本稿では、IIAの内部監査の専門職的実施の国際基準(以下、IIA国際基準)の考察を行っています。IIA国際基準は、アシュアランス業務とコンサルティング業務の両方を対象としていますが、本稿では主にアシュアランス業務を中心に考察を行っています。
目次
基準2400の概要
基準2400は、個別監査結果の報告について定めています。
| 2400 ─ 結果の伝達 内部監査人は、内部監査(アシュアランスおよびコンサルティング)の個々の業務の結果を伝達しなければならない。 出所:IIA国際基準 |
基準2400番台は、基準2410から2450にかけて、次の要素を示し、個別監査の報告段階におけるポイントを定めています。
基準2400番台の構成
| 基準2400番台の構成 2410 ─ 伝達の規準 2420 ─ 伝達の品質 2421 ─ 誤謬および脱漏 2430 ─ 「内部監査の専門職的実施の国際基準に適合して実施された」旨の表現の使用 2431 ─「基準」等に不適合な場合の内部監査の個々の業務の開示 2440 ─ 内部監査の結果の周知 2450 ─ 総合意見 出所:IIA国際基準 |
それでは、それぞれの基準の内容について見ていきましょう。
2410 ─ 伝達の規準
基準2410は、個別監査の報告において含めるべき事項を定めています。具体的には、例えば、監査報告書の項目に、監査の目標・主題、監査の範囲、監査の結果などを含めることが挙げられます。現在、既に多くの内部監査部門で、これらの項目を含めて内部監査報告書が作成されています。
(内部監査報告書の記載例)一般的な項目
| ①監査の概要 ・監査目標(主題) ・監査対象部門 ・監査対象期間 ・監査実施期間 ・監査責任者 ・監査担当者 ・規準 ②監査結果(結論) ・評定 ・総評 ③発見事項と改善提案 ・事実 ・原因 ・リスク ・改善提案 ④その他 ・留意事項など 出所:内部監査.info |
2410.A1
2410.A1は、個別監査の報告において、最終的な結論を含めることを求めています。また、発見事項がある場合は、改善提言や計画を含めることを求めています。具体的には、例えば「リモートワークの情報セキュリティ管理の有効性」という監査目標・主題であれば、結論として管理態勢が有効なのか、有効ではないのかを監査報告に含めます。重要な発見事項があれば、内部監査人としての改善提言や監査対象部門(被監査部門)による改善計画を含めます。
(内部監査報告書の記載例)概要、結論及び発見事項
| ①監査の概要 監査目標(主題):リモートワークの情報セキュリティ管理の有効性 監査対象部門 :情報システム部、各部門 監査対象期間 :2019年10月1日~2020年3月31日 監査基準日 :2020年3月31日 監査実施期間 :2020年4月1日~6月30日 監査責任者 :山田太郎 監査担当者 :鈴木花子、佐藤次郎 規準 :以下より必要な項目を採用して規準を設定した。 ・総務省「テレワークセキュリティガイドライン第4版」 ・経済産業省「情報セキュリティ管理基準」 ②監査結果(結論) 評定 :改善が必要 総評 : ③発見事項と改善提案 事実 :未認証の一部端末からリモートアクセスができる 原因 :開発・導入のテストプロセスに不備があり・・・ リスク :顧客情報や機密情報が漏えいするリスク 改善提案 :開発・導入のテストプロセスを見直しすことにより・・・ 出所:内部監査.info |
発見事項と改善提案におけるベストプラクティスとしては、原因分析フレームワークを整備し、根本的原因を特定したうえで、抜本的な改善提言を行う組織的な能力を整備することが挙げられます。
2410.A2
2410.A2は、監査対象の業務の遂行状況が良好である場合、その旨を監査結果の報告に含めることを推奨しています。具体的には、例えば、経費申請業務プロセスを監査した際に、旅費・交際費・会議費・その他すべての項目において社内の規準を遵守し、管理態勢が有効に機能していると認められる場合は、その事実を報告することが挙げられます。要するに「しっかりと取り組んでいます」と高く評価するということです。
