IIA国際基準の考察(2500 ─ 進捗状況のモニタリング、2600 ─ リスク受容についての伝達)

本稿では、IIAの内部監査の専門職的実施の国際基準(以下、IIA国際基準)の考察を行っています。IIA国際基準は、アシュアランス業務とコンサルティング業務の両方を対象としていますが、本稿では主にアシュアランス業務を中心に考察を行っています。

基準2500の概要

基準2500は、個別監査などを実施した後のフォローアッププロセスについて定めています。

2500 ─ 進捗状況のモニタリング
内部監査部門長は、経営管理者へ伝達された内部監査(アシュアランスおよびコンサルティング)の個々の業務の結果について、その対応状況をモニターする仕組みを確立し、維持しなければならない。

出所:IIA国際基準

フォローアップの実施にあたっては、具体的には、例えば、次のような対応が挙げられます。

① プロセスの整備
「内部監査実施要領・マニュアル」に、フォローアップの実施体制や実施方法を記載し、組織的にフォローアップが行われるようプロセスを定めます。

②「フォローアップ事項一覧表」の整備・運用
「フォローアップ事項一覧表」を作成し、重要な発見事項それぞれについて改善計画と対応期限を管理します。

③フォローアップの実施
「フォローアップ事項一覧表」に基づき、対応期限が到来した発見事項の改善状況を被監査部門に確認します。

④結果の報告
月次や四半期などの頻度で、内部監査部門の中でフォローアップを実施した結果を報告します。

出所:内部監査.info

内部監査における最終的な成果は、個別監査で発見された課題や問題が改善活動によって実際にか解決された時に初めて実現します。重大な発見事項を識別して的確な改善計画が立案されても、フォローアップのプロセスが有効に機能しなければ、成果が実現しないこともあります。そのような事態を招かないためにも、内部監査部門には確実なフォローアップの実施が求められます。

基準2600の概要

基準2600は、内部監査部門長と経営者とのリスクの受容に関するディスカッションについて定めています。

2600 ─ リスク受容についての伝達
内部監査部門長は、組織体にとって受容できないのではないかとされる水準のリスクを経営管理者が受容していると結論付ける場合には、その問題について最高経営者と話し合わなければならない。内部監査部門長は、それでもなおこの問題が解決されていないと判断した場合には、このことを取締役会に伝達しなければならない。

出所:IIA国際基準

基準2600が必要となるケースはあまり多くありませんが、具体的には例えば次のようなケースが挙げられます。

マネジメントが自らの保身から発見事項への対応を「対応不要」としたケース
サイバーセキュリティ管理の監査を行った結果、顧客情報を100万件以上保有する自社の直販サイトが、過去に一度も脆弱性検査を行っていないことを発見した。
内部監査部門長はこの事実を踏まえ、サイバー攻撃などによる情報漏えいやサービス停止のリスクが高いと判断し、外部専門家による脆弱性検査を速やかに受けるよう改善を提案した。
しかし、CISO及びCEOは、取締役会で自らの責任を問われることを嫌い「改善不要」と判断した。
内部監査部門長としては、当該リスクの水準は、当社として受容できない水準にあると判断しているため、この問題を取締役会に報告した。

出所:内部監査.info

基準2600の実践にあたっては、内部監査部門の執行からの高い独立性が求めれらます。上記のようなケースでは、内部監査部門長に強いプレッシャーがかかることが多く、人事的な報復があることもあります。このようなプレッシャーに耐えられるよう、欧米では内部監査部門を監査委員会に直属させることが一般的となっています。

[post_footer]
内部監査.com

内部監査.com内部監査.com

記事一覧

内部監査の総合情報サイト テンプレート・ツール、ニュース、基準・ガイドライン、セミナー・研修、求人等の内部監査に役立つ情報を紹介!

http://xn--v6q806ccrkilz.com

関連記事

記事を読む

おすすめ記事 最近の記事
  1. 総務省「AI経済社会フォーラムの開催」

  2. IIA「GAMカンファレンス(ラスベガス)」

  3. 日本内部監査協会「IIA-Bulletin 対策の再考:パンデミックとサイバーセキュリティ(仮訳)」

  4. 日本銀行「ビッグデータとAIのファイナンスへの利用 」

  5. 東京大学「日本企業における内部監査機能の強化に向けた政策提言」

  6. CIIA「Internal audit careers 2020: tools for tomorrow」

  7. 内部監査とは

  8. 予備調査

  9. JICPA 仮想通貨交換業者 分別管理 合意された手続(AUP)の実務指針

  10. 東芝ITサービス株式会社で架空取引

  1. 第7回 品質評価

  2. 第6回 個別の内部監査(2)

  3. 株式会社ディーカレット:企業インタビュー

  4. 第5回 個別の内部監査(1)

  5. 第4回 年間内部監査計画

  6. 第3回 リスクアセスメント(2)

  7. 第2回 リスクアセスメント(1)

  8. 第1回 内部監査とステークホルダーの期待の整理

  9. 最終講(全6講)企業風土監査の薦め ~企業価値の向上と毀損防止・企業変革へ向けて~

  10. 最新の3線モデル(スリーラインズ・モデル)