
本稿では、IIAの内部監査の専門職的実施の国際基準(以下、IIA国際基準)の考察を行っています。IIA国際基準は、アシュアランス業務とコンサルティング業務の両方を対象としていますが、本稿では主にアシュアランス業務を中心に考察を行っています。
基準2500の概要
基準2500は、個別監査などを実施した後のフォローアッププロセスについて定めています。
2500 ─ 進捗状況のモニタリング 内部監査部門長は、経営管理者へ伝達された内部監査(アシュアランスおよびコンサルティング)の個々の業務の結果について、その対応状況をモニターする仕組みを確立し、維持しなければならない。 出所:IIA国際基準 |
フォローアップの実施にあたっては、具体的には、例えば、次のような対応が挙げられます。
① プロセスの整備 「内部監査実施要領・マニュアル」に、フォローアップの実施体制や実施方法を記載し、組織的にフォローアップが行われるようプロセスを定めます。 ②「フォローアップ事項一覧表」の整備・運用 「フォローアップ事項一覧表」を作成し、重要な発見事項それぞれについて改善計画と対応期限を管理します。 ③フォローアップの実施 「フォローアップ事項一覧表」に基づき、対応期限が到来した発見事項の改善状況を被監査部門に確認します。 ④結果の報告 月次や四半期などの頻度で、内部監査部門の中でフォローアップを実施した結果を報告します。 出所:内部監査.info |
内部監査における最終的な成果は、個別監査で発見された課題や問題が改善活動によって実際にか解決された時に初めて実現します。重大な発見事項を識別して的確な改善計画が立案されても、フォローアップのプロセスが有効に機能しなければ、成果が実現しないこともあります。そのような事態を招かないためにも、内部監査部門には確実なフォローアップの実施が求められます。
基準2600の概要
基準2600は、内部監査部門長と経営者とのリスクの受容に関するディスカッションについて定めています。
2600 ─ リスク受容についての伝達 内部監査部門長は、組織体にとって受容できないのではないかとされる水準のリスクを経営管理者が受容していると結論付ける場合には、その問題について最高経営者と話し合わなければならない。内部監査部門長は、それでもなおこの問題が解決されていないと判断した場合には、このことを取締役会に伝達しなければならない。 出所:IIA国際基準 |
基準2600が必要となるケースはあまり多くありませんが、具体的には例えば次のようなケースが挙げられます。
マネジメントが自らの保身から発見事項への対応を「対応不要」としたケース サイバーセキュリティ管理の監査を行った結果、顧客情報を100万件以上保有する自社の直販サイトが、過去に一度も脆弱性検査を行っていないことを発見した。 内部監査部門長はこの事実を踏まえ、サイバー攻撃などによる情報漏えいやサービス停止のリスクが高いと判断し、外部専門家による脆弱性検査を速やかに受けるよう改善を提案した。 しかし、CISO及びCEOは、取締役会で自らの責任を問われることを嫌い「改善不要」と判断した。 内部監査部門長としては、当該リスクの水準は、当社として受容できない水準にあると判断しているため、この問題を取締役会に報告した。 出所:内部監査.info |
基準2600の実践にあたっては、内部監査部門の執行からの高い独立性が求めれらます。上記のようなケースでは、内部監査部門長に強いプレッシャーがかかることが多く、人事的な報復があることもあります。このようなプレッシャーに耐えられるよう、欧米では内部監査部門を監査委員会に直属させることが一般的となっています。
[post_footer]