(内部監査報告書の記載例)業務の遂行状況が良好である場合
| ②監査結果(結論) 評定 :良好 総評 : 当社の経費申請業務プロセスを監査した結果、旅費・交際費・会議費・その他すべての項目において社内規則及びマニュアル(規準)を遵守しており、管理態勢は有効に機能している。特に旅費については・・・ 出所:内部監査.info |
2410.A3
2410.A3は、個別監査の結果などを外部へ開示する場合は、再配付やと利用について制約をかけることを求めています。具体的には、例えば、内部監査のアドバイザリーや内部監査の外部評価などで、個別監査の計画書や監査調書、監査報告書などの資料を開示する場合、秘密保持契約を締結し、再配布や利用を制限することなどが挙げられます。
2420 ─ 伝達の品質
2420は、監査報告の品質について、1)正確、2)客観的、3)簡潔、4)建設的、5)完全かつ適時、であることを求めています。具体的には、例えば、監査報告書の内容に、事実誤認がないこと、分析や結論が証拠に基づいていること、冗長・複雑な文章がないこと、結論が論理的に導かれていることなどが挙げられます。
2421 ─ 誤謬および脱漏
基準2421では、監査報告において重大な間違いや漏れがあることに気づいた場合、監査報告を行った全員にその旨を伝えることを求めています。具体的には、例えば、全社的なクラウドサービスの利用管理プロセスについて監査を行い、全てのクラウドサービス(例:Amazon AWS, Microsoft Azule, Google GCP)の利用管理プロセスが有効であると報告していたとします。しかし、報告の過程で営業部門から、自分達が顧客管理に利用しているクラウドサービス(例:Salesforce.com)が含まれていないことを指摘したとします。このような場合は、監査対象を限定するよう監査報告書を修正する必要があります。
2430 ─ 「内部監査の専門職的実施の国際基準に適合して実施された」旨の表現の使用
基準2430は、IPPFに適合して実施されたことを表明するにあたっては品質のアシュアランスと改善のプログラム(QAIP)の評価結果で裏付けられていることを定めています。具体的には、例えば、内部監査部門が、内部監査の権威付けを目的に内部監査報告書の一部に「当社の内部監査はIPPFに適合している」と記載しているような場合が挙げられます。このような表現を使用する場合は、内部評価及び外部評価での全体評価がGC(一般的に適合している)となっていることが求められます。
2431 ─「基準」等に不適合な場合の内部監査の個々の業務の開示
基準2431は、個別監査が基準や倫理綱要に適合しないで行われた場合、その旨を開示するよう定めています。具体的には、例えば、本来の担当者が病気で休職し、やむを得ず、内部監査人が1年前に従事していた監査対象を監査することになった(基準1120への不適合が発生している)場合、その旨を内部監査報告書で開示するといったことが挙げられます。
(内部監査報告書の記載例)基準への不適合の開示
| ④その他 留意事項: 本件個別監査の実施の過程で監査人〇〇が疾病のため休職した。それにより監査人△△が本個別監査に従事した。△△は監査基準日から過去1年以内に監査対象の業務に従事していたことがある。そのため、本件個別監査は、内部監査の専門職的実施の国際基準(IPPF)の基準1120「 個人の客観性」に適合しない状態で監査を行われた。 出所:内部監査.info |
2440 ─ 内部監査の結果の周知
基準2240は、内部監査部門長が個別監査の結果を適切な関係者に報告するよう求めています。この報告にあたっては、内部監査部門長が全責任を負うことや、したがって事前の内容をレビュー・承認し、報告の範囲を決定することが必要です。
2440.A1
