内部監査における「ヒアリング」の基本・基礎

はじめに

内部監査において「ヒアリング」(≒インタビュー/質問/面談)は最も広く用いられる技法であり、短時間で多くの情報が得られるため監査の成功において極めて重要な要素となります。

勿論監査において事実関係を正確に把握するためには、質問による回答だけでは証拠として足りません。

『「ヒアリング」と「質問」は、相手方の説明を聴取するだけであり、その裏付けをとらないため監査技術とは言えない』
※ 出典「取締役・監査役・監査部長等にとっての内部監査 改訂版 」P160 川村眞一著 同文館出版

こんな厳しい意見まであります。

とはいえ、不正に対する監査等特に回答の信頼性を慎重に検討する場面以外では、「ヒアリング」は監査手続の一つでありヒアリング結果は「口頭的証拠」(⇔資料などは「文書的証拠」)と見做されることが一般的ではないでしょうか。

また近年のIT系事業会社では、特にシステム管理等において業務体制、プロセス、管理仕様等のドキュメンテーションをしておらず、実務上の手続やその中での統制活動についてはヒアリングして直接実態を確認することが求められるケースは少なくありません。

今回は内部監査のヒアリングにおける基本・基礎としての実務的な進め方やテクニック、tipsについてお伝えします。

ヒアリング準備段階での重要ポイント

ヒアリングは被監査部門に対して、内部監査人が直接口頭で質問をして回答を入手する手続であり、単純ですが奥が深いものです。熟練した監査人のヒアリングとビギナー監査人のそれとは、同じ時間を費やしても得られる情報の量・質が圧倒的に違います。

ヒアリングは直接相手に尋ねるわけですが、準備段階で成功の可否は決まっていると言っても過言ではありません。ヒアリング準備(調整~質問準備)までの間で大切なポイントをお伝えします。

ヒアリング目的・ゴールの明確化

当たり前ですが、このヒアリングを何のためにするのか/何を確認するのかが明確になっていなければなりません。これには個別監査計画の内容、特に監査目的・監査項目・監査要点を深く理解する必要があります。

何かのガイドラインをそのまま引用したかのような表現で作成されたヒアリングシートや、それをそのまま読み上げる監査人を目にしたことがあります。こうした際必ず被監査部門は困惑し、MTGが終わった後もごく表面的な内容しか確認できないものです。

ヒアリングの目的・確認ポイントを踏まえ、これを終えた時に「何を持って帰るのか」を明らかにしましょう。

ヒアリング対象者の適切な選定

ヒアリングに際して「何を聞くのか」も重要ですが、それ以前に「誰に聞くのか」を考えなければなりません。監査目的や各要件を踏まえ、ヒアリング対象者が確認事項に対して適切な回答を述べられる、知識・スキル・職位・役割を持っているかを検討しましょう。

またヒアリングをする順番や同席のさせ方も工夫が必要な場合があります。

業務が細分化し専門性が求められる現代では担当者が部門長等の責任者より、対象業務に通暁しているケースは珍しくありません。

責任者と担当者を同席させた際、責任者が誤った回答をした際担当者はこれを訂正しにくかったり、業務面の課題を聞いても回答しにくい場合もあるので、相手の立ち位置や業務理解度を踏まえて「場」の設定をしましょう。

ヒアリング設計段階の重要ポイント

ヒアリング項目とその具体的な質問内容は、ヒアリングの目的・ゴールを踏まえ設計します。

強く不正が疑われる等の特別な場合を除き、事前に「ヒアリングシート」として確認事項を整理して質問相手に送付しておくのが原則です。

理由としては監査対象の業務や当該監査の経験が豊富であっても、質問漏れの防止や効率的な質問配置を検討しなくてはならないからです。また込み入った質問に対しては相手側にも回答準備をしてもらわなければ、円滑にヒアリングが進行しない可能性もあります。

次から、ヒアリングシートの作成を含むヒアリング設計に関する実務要点として重要なポイントを紹介します。

ヒアリング時間の妥当な設定

個別監査案件のヒアリング時間は質問数・内容によって調整は必要ですが、60分を基本として最小30分・最長120分の範囲で設定することがよいでしょう。

通常オープニングでの自己紹介やヒアリング目的の説明、クロージングでの今後の流れや相手からの質問等受けることに5~10分程度は使用するので、それを除く時間が実質問時間になります。

このため一定の確認をする場合は30分未満では短すぎます。他方で120分=2時間を超えるヒアリングは集中力の点からも、相手の業務影響の観点からも長すぎるので推奨できません。

筆者は予備を含め90分で設定しておき、必要な確認が済み次第早めに終了するという形を取ることが多いです。時間がオーバーする可能性があるくらいなら、多少長めに設定して予定時間内に確実に完了させる方が印象はよいと思います。

ヒアリング時の適切な質問数

ヒアリングは相手方の回答に依存するので、どのくらい時間が掛かるのか見積りにくいと思う方もいるのではないでしょうか。ここでは経験を踏まえた一つの考え方を提示したいと思います。

結論からいうと、60分のヒアリングで予定する質問数は20個程度を目安にすることが妥当と考えます。以降30分増えるごとに10個程度が追加可能な質問数と想定頂けたらと思います。以下具体的に見ていきます。

標準的な会話速度は1分あたり300~400文字相当とされます。ちなみにNHKのアナウンサーは最もよく話しが伝わるよう1分で大体300文字を話すとされています。

「内部監査人が質問する時間(質問時間)」+「被監査部門の担当者が回答する時間(回答時間)」×「質問総数」=ヒアリングに要する時間になります。これを踏まえ1分=300文字を基準に以下システム監査での会話例から時間感覚のイメージを説明します。

