テーマ:DJはリクエストを全てかけるわけではない ~要請の選別と記録~
セクションA-1-dは、監査計画を立てる際に、経営陣や被監査部署から寄せられる「要望(リクエスト)」をどのように扱い、計画に反映(または却下)し、記録するかというプロセスです。
GIAS(グローバル内部監査基準)では、内部監査は「組織の価値を高める」ことが求められます。そのためには、ステークホルダー(利害関係者)の声を聞くことが不可欠ですが、言われた通りにすべてやるのが正解ではありません。
1. 計画策定は「対話」である
監査計画書を書き上げる前に、監査人は主要なステークホルダー(取締役会、上級経営陣、業務担当マネジャーなど)と協議を行います。
彼らはしばしば以下のような要請をしてきます。
- 「最近導入したこのシステムのセキュリティをチェックしてほしい」
- 「この部署は忙しいから、監査時期をずらしてほしい」
- 「ここの不正リスクが心配だから、重点的に見てほしい」
2. 要請を評価する「フィルター」
監査人は、寄せられた要請をそのまま計画に入れるのではなく、以下の基準(フィルター)を通して評価しなければなりません。
| 評価基準 | チェックポイント | 判断のアクション |
|---|---|---|
| ① リスクとの整合性 | その要請は、組織の重要なリスクに関連しているか? | Yes: 計画に追加する。<br>No: 優先順位を下げるか、お断りする。 |
| ② 独立性と客観性 | その要請を受けることで、監査人の独立性が損なわれないか? | 侵害あり: (例:「監査人が業務手順書を作ってくれ」など)断固拒否し、その理由を説明する。 |
| ③ 資源の可用性 | その要請に応えるための時間、予算、スキルはあるか? | 不足: スケジュールを調整するか、追加予算を要求する。 |
| ④ 監査の使命 | 内部監査憲章に定められた権限と範囲内か? | 範囲外: 適切な他部門(法務、人事など)に回す。 |
★イメージ(DJの選曲): クラブのDJ(監査人)に対し、客(ステークホルダー)が曲をリクエストしてきました。
- 「フロアが盛り上がる曲(高リスク領域)」なら採用します。
- 「場の雰囲気に合わない曲(低リスク・無関係)」なら、丁重に断るか後回しにします。
- 「機材が壊れるような無理な注文(独立性の侵害)」は絶対に断ります。
3. なぜ「文書化」が必要なのか?
試験では、**「なぜ記録に残すのか?」**という理由が問われます。
- 説明責任(アカウンタビリティ): なぜ当初の計画を変更したのか、なぜ特定の領域を監査範囲に含めたのか(または外したのか)を後で説明できるようにするためです。
- 期待ギャップの解消: 口頭だけで「やっておきます」と答えると、後で「あれもやってくれると思っていたのに」というトラブル(期待ギャップ)が生じます。文書化し、合意することでこれを防ぎます。
- 監査証跡(Audit Trail): GIASは、監査プロセスが論理的かつ組織的な判断に基づいていることを証明することを求めています。
4. 具体的な対応パターン(試験対策)
- パターンA:有益な要請
- 経営陣が「新興リスク」を懸念している。
- 対応: 歓迎して計画に組み込み、リスク評価を更新する。
- パターンB:スコープ・クリープ(範囲の肥大化)
- 監査中に次々と「ついでにこれも見て」と言われる。
- 対応: 監査資源に影響が出ないか評価する。影響が出るなら、何かを削るか、予算を増やすよう交渉し、変更を文書化する。
- パターンC:不当な制限
- 「ここは見ないでほしい」と言われる。
- 対応: 理由を問い質し、正当性がなければ範囲の制約として扱い、必要に応じて上位組織(取締役会等)に報告する。
【練習問題】パート2 セクションA-1-d
Q1. 内部監査人が販売部門の監査計画を策定中、販売部長から「最近、特定のベンダーへの支払いが急増しているため、キックバック(不正な見返り)の可能性があるか重点的にチェックしてほしい」との要請を受けた。内部監査人の対応として、GIASに基づき最も適切なものはどれか。
