第6回 個別の内部監査(2)

前回から引き続き、個別内部監査のプロセスについて、特にAMLの内部監査を念頭に、実査から報告書の発行・フォローアップまでをご紹介します。検証手続きはリスクの動きが速いか遅いかに関わらず比較的共通のものだと考えますが、内部監査の報告に関するプロセスは少し異なる点もあるのではないかと考えます。このあたり自社の内部監査プロセスと比較していただければと思います。

検証の切り口

基本的には、規程・マニュアル等のレビュー、インタビュー、データ分析等を行い、期待水準を踏まえた基準(ガイドライン)と現状の態勢との「ギャップ分析」を検証の基本としていますが、評価の観点として以下のフレームワークも切り口に使用しています。

3 Lines Model

(設計当時は「Three Lines of Defense Model」でしたが、改訂の中で、リスク管理を主としていた目的が拡張され、各Lineの目的は再定義されています。詳細は、「最新の3線モデル(スリーラインズ・モデル)」を参照願います。)

弊社は「3 Lines Model」に基づき態勢を整備しているため、検証に際しても「3 Lines Model」に基づき、1st Lineと2nd Lineを一連としてとらえつつも機能レベルでは区分し評価しています。内部監査のプログラム上も1st Lineに期待される機能と2nd Lineに期待される機能は異なるため様式上も区分を設けています。

つまり3 Lines Modelに基づくと、AMLガイドライン上、例えば、主語等の明示なく「~を検証すること」とされているような項目は、1st Lineとしての「自己点検」、2nd Lineとしての「モニタリング/テスティング」の双方を検証対象とする必要があると考えています。

また、1st Lineとされている部門でも2nd Lineの機能を担っている場合もあり、2nd Lineを担う部門が1st Lineの業務を行っている場合もあります。3 Lines Modelは「機能」を基に各Lineを定義していますので、上記のような状況を認めた場合には、そもそも、その部門がその機能を担ってよいのか、十分に牽制が利くのか等の検討を行う必要があると考えます。
なお、機能を評価するために、リソース配分状況や規程等の整備(体制)に止まらず、運用状況の評価も必要となるため、区分し評価しています。

COSO

業務・報告・コンプライアンスの目的を達成するため、それぞれ5つの構成要素を整備するもので、特に課題が認められた場合にはどの構成要素が不足していたのか、構成要素が不足していない場合には目的の設定に課題があったのではないかと検証を行っています。

サンプリング

AMLガイドラインでは「検知基準の有効性等を含む IT システムの運用状況」とあるとおり「運用状況」についての検証が求められています。そのため主たる業務における統制ではサンプリングを行い、結果の分析を通じて統制の機能状況について有効性を検証します。

なお、内部監査では結局、何件の検証を行えば正しい結論を得ることができるのかという問題があると考えています。弊社ではサンプリングに係るマニュアルを整備中で、原則一定の特徴をもって切り出した母集団に対して評価ラベルに応じた信頼水準と許容逸脱率を選択することで必要なサンプリング件数を算出できるようにと考えています。試行中ではありますが、サンプリングの件数もリスクベースで設計し効率的な検証手続きとしたいと考えています。

結果の伝達と内部監査報告書の発行

リスクの動きが速いこともあり、報告書のとりまとめに時間を要していると、課題に対処する前にリスクが顕在化してしまい遅きに失する可能性があります。そのため内部監査報告書の発行は、「速やかに」としています。
例えば、直近7月31日までを実査期間とした内部監査では、経営陣向け内部監査の結果報告を7月29日に行い、正式な報告書の発行を7月31日(実査期間中)に実施しました。

IPPF上「内部監査人は、内部監査の個々の業務の結果を伝達しなければならない。」[1]とありますが、内部監査期間以降でなければ報告書を発行してはいけないというものではないため、弊社ではなるべく前倒しして結果報告しています。

これを実現するためには、調書を準備してから報告書の構成を考えるような方法では間に合わないため、予め報告書の目次を作成し、それを埋める形で仮説を逆算して検証を進める方法としています。

ただし内部監査の結論に対しては、規制当局等から根拠を求められる可能性もあるため、再現が可能な程度の必要な情報(検証目的、評価基準、検証手順、サンプリング方針、インタビューメモ等)は調書として整理し保存しています。