内部監査人

「開発業務におけるプログラム変更での品質管理手続きについて伺います。ソースコードのチェック・テストからリリースまでどのように実施していますか?」【69字/14秒程度】

被監査部門

「通常時はエンジニアが記述したプログラムをチーフエンジニアに対してコードレビューをしてもらいフィードバックに対して必要な修正をします。その後担当者の単体テストを経て複数のモジュールに対しての結合テストを行い設計書の仕様を踏まえてシステムテストを実施します。各テスト仕様書・結果報告書は基本的に作成者以外がレビューします。レビューは必ずしもチーフなどの責任者でなくメンバー間でクロスチェックするケースもあります。」【204字/40秒程度】

内部監査人

「なるほど。システムテストが完了してから本番環境へリリースするまでの手続きはどのようにしていますか?」【49字/10秒程度】

被監査部門

「システムテストの完了後は、システム利用をする〇〇部門側のユーザ―受け入れテストをしてもらいます。もちろんここで不具合等があれば報告の上修正し、再度結果を確認してもらいます。ユーザー受け入れテスト完了後はリリース判定会議が行われます。ここではユーザー受け入れテストの結果を含めた最終的なテスト結果報告書とリリース計画書を〇〇部門の責任者である△△さんに確認してもらいます。△△さんの承認を受けた後にエンジニアが本番環境にリリースします。」【217字/43秒程度】

上記全体で107秒になります。

2つ質問をしていますがこれは最初の質問に対しての回答が限定的(リリースまでのプロセスを質問したのにテストまでしか回答されなかった)であったので、追加質問をしただけで実質的に1つの質問です。一連の統制活動を述べてもらうにはこのくらいの時間は掛かってしまいます。

実際には自分・相手双方に質問・回答を考える時間もあるため、幅を持たせて「質問時間≒20秒~30秒」+「回答時間≒80~120秒」くらいの範囲を基準時間とします。

すると質問1件あたりの回答時間含めたトータル所要時間は「100秒~150秒」になります。これを踏まえると、【ヒアリング実時間の計算式】は下記となります。

「質問時間+回答時間(≒100秒~150秒)」×「質問数(=20)」=2000秒~3000秒≒33分~50分

。相手の経験やヒアリング対応の慣れ等で回答時間は変わるのであくまでも目安ですが、上述のとおり60分ヒアリングは正味50分と想定すると大体このくらいの時間を要することになります。

ヒアリングシートの適切な構成

ヒアリングシートを作成する際に留意すべき主なポイントは下記のとおりです。

  • 監査要点を踏まえて、適切な単位で質問項目を分割すること
  • 最初は相手にとって答えやすい/簡単な質問から始め、徐々に難しい/専門的な質問に移ること
  • 全体的な事項(ex:体制・役割・基本ルール)を先に確認し、個別・部分的な事項(ex:細かな業務分掌・個別プロセス・ルール細則)は後で確認すること
  • トリガーとなる起点業務からクロージングとなる終点業務へ業務の流れに沿って質問すること
  • 基本的な資料を見れば理解できる事項は確認に留めてゼロベースに質問しないこと
    ex:公開されている体制図や業務分掌表で組織構成や基本的な役割が把握できる場合は、そこで確認した事項をベースに質問する等
  • 社内外の監査・審査指摘、各種事故・障害発生状況を考慮すること
  • 例外的な対応・業務の有無について必ず質問すること

基本的に大枠として監査対象となるシステムや業務の概要・位置付けを把握してから、個別の監査要点に関する具体的な質問に移行することを意識するとよいでしょう。

また最後に上げた「例外」の確認は早期に課題となる事項を洗い出すうえで重要です。通常と異なる手順や条件で業務処理を行うことは事故の要因となりやすく、かつ必要な統制整備や文書化があまりされていないケースが散見されるためです。

経験上下記のような場合に例外的な処理がされやすい傾向があります。

■時間、タイミング的な例外:システム障害等の緊急時対応手順、決算期・月末締め日等の繁忙期でのオペレーション
■対象の例外:特定クライアント向けの個別業務フロー、特定システム環境での例外的な管理方法
■規模での例外:工数的に小規模な案件、金額的に小規模な案件での手順省略

最後のケースの補足ですが、規模が小さければリスクも小さいので手順省略も妥当なケースはあります。ただ作業的にはシンプルであっても本番環境へのデータやプログラム変更はミス発生時の影響は大きく過度な簡略化が許容できるか検討が必要でしょう。

最後に

ここまで準備が出来たら、当日も円滑にヒアリングを進めることができるでしょう。当日はしっかりと相手を見て、1分300文字を念頭にゆっくりと落ち着いて話しましょう。

最後に重要なことがあります。ヒアリングの最初と最後には時間を割いてくれている相手への感謝の気持ちを伝えましょう。
内部監査として通すべき「仁義」としてこれは欠かせません。

【参考記事】
本記事に関連して、ヒアリングにおけるトラブルやその対処方法を纏めた別記事です。


—-

コンサル業界の転職ならアクシスコンサルティング

Follow me!

投稿者プロフィール

ネット企業の監査人
ネット企業の監査人ネット系事業会社 内部監査室 室長
J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。

自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。

【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)

【所属】
・日本内部監査協会会員
・ISACA東京支部会員
+3

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です