A. 監査の独立性を維持するため、被監査部門からの具体的な要請は採用すべきではないと伝え、当初の計画通りに進める。
B. 不正調査は内部監査の範囲外であるため、セキュリティ部門または法務部門に案件を移送する。
C. その要請を評価し、リスクが高いと判断される場合、監査目標と範囲に反映させ、その経緯を文書化する。
D. 販売部長の要請は「命令」と同等であるため、リスク評価を行うことなく直ちに監査プログラムに追加する。
【解答・解説】
正解と解説を表示
正解(C): ステークホルダーからの要請は、新たなリスク情報源として貴重です。監査人はその情報を評価し、リスクが高い(組織にとって重要)と判断されれば、計画に柔軟に組み込むべきです。そして、なぜ範囲に追加したかを文書化します。
不正解(A): 独立性とは「被監査者の言いなりにならない」ことであり、「意見を聞かない」ことではありません。有益な入力は受け入れるべきです。
不正解(B): 内部監査人は不正の兆候を評価する責任があり、範囲外と即断するのは誤りです。
不正解(D): 監査人はあくまで独立した評価者です。要請を盲目的に受け入れるのではなく、リスクベースで評価した上で採用します。
Q2. 監査計画の承認プロセスにおいて、ある事業部門長が「当部門は現在システム移行中で混乱しているため、今年の監査対象から除外してほしい」と要請してきた。内部監査人がこの要請を管理・文書化する際のアクションとして、最も適切なものはどれか。
A. 現場の混乱を避けるため、無条件で要請を受け入れ、来年度の監査計画に回すこととし、理由は記録しない。
B. 要請を受け入れた場合のリスク(監査しないことによるリスク)を評価し、その結果と変更の理由を文書化して、取締役会(または監査委員会)の承認を得る。
C. 監査の実施権限を主張し、部門長の要請を即座に却下して、予定通り強制的に監査を開始する。
D. システム移行中はリスクが低いため、監査を実施する必要はないと判断し、計画から削除する。
【解答・解説】
正解と解説を表示
正解(B): 監査の延期要請はよくあることですが、監査人は「監査をしないことのリスク」を考えなければなりません。システム移行中は逆に統制が弱まりリスクが高まる可能性もあります。延期を受け入れる場合でも、却下する場合でも、その判断根拠を文書化し、最終的な承認権者(取締役会等)と合意する必要があります。
不正解(A): 理由を記録しないこと、無条件での受入は不適切です。
不正解(C): ステークホルダーとの関係性を損なう強硬手段は、最終手段です。まずは協議と調整を行います。
不正解(D): 一般的にシステム移行時はリスクが高まります。
Q3. 個々の監査業務の計画段階で、ステークホルダーからの要請や期待を文書化することの主要な利点は何か。
A. 監査人が監査の失敗に対する責任をすべてステークホルダーに転嫁できる。
B. ステークホルダーが後で「言った・言わない」の議論を持ち出した際に、監査人の正当性を証明する証拠となる。
C. 監査報告書を長く詳細にすることで、監査人の努力をアピールできる。
D. 監査人が独自のリスク評価を行う手間を省き、ステークホルダーの意見だけで計画を作成できる。
【解答・解説】
正解と解説を表示
正解(B): 文書化の大きな目的の一つは、期待ギャップの管理と防衛です。計画段階でどのような合意形成があったか(何を範囲とし、何を範囲外としたか、誰の要請か)を記録しておくことで、後のトラブルを防ぎ、説明責任を果たすことができます。
不正解(A): 責任転嫁のためではありません。最終的な計画の責任は監査人にあります。
不正解(C): 報告書の分量稼ぎは目的ではありません。
不正解(D): ステークホルダーの意見は「入力」の一部であり、監査人独自のリスク評価を代替するものではありません。