[1] IPPF 2400「結果の伝達」

発見事項とフォローアップ

検証の中で認められた課題(「発見事項」といいます)は、リスクアセスメントと同様の手続きと評価基準で評価し、評価ラベルを付しています。

「リスクベース」で報告対象とフォローアッププロセスを定め、リスクの高い「発見事項」は、報告書の中で個別に課題を取り上げ経営陣に報告し、内部監査自身で「フォローアップ」を行い改善まで報告します。リスクの重要性や改善状況によっては保証力の強い「フォローアップ監査」を検討します。
逆にリスクの低い「発見事項」は、報告書に一覧で課題を列挙して表記するに留め、「フォローアップ」を2nd Lineに任せることもありますし、場合によっては1st Lineにリスクの受容も含めて改善を任せることもあります。

次回はいよいよ最終回。今まで述べてきた内部監査活動の振り返りであり、PDCAサイクルを回す意味で重要なプロセスとなる品質評価について触れていきたいと考えています。

Syuta Takeuchi

竹内 秀太

株式会社ディーカレット 内部監査グループ ヘッド
公認内部監査人(CIA)、公認情報システム監査人(CISA)

戦略系コンサルティング会社、Big4、金融庁(監督局)・証券取引等監視委員会(検査)、外資・日系保険会社、等を経て現職。
コンサルタントとして態勢構築を支援する側、規制当局として検査・監督する側、内部監査する側/される側、品質評価する側/される側、そして現在は態勢構築中と様々な立場で内部監査に従事。

内部監査の高度化の端緒は「外部からの刺激」であると思っています。ご意見もいただけると嬉しいですし、可能であれば意見交換もさせていただければと考えています。

________________________________________

株式会社ディーカレット DeCurret Inc.
「デジタル通貨による価値交換プラットフォーム」の提供を目指し、価値が転々流通するデジタル通貨や、将来的に広がりが期待されるデジタルアセットの交換をシンプルにする仕組みを実現することを目的に2018年1月に設立され、デジタル通貨の取引・決済を担う金融サービス事業を営む。
https://www.decurret.com/
暗号資産交換業者 関東財務局長 第00016号

「日本におけるデジタル通貨の決済インフラを検討する勉強会」を開催し事務局も務めている
https://www.decurret.com/company/studygroup-2020/

(ディスクレーマー)
本コラムの意見に関する部分は、筆者の私見です。筆者の所属する組織等の意見を代表するものではありません。
本コラムは、筆者が信頼できると判断した資料・データ等により作成いたしましたが、その正確性および完全性について保証するものではありません。
参考にさせていただいた資料やそこに記載されていた数値等は、その合理性や妥当性についてのレビューは行っておりません。
本コラム中に記載された意見や予測は、作成時点のものであり、今後新たな情報等が得られた場合には予告なく変更される可能性があります。
以上の点ご理解いただき、一つの意見として本コラムをご覧いただけると幸いです。

関連記事

記事を読む

おすすめ記事 最近の記事
  1. 金融庁「地域金融機関の経営とガバナンスの向上に資する主要論点(コア・イシュー)」

  2. 日本内部監査協会「IIA-Bulletin 対策の再考:パンデミックとサイバーセキュリティ(仮訳)」

  3. IIA国際基準の考察(1130 ─ 独立性または客観性の侵害 )

  4. IIA国際基準の考察(1312 ─ 外部評価)

  5. IPA「ITSS+「アジャイル領域」資料一部改訂」

  6. IIA国際基準の考察(2200 ─ 内部監査(アシュアランスおよびコンサルティング)の個々の業務に対する計画の策定)

  7. 総務省「モバイル市場の競争環境 に関する研究会 」

  8. 総務省「我が国のサイバーセキュリティ強化に向け速やかに 取り組むべき事項[緊急提言]の公表 」

  9. JICPA 仮想通貨交換業者 分別管理 合意された手続(AUP)の実務指針

  10. 第4回 年間内部監査計画

  1. 第7回 品質評価

  2. 第6回 個別の内部監査(2)

  3. 株式会社ディーカレット:企業インタビュー

  4. 第5回 個別の内部監査(1)

  5. 第4回 年間内部監査計画

  6. 第3回 リスクアセスメント(2)

  7. 第2回 リスクアセスメント(1)

  8. 第1回 内部監査とステークホルダーの期待の整理

  9. 最終講(全6講)企業風土監査の薦め ~企業価値の向上と毀損防止・企業変革へ向けて~

  10. 最新の3線モデル(スリーラインズ・モデル)