内部監査人を効果的に撃退する5つの言葉
内部監査人を効果的に撃退するには?
想像してください。
監査の講評会、その前の仮講評会。現場の部門で日々業務目標を追いかけながら、面倒な監査対応も誠意を持って対応しているあなた。
しかし、内部監査人はこちらの考えを十分聞きもせず、重箱の隅をつつくような指摘と抽象的な改善の提案をしてきます。
好意的・建設的な感情になることは難しいでしょう。
ここまでひどくなくとも内部監査は業務知識やスキルが十分でなく、自分でも何が正しいのかわからず教科書的な指摘をしてくるものもいます。
こうしたいい加減な監査人の目を覚ますため、効果的なカウンターや指摘の方法について、今回ご紹介します
内部監査の急所となる5つの指摘
「事実誤認があります。」
監査指摘は事実に基づき行う必要があり、その大前提が崩れれば指摘も提案も成り立ちません。
監査の終盤で重要な指摘事項を支える事実関係に誤認が発覚した際報告書の構成はおろか、監査手続自体を見直す必要すらでてきます。監査人が最も恐れるセリフといっていいでしょう。
さすがに0か1かというような次元での誤認はないとしても、頻度や影響に関する誤認はよく起こります。監査報告の詳細に誤りがないかをよく確認して反論しましょう。
「補完的な統制で対応しています。」
例えば「本番環境のプログラムリリース承認をしていない」という指摘がされた場合、本来ワークフローやメール経由で承認する手続であったとしても会議や口頭での現場確認で承認しているケースはそのように主張しましょう。
承認の形式でなく実態があったとすれば監査人の指摘は意味を急速に失います。
また仮に承認といえる行動が事前に行えなかったとしても、リリース後の結果確認で事後的に承認しているなど何らかの取り組みを述べることで、監査の主張を大きく軽減することができます。
「リスクアプローチで対応しています。」
明確な統制活動といえるものがなかったとしても、それをしないことに合理的な理由があることを主張することができます。
〇〇をしていない、という指摘をされた場合、そのしていない箇所のリスクが僅少であること、逆にリスクの高い箇所には手厚い統制活動をしていることを述べることで合理的な活動をしているとを主張することができます。
「費用対効果にあいません。」
監査指摘に一定の合理性があっても、内部統制はその効果が負担を上回ることが必要です。
低減できるリスク度合いより費用や工数が大きい場合は、改善のコスパが悪い≒現在の対応が最適解である、という主張をすることで改善提案の必要性を希薄化させることができます。
「他社(他部門)でも同じレベルの管理をしていますか。」
監査指摘に合理性があり、改善の費用対効果が許容可能であっても、そのレベルまでの対応が一般に必要かという点から反論ができます。
誰もしていないならば、それは「やりすぎ」ではないか、という理屈です。
もし当社に限って行うべき、という監査側の主張があるなら、その具体的な理由を確認しましょう。
最後に
監査人と敵対しようということでなく、建設的な関係を築くためには、監査意見の妥当性について被監査部門としても適切に質問・主張することはとても重要と思います。
面倒に思いとりあえずやり過ごすこともできるかもしれませんが、内部監査も会社の資源を活用して行う「投資」と考えれば監査側・被監査側相互に、建設的な意見形成に協力し合うことが理想ではないでしょうか。
そのための適切なチェック・ジャッジポイントとなる質問例が今回ご紹介したものになります。是非活用してみてください。
投稿者プロフィール
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員