「ヒアリング」で困ったときに-心構えと対処法-
はじめに
内部監査業務においてヒアリングは効果的な情報収集方法であり非常によく用いられますが、それだけにトラブルに出くわすこともしばしばあります。
多忙な現場部門に対して、十分な礼儀は示しつつも確認すべきは確認しなくてはなりません。ここではヒアリング時の主に相手側の回答姿勢に関連した困るケース紹介と対処法の例をお伝えします。
【参考記事】
本記事に関連して、ヒアリングにおける基本的な留意事項やポイントを纏めた別記事です。
ヒアリングで「困る」場面-具体事例集-
専門用語が理解できない
内部監査において、監査対象の業務について自身がそれを「出来る」レベルになることまでは求められませんが、業務内容を理解することは必要になります。
とはいえ被監査部門側の方が当然圧倒的に業務に精通しており知識を有するため、監査人が専門用語についていけない場面は出てくる場合があります。
会話ケース
「プログラムの作成から本番環境へのリリースまでの手続を教えてください。」
「Githubからチーフ(エンジニア)にPullRequestを出します。チーフのチェック後にMergeされたらdev環境で動作検証して問題なければ、release ブランチを作成しstatging環境にデプロイして動作検証します。」
「その後release ブランチから masterブランチへPullRequestを出しPJメンバー全員で最終確認を行い、問題なければリリース担当者がmasterにMergeします。」
「masterにMergeされたらJenkinsで本番にデプロイされます。」
(・・・話についていけない。どこが分からないか分からない。。)
対処法①臆せず、即時に聞く
基本的には、相手側が業務知識量が多いのは当然であり、不明点がでたときは堂々と質問しましょう。
時間や間を空ける方が不自然であり、話しの理解にも影響してしまいます。
対処法②事前に基本知識は習得する
とはいえ、あまりに基本的な内容や単語への質問を繰り返すと、相手からの信用度が下がります。監査に必要なレベルの最低限の知識は自己学習しておくことが業務準備の面からも、相手への配慮への面でも必要でしょう。
会話が続かない・話しを避けられる
内部「監査」のヒアリングを受ける相手は、程度の差はあれ一定の警戒を示すことが一般的です。
特に初めての顔合わせや初回のヒアリングでは、相手に過度な緊張を与えないコミュニケーションを心掛ける必要があります。
しかし、時にそうした一般的な反応と異なり意図的に口をつぐまれたり、必要最小限の回答を続けられるケースに遭遇することがあります。
会話ケース
「現在システム開発1チームのリーダーをしていると伺いました。担当システムと主な業務内容について教えて頂けますか」
「システムは色々見てますね。基本的に職務分掌表に記載の仕事をしています。」
「(うん?)職務分掌表では、システムエンジニアリング/プロジェクトマネジメント/品質管理/教育研修等が規定されていることは承知しています。担当するシステム名称、それぞれの各開発プロセスでの主な役割と関連業務内容について具体的に教えて頂けませんか。」
「担当システムは開発2チームと3チーム所管以外のシステムは基本見てます。役割はリーダーなので開発全般やってますね。」
「(・・話しが膨らまない。システムと仕事を同時に聞いたのが良くなかったか。)聞き方が悪くてすいません、先ず担当システムから伺います。各チームごとの担当システム一覧のようなものはお作りであれば見せて頂けますか?なければ、担当システムのうち主要なものを今口頭で教えてください。」
「担当システム一覧は。。無いですねぇ。」
「・・・」
「・・・」
「(終わり?!)」
対処法①緊張の緩和
相手があまり敵対的でないにも関わらず過度に会話を継続させない場合は、不用意な発言をしないように内部監査を警戒している、指摘を受けないように消極的に対応している等の理由が考えられます。
この場合は、相手方の不安を取り除くような働き掛けをすることがよいでしょう。
- 内部監査の目的が問題指摘でなくより良い教務改善の契機にしてもらうことであると述べる
- 他の複数部門にも監査をしていると伝える(狙い撃ちではない)