2440.A1は、個別監査の結果を必要な関係者に報告することを求めています。対象者は内部監査部門長が決定するとしています。具体的には、例えば、営業プロセスの監査にあたり、当初想定した監査対象部門は営業部門だけだったとします。しかし、監査の過程で識別した発見事項が法令等遵守に関係し、さらにその改善施策が情報システムを通じたものだったとします。このような場合、監査報告の伝達範囲は法務・コンプライアンス部門と情報システム部門を含めるべきと考えられます。
2440.A2
2440.A2は、個別監査の結果を外部へ開示する場合に、1)内部監査部長が事前にリスク評価などを行うこと、2)必要に応じてCEOや顧問弁護士等に相談すること、3)二次利用などを想定し拡散を制限することを求めています。具体的には、例えば、外部へ開示する際のメモを作成し、リスク評価結果やCEOや顧問弁護士への照会、秘密保持契約の状況について記録することが挙げられます。
(記載例)外部開示記録メモ
| 開示目的 :内部監査の外部評価 開示先 :〇〇監査法人 開示対象 :2019年度の個別監査10件(全件) 開示資料名 :内部監査計画書、監査調書、内部監査報告書 リスク評価結果 :残存リスクは低いと評価した CEOへの相談 :なし 顧問弁護士への相談 :なし 秘密保持契約 :有(契約書番号:1234567) 出所:内部監査.info |
2450 ─ 総合意見
基準2450は、内部監査部門長による個別監査における総合意見について定めています。一般的に、総合意見は、監査範囲や監査期間、用いた規準(クライテリア)などを記載しつつ、結論として組織のガバナンス、リスクマネジメント、コントロールに関する残存リスクが許容可能な水準となっているかなどを表明します。
(内部監査報告書の記載例)総合意見
| ②監査結果(結論) 評定 :改善が必要 総評 : 当社では、2018年度にリモートワークを導入し、柔軟な働き方の実現に取り組んできた。現在、リモートワークは、全部部門・全部署に広がり、一般的なものとして浸透している。 本件個別監査の実施にあたっては、リモートワークを試行している全3部門(営業部、商品開発部、総務部)、リモートワークの推進及びルール整備を担当している人事部門、及び環境の構築・運用を担当している情報システム部門を監査対象として監査を行った。 個別監査の実施にあたっては、リモートワークの導入・試行プロジェクトが2つのフェーズに分かれていたこといからその両方を対象とした。また、リモートワークの実施にあたっては、ヘルプデスク機能を外部委託していることから、外部委託先の業務品質や管理状況等も監査範囲に含めた。 当社のリモートワークは、社会的な環境変化や国・自治体からの要請から、2か月という短期間で全部門・全部署に展開し、実運用に至っており、即応性という観点からは評価できる。 しかし、本件監査を行った結果、情報セキュリティ及び人事制度の観点から7件の発見事項を識別した。特に発見事項①「未認証の一部端末からリモートアクセスができる」と発見については、残存リスクが大きく、大量の顧客情報がや機密情報の漏えいする可能性があるため、早急な対応が必要である。 これらの問題が発生した直接的な原因は、ユーザー主導による短期スケジュールが組まれ十分なテストが行われなかったことにあった。この背景的な原因としては、情報システム部門の承認を得ずにシステム導入プロジェクトの計画が立案できることにあった。 今後、システム化のスケジュール作成にあたっては、情報システム部門の承認を得るよう、当社の情報システム管理規程及び職務分掌表を改訂し、プロセスを改善することを提案する。 |
規準2400は、内部監査の成果を報告する重要なプロセスについて定めています。いくら良い内部監査を行っていても、報告内容が不十分では成果を正しく伝えることができません。特に規模が大きい組織になるほど、報告の簡潔さ、明瞭さ、正確さが重要になります。基準2400はのこの点において重要な指針であり、参考となる要素が整理されています。
[post_footer]- IIA国際基準の考察(2300 ─ 内部監査(アシュアランスおよびコンサルティング)の個々の業務の実施)
- IIA国際基準の考察(2500 ─ 進捗状況のモニタリング、2600 ─ リスク受容についての伝達)
