監査意見に説得力を持たすための3つのアプローチ
監査意見に説得力を持たすためには?
内部監査は予備調査、本調査とステップを進めていき、最終的には部門の統括責任者向けに「監査講評会」を行い監査結果の説明と、意見交換を行います。
しかし、ここでの相手は執行役員クラスの本部長や事業責任者となります。ロジックに長け業務知識も豊富であり生半可な監査人では木っ端みじんに論破され、骨抜きにされた監査報告書を持ち帰らされることもよく見る光景です。
少しでも監査意見の説得力を上げるにはどうすればいいでしょうか?そのためのいくつかのヒントを提示させて頂きたいと思います。
明確な根拠の提示
監査指摘内容が社内規定に抵触する場合であれば、その根拠として具体的な規定との条項、および何の活動がこれに逸脱したかを明確に示すとよいでしょう。
例えば、「購買規程」の〇条〇項には新規取引先については取引開始申請を行うとともに、財務・レピュテーションに関する社内チェックを受けると規定してされているのに、これをしていない、などの場合です。
流石に社内ルールで明確な定めがあることを実施していない場合、これに真っ向反駁する責任者はまずないと言っていいでしょう。
不具合・事故・障害・クレーム等の顕在化した問題の列挙
例えば、「システムの本番環境へのプログラムリリースが責任者の承認をとらずに担当者単独での判断で実施されている」点について、正式なリリース管理プロセスへの改善を促したい場合。これを単に責任者の承認がありません、というように「ハンコの有無」を問題にするようにいうと、形式的な指摘に聞こえてしまいます。
ここではシステム障害の発生原因とこのリリース管理の問題に関連性がないかを検証してみることは、説得力を高めるためにとても有効なアプローチです。例えば、システム不具合の原因がリリース前のテスト不足・他システムへの影響範囲の考慮不足にある等の関連性が見えれば、リリース前の妥当性判断の際にこうした点のチェックを入れることの必要性がより理解されるはずです。
事故や不具合は「顕在化したリスク」であるため、プロセスの不備を述べる際は有効な論旨の補強材料となります。
他社事例の紹介
現時点で社内の事故など起きていない場合は、「今まで問題が起きていない」という主張をされることも多いです。
内部監査では客観的に確認できる成果物や手続から心証を形成していきますが、小規模な組織では明文化されないマネジメントや慣習で業務を回し、それらが一定の成果を上げていることも少なくありません。過去の問題有無は考慮に値するとはいえましょう。
とはいえ、客観的な統制活動が十分に存在しない場合、将来にわたって問題が発生しない保証は少ないといえましょう。本来は問題が起きる前にこれを抑制することのほうが、事故が発生し再発防止を検討するよりは有意義なはずです。
この場合は、他社の事故事例と現在の管理状況を関連させて述べることも有効でしょう。事故の発生原因となったプロセスや管理体制が、監査指摘する管理状況と類似する場合は、事故発生の蓋然性を示すあなたの主張を助けてくれるはずです。
最後は熱意
説得力を上げるためには、監査人自身がその問題をどのくらい重要と考えるのかをよく棚卸ししておく必要があります。監査での改善提案は任意性が伴うので、いい加減な主張では理屈が通っていてもそもそも耳を傾けてはくれません。
監査人自身の自説に対する自信と論理性、熱意が最後は問われることになります。
投稿者プロフィール
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員