- 相手の理解と協力が必要であり、色々教示してほしいと率直に依頼する
対処法②資料ベースの確認
相手側の口が重い理由がよく分からない場合は、事前に用意した資料について個別具体的な質問を行い、限定的な確認を繰り返すということも一つの方法です。ただ特に監査の初期でのヒアリングはオープンクエスチョンで、相手に語ってもらうほうが望ましいです。
資料ベースの確認はクローズドクエスチョンになりがちなので、注意しましょう。
切れ目なく話しを続けられる
前述の「会話が続かない・話しを避けられる」の反対で、相手から話し続けられるケースもあります。
基本的にヒアリングでは、どんな内容でも相手から積極的に話しをしてくれることは歓迎すべきことだと思います。とはいえ、本題と直接関係ない事項で相手の話しが途切れないと、内部監査人としては焦りが生まれてきます。
会話ケース
「メインのヒアリングに入る前に現在の部門状況を少し教えてください。直近で規模や影響の大きい業務やプロジェクトにはどんなものがありますか?」
「現在はですね。A社向けの基幹システム刷新プロジェクト、これ昔からのオンプレを全部AWSにのせようってやつなんですよ。金融系企業でも基幹システムのクラウド利用はほんと珍しくなくなりましたね。でも提案から契約まで1年近くは掛かったかもしれません。お客さん的にはなるべく基盤全体をクラウドにしたいみたいなんですけど、勘定系システムの一部だけはオンプレ運用が必要になり、今その影響評価とか接続・連携の仕様がFixしたところですね。」
「なるほど。このプロジェクトは・・」
「リリースまでマスタースケジュール上は2年引いてるんですよ。結構長いと思うかもですけど、セキュリティ要件も厳しめのお客さんなので今、〇〇さんのセキュリティチームにも要件から入ってもらっていたんですよ。でも、お客さん側のセキュリティルールがオンプレ前提でクラウドでのセキュリティ担保の形にはなっていなくてですね。クラウドでも当然セグメント分割やアクセス制御、暗号化、ログ管理とかある意味オンプレ以上に大事なんで。それでですね。」
(アイスブレークかねての質問だったけど、話しが途切れない・・時間がなくなりそうだ。。)
対処法①誘導
相手が単に会話好きであったり、自身の成果をアピールしたい等の理由から話しが続けられることが考えられます。
この場合は、相手を尊重し口を挟むタイミングを計りながら、自分の質問の回答に誘導していきましょう。
対処法②共感姿勢
監査に対しての不安感から饒舌になるケースも散見されます。「自分はちゃんとやっている」気持ちがありそれへの理解・共感が欲しいため、自身の成果や取り組みを強調することになる等の理由です。
前述のとおり、相手の不安を少しでも取り除くとともに、相手への共感を態度や言葉で示し、信頼感を獲得できるようにしましょう。
回答がいい加減
相手がこちらの質問に対して事実関係を踏まえず、回答をしてくるケースがあります。これも監査判断のミスリードにつながるなど注意が必要なケースです。
会話ケース
「確認ですがこちらの部門で個人情報を取り扱う業務はしていない、ということでよいですね。」
「はい、大丈夫です!」
「分かりました。ところで現在貴方の部門では、正社員以外の雇用形態の方、派遣社員や契約社員の方は何名ほといますか?」
「そういう方達はいないと思いますね。」
「・・・ご提出頂いた体制図のメンバー表には「派」「契」などのマークがあったので、こうした雇用の方達がいるという意味かと思ったのですが。」
「あっ、そういえばいました。5~6人くらいですかね。派遣社員の方は。契約社員の方も同じくらいで。」
「(そういえばって・・・同僚や部下にあたる人たちなのに・・・)では派遣社員の方たちはどのような業務をしていますか?」
「えーっとですね。一般のユーザー様向けのアンケートの送付・集計やプレゼント・景品配送等の業務ですね。直接住所・氏名書いて郵送してます。あといわゆるカスタマーサポートでお客様からのメール問い合わせ対応もしています。」
「(えっ?)あの、先ほど部門では個人情報を取り扱う業務はしていないと・・・」
「あっすいません、やっぱりありました。はい!」
(・・・大丈夫かな?)
