、入金が全て一致しているべきところ、3件について一致しなかった」 ②保管している監査証拠 ・サンプル1件のみ(発見事項を示すサンプルが不足している) ・経理担当者が作成したエクセル表(一次情報でなく、二次情報である) 出所:内部監査.info |
2320 ─ 分析および評価
基準2320は、個別監査における結論は、適切な分析と評価に基づいて導出することを求めています。具体的には、例えば、BCPの有効性を目標・主題にした監査をしていたとして、結論としてBCPは有効であるという結論を表明したとします。しかしこの結論を出すにあたり、検証した監査証拠は、BCP(事業継続計画)とその作成プロセスだけだったとします。BCPが有効であることは合理的に考えて、1)BCP(事業継続計画)そのものの有効性、2)作成及びメンテナンスプロセスの有効性、3)訓練の有効性、など様々な観点から分析・評価すべきです。また、これらの検証にあたっての規準(クライテリア)として、中小企業庁の「中小企業BCP策定運用指針」に設定するなど、妥当な規準を設定することが求められます。個別監査の目標・主題に対する結論は、その内容に応じて十分かつ適切な分析・評価が行われるべきであり、また、その根拠は合理的である必要があります。
| 結論に対する不適切な分析・評価の例 ①評価範囲に重大な漏れがある ・BCPの監査で「訓練」を監査対象に入れていない ・個人情報保護の監査で「情報の破棄」を監査対象に入れていない ・交際費の監査で「社内交際費」を監査対象に入れていない、など ②適切な規準を用いていない ・情報システム管理の監査で、自社のルールのみを規準に設定している ・下請法の監査で、公正取引委員会のガイドラインを用いていない ・金融ITガバナンスの監査で当局の方針を考慮していない、など ③内部監査人の能力・経験が十分でない ・サイバーセキュリティの監査責任者が、情報セキュリティや情報システム管理に関する業務経験や監査経験を有していない ・AML/CFTの監査責任者が、AML/CFTガイドラインや犯罪収益移転防止法等に関する業務経験や監査経験を有していない、など 出所:内部監査.info |
2330 ─ 情報の文書化
規準2330は、個別監査の文書化には十分かつ信頼できる情報を記録するよう定めています。内容は基準2310と2320基本的には同じです。
2330.A1
2330.A1では、個別監査の内容に対するアクセス制限について定めています。特に内部監査部門以外(社外含む)からのアクセスについて留意するよう定めています。これは個別監査の内容には、機密情報や機微情報、個人情報、人事情報等が含まれる可能性があるためです。当然ながらこれらの開示にあたってはCEOや必要に応じて弁護士等へ相談しつつ慎重に開示可否を検討することを求めています。但し、個別監査の記録もすべてがおそのような情報を含んでいるとは限りません。個別監査計画や監査プログラムなどであれば、一般的には機密情報や機微情報、個人情報、人事情報等が含まれることは多くありません。一方で、監査報告書や監査調書、監査証拠、及び発見事項一覧などには、そうした情報が含まれる可能性が高まります。こうした切り分けを踏まえつつ、開示の要請があった都度、対応を検討することが一般的であると思います。
| アクセス制限の対象情報の例 ①機密情報 ・取締役会議事録 ・経営会議資料 ・不正調査の結果資料、など ②個人情報 ・顧客の個人情報 ・取引先の個人情報 ・従業員の個人情報、など ③人事情報 ・従業員の人事考課の記録 ・従業員の処罰記録 ・中途採用や新卒採用の履歴書やエントリーシート及び業務経歴書、など 出所:内部監査.info |
開示の要請の具体例としては、当局による検査や、内部監査の外部評価、第三者委員会や不正調査チームからの要請などが挙げられます。監査調書や監査証拠については、データで提供するのではなく、紙面や端末上の閲覧に留めさせることが一般的であると思います。
| 内部監査部門への情報開示の要請があるケース ①当局からの開示要請・指示 ②内部監査の外部評価による資料依頼 ③第三者委員会による情報提供、など 出所:内部監査.info |
2330.A2
2330.A2は、個別監査の記録の保存要件を設定することを求めています。具体的には、例えば、文書を紙媒体で保存するのか、電子媒体を可とするのかであるとか、保存期間はどのようにするかといった点が論点となります。一般的には、社内の文書保存ルールと法令期間を踏まえ、文書の種類ごとに要件を設定します。近年は書類のデータ化が進んでいることや、保存容量の限度が実質的になくなりつつあるため、全てを永年保管することが多いように思います。
| 個別監査の記録の保存要件の例 ①保存媒体 ・紙媒体 ・電子媒体、など ②保存期間 ・1年 ・5年 ・永年、など ③保存単位 : ・個別監査単位 ・監査責任者単位、など 出所:内部監査.info |
2330.C1 – 外部への開示
2330.C1は、コンサルティング業務における外部への情報開示と保存方針の必要性について定めています。内容は2330.A1とA2と同じです。
2340 ─ 内部監査の個々の業務の監督
基準2340は、個別監査を適切に監督することを求めています。目的は、個別監査の目標を品質を確保すること、そして内部監査人の能力を向上することにあります。具体的には、例えば、内部監査部門長または権限を委譲された者が、個別監査に関する計画書・監査プログラム・監査報告書の内容をレビューし、それぞれの文書に承認者名と日付を記録・保存することなどが挙げられます。実務上は基準1311の継続的モニタリングを通じて行われることが一般的です。なお、これら監督の一部は移譲できるますが、結果責任はすべて内部監査部門長にあります。
| 個別監査のレビュー内容の例 ①レビューの対象 ・予備調査メモ ・内部監査計画書 ・監査プログラム ・発見事項一覧 ・内部監査報告書、など ②レビューの観点 ・監査目標(主題)の設定が抽象的すぎないか(広すぎないか) ・監査資源が不足していないか ・予備調査で監査目標(主題)にあった重要なリスクを識別できているか ・事実誤認がないか、根拠となる監査証拠を入手しているか ・表面的な原因のみならず、背景的・根本的な原因を識別できているか ・抜本的な改善提案が行われているか ・報告内容が簡潔かつ明瞭なものとなっているか、など ③ポイント ・後追いではなく、できるだけ個別監査と並走してレビューすること ・承認者名と実施日付を記録すること 出所:内部監査.info |
