内部監査を初めて受ける時に聞くべきこと

内部監査を建設的、かつ楽に乗り切るために

東証一部だけでも日本には2000を超す企業が上場しています。そして上場企業の多くは内部監査部門を持ち、内部監査が実施されています。

もちろん上場企業以外でも金融系や医療系での許認可事業などを営む場合、法令に紐付くガイドラインで内部監査要件が規定され、これを受けて内部監査をしている場合も多々あります。

膨大な数の監査がされる一方、監査を受ける立場の方達にとっては事前の計画説明では透明性や具体性を感じないケースもあるのではないでしょうか?

内部監査の計画説明は勿論内部監査人の責任ですが、被監査部門としても自らの負担を減らすためにも、積極的に確認をすることを推奨します。

内部監査を初めて受ける時に、必ず確認すべき3つの質問を取り上げてみます。

Q1:「今回の内部監査での監査上の基準は何でしょうか?」

内部監査では通常一定の評価基準を持ち、監査対象の実際の取り組みや活動とのフィット/ギャップを検証する形で進められます。

監査上の基準は社内規定から引用するケースもあれば公知のベストプラクティスから監査人が独自に設定するケースもあります。

設定された基準が何かを確認することは、極めて重要です。高過ぎる基準であれば合理的な管理体制やプロセスでも過度な不備が検出されてしまいます。

また経験の浅い監査人に至っては、監査上の基準を曖昧にしか設定していないケースもあります。基準がなければ何を有効とし何を不備にするかの物差しを持てないわけですから、自ずと監査も支離滅裂な内容になりがちです。

例えば、監査要点に『アクセス権限を必要最小限に設定していること』と規定されていた際に内部監査人が具体的には何を見るのでしょう?例えば下記などがあります。

  • アクセス権限付与の基準整備
  • アクセス権限の登録・変更・削除のフローの整備・運用
  • 共有アカウントの使用制限
  • 異動・退職に伴うアクセス権限の即時削除
  • アクセス権限の定期的な棚卸し

まともな内部監査人なら、監査要点は抽象度を上げて記載しても具体的な確認ポイントを設定しています。しかし具体的に何を確認するのかと問われ、明確に回答できないようなら、基準を明確にするよう要請すべきでしょう。

これにより、被監査部門としては監査人がリスクに照らして妥当な水準を設定していることを担保させることに繋がり、建設的な内部監査への一助となります。

Q2:「監査の具体的なスケジュールとマイルストーンを教えてください」

内部監査全体の期間と工程、特に節目となるマイルストーンの確認は監査全体の時間の流れと進め方を把握する上で重要です。

主要な工程、例えば整備状況評価(ウォークスルー)や運用状況評価(TOC)などはどのように区分されているか?中間報告や仮講評会などの重要なマイルストーンは設定されているのか?

こうした点が具体的に回答されなければ、その監査人は粗いスケジュールしか引けていないことになります。引いては監査全体の理解や設計も十分でなく迷走の可能性もあります。

特に被監査部門としては、監査の最終盤での意見交換会だけでなく、予備調査や整備状況評価が完了したあたりでの中間報告の場を設定するよう要請しましょう。

どのような点が課題となるのか、改善をどの程度要請するつもりか、そもそも事実誤認をしていないか、こうした論点を事前に確認することは被監査部門にとっても有意です。

Q3:「必要な資料とその件数はどのくらいですか?」

被監査部門にとって内部監査部門からの資料提出依頼は最も負担の大きい作業の一つです。

J-SOXの運用状況評価等は実施基準に照らして、必要なサンプル数がある程度公に決まっています。しかし通常の内部監査では、母集団からサンプルを取得し検証するプロセスは内部監査人の裁量次第です。

明確な根拠のある依頼か、対応する意味があるのか、代替手段での確認はできないかなど省力化のために、必ず確認しましょう。

最後に

内部監査人には独立性も必要ですが、被監査部門への配慮も会社常識として求められます。

上の3つの質問にまともに回答できない内部監査人が来た場合、建設的に内部監査計画の具体化や主要なポイントの認識合わせをしましょう。

面倒かもしれませんが、相互にとって、結果的に必ず良い利益をもたらすでしょう。

Follow me!

投稿者プロフィール

ネット企業の監査人
ネット企業の監査人ネット系事業会社 内部監査室 室長
J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。

自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。

【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)

【所属】
・日本内部監査協会会員
・ISACA東京支部会員
0

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です