対処法 事実確認の徹底
信頼性のない回答が繰り返されるのは、質問相手の元々のスタイル・性格による場合もありますし、意図的にしている場合は何らかの理由で煙に巻くために具体的な回答を避けるようにしているのかもしれません。
事実関係が正確になるように質問を明確にしたり、回答の裏付けとなる資料を積極的に収集して事実誤認がないようにしましょう。
また同じ業務を担当している別担当や管理者にヒアリングするなどして、再確認をすることも有効です。
攻撃的な態度を示される
監査ヒアリングでは、被監査部門の担当者・責任者がひどく感情的(けんか腰)の言動を繰り返すことがあります。明確な理由や原因が思い当たらない場合、内部監査人としては困惑したり、怒りを覚えることもあるでしょうが冷静な対応が必要です。
会話ケース
「本日はお時間ありがとうございます。今日は予備調査として、開発・運用の基本的な体制と業務の流れについてお伺いします。先ず・・」
「その前に今回の監査目的を教えてもらえますか?」
「(監査の目的やテーマ等は前回の監査計画説明のときに詳しく伝えたけれど・・・)基盤システムの開発・運用管理が社内規定に即して実施されているかという準拠性の検証が主な目的です。これにより・・」
「そもそも何でこの時期なんですか?現場が今何をしているか分かってます?〇〇システムのリリース近いの知っていますよね?少しは確認してくれてますかね?」
「前回の説明と重なりますが、元々この監査は3カ月前に予定していました。しかし〇〇部門長から仕様が固まらず開発業務の立て込んでいたことから延期の申し入れがあり協議の結果、この時期になりました。」
「現在は仕様も凍結され実装は順調にしていると聞いています。なお、対象システムは資金移動業の関連ガイドラインの遵守が求められ、定期監査の必要が・・・」
「(大きなため息)分かりました。もういいです。勿論資料は全部目を通して、その上で質問に来ているんですよね。」
「(資料依頼は2週間前にしていたけど)ご提出頂いたのが昨日でしたので、主要なルール・ガイドラインは目を通しておりますが細則まで全てを詳細には確認できていません。ただ本日は基本のプロセス把握なので、特に問題は・・」
「えっ、こっちが出したものもろくに読まずに来てるんですか?あり得なくないですか?!」
(中々難しいヒアリングになるな・・・)
対処法①誠実さを示す
業務のプレッシャー・多忙さからくるストレス、過去に監査対応で不快な思いした経験がある、高い専門性や経験を持っており監査人を軽く見て苛立ちを感じる等何か理由があって感情的になっていることがあり得ます。
直接的でなくても相手が何に対して不快さを感じているのかを理解し、相手の言い分や主張で受け入れられるものは積極的に取り入れる姿勢を示しましょう。そのうえで必要なことは「仕事」として理解してもらうようにしましょう。
対処法②粛々と進める
対処法①を行っても解決せず直接的な原因や明確な理由が不明の場合は、粛々と「仕事」をすることにしましょう。無理に相手を理解しようとしたり、逆に監査の意義・目的を説明しようとしてもさらにハレーションが起きることもあります。
あまりに非協力的であったり常識的に逸脱した言動が繰り返される場合は、部門内で協議したうえで相手方部門の上長と相談しましょう。
最後に
内部監査のヒアリングは熟練していても、時に中々上手くいかないこともあります。元々相手は内部監査を好きで受けているわけではありません。協力して得られる見返りも乏しいと感じるでしょう。そのため通常なされる儀礼や注意がされず、監査を相手にされることもあります。
しかし、ヒアリングは短い時間で多くの情報を取集でき、また対面した相手との信頼関係構築にもつながる有用な監査手続の一つです。
効果的に実施できるように研鑽をしていきましょう。
Follow me!
投稿者プロフィール
- ネット系事業会社 内部監査室 室長
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員
