内部監査部門長は、内部監査部門が組織体に付加することを確実にするために、内部監査部門を管理する責任がある。以下の「実施基準」2000はその管理責任についての総論を示すものである。また、2010では「計画の策定」、2020では「伝達と承認」、2030では「監査資源の管理」、2040では「方針と手続き」、2050では「連携と依拠」、2060では「最高経営者および取締役会への報告」、2070では「外部のサービス・プロバイダと、内部監査についての組織体の責任」について各基準について定められている。
内部監査部門長は、内部監査部門が確実に組織体に価値を付加できるようにするために、内部監査部門を有効に管理しなければならない。
解釈指針:内部監査部門の管理
内部監査部門は、以下が満たされている場合には、有効に管理されているといえる。
- 内部監査部門が、内部監査基本規程に定められている目的と責任を達成していること
- 内部監査部門が、「基準」に適合していること
- 内部監査部門に所属する個人が、「倫理綱要」や「基準」に適合していること
- 内部監査部門が、組織体に影響を与える可能性のあるトレンドや新しい課題に注意を払っていること
内部監査部門が、組織体の戦略、目標およびリスクに注意を払い、ガバナンス、リスク・マネジメントおよびコントロールの各プロセスを向上させる方法を提案する努力をし、さらに客観的かつ適切なアシュアランスを提供している場合には、内部監査部門は、組織体およびその組織体の利害関係者に価値を付加しているといえる。
プラクティスガイド「CAE-その任命、実績評価及び役割の終了」によれば、経営幹部及びとりしまりやくかいは一般的に、内部監査部門長任命に際しその候補者が高度な経営スキル及びリーダーシップスキルを有していることを重視するとしている。また、当然ながら内部監査の役割と責任、及びIPPF等を深く理解していることが要求される。
上記の「規準」は、内部監査部門の管理に関連する総論的な内容を説明しているに過ぎない。2000番代では、「規準」の内容にかかる具体的な実施基準を定めている。
実施基準2010:「計画の策定」
内部監査部門長は限られた監査資源をリスクの高い領域に集中し、監査計画を策定しなければならない。内部監査計画においては、定期的にレビューされ更新されているリスクの高い領域のリスクとを基に、監査資源を優先して配分する。
内部監査部門長は、組織体のゴールと調和するように内部監査部門の業務の優先順位を決定するために、リスク・ベースの監査計画を策定しなければならない。
個々のアシュアランス業務について、内部監査部門の計画は、少なくとも年に1 度実施される文書化されたリスク評価に基づかなければならない。この計画策定プロセスでは、 最高経営者および取締役会からの意見を考慮しなければならない。
内部監査部門長は、 内部監査の意見およびその他の結論に向けた、最高経営者、 取締役会およびその他の利害関係者の期待を、意識し考慮しなければならない。
解釈指針:計画の策定
リスク・ベースの監査計画を策定するために、内部監査部門長は以下の項目を実施しなければならない。
- 最高経営者および取締役会と協議し、組織体の、戦略、主要な経営目標、それらに関連するリスク、およびリスク・マネジメントのプロセスを理解すること。
- 内部監査部門長は、組織体のビジネス、リスク、業務、プログラム、システムおよびコントロール手段における変化に即応して、必要に応じ、監査計画をレビューし、調整すること。
実施基準2020:「伝達と承認」
内部監査部門を統括する内部監査部門長は、職務上、取締役会の監督下にあり、部門運営上はCEOの監督下にあることが望ましい。内部監査部門長は、内部監査部門の計画及び、必要な監査資源について、取締役、または経営幹部に報告をする。
内部監査部門長は、重大な中途の変更を含め、内部監査部門の計画および必要な監査資源について、最高経営者および取締役会に伝達し、レビューと承認を受けなければならない。内部監査部門長は、監査資源の制約による影響についても伝達しなければならない。
内部監査部門長は、年に一度、内部監査の計画、実施スケジュール、人員計画及び予算の要点を経営幹部及び取締役会に対し内部監査の業務の範囲と範囲に制約があれば制約を(計画段階で予め)説明するものである。また、内部監査部門長は期中のすべての重要な変更を(経営幹部及び取締役会に)承認と説明の為に提示する。
承認された内部監査(アシュアランスおよびコンサルティング)の個々の業務の実施時期、人員計画、予算及び期中の重要な変更には、経営幹部と取締役会が、次の2点を確認できる十分な情報を含むべきである。すなわち、内部監査部門の目標と計画が組織体と取締役会の目標と計画を支援するものであること、およびそれらが内部監査部門の基本規定と整合していることである。
<伝達と承認のまとめ>
内部監査部門長が伝達・説明し、承認を得なければならないこと(経営幹部及び取締役会から)
- 内部監査計画
- 実施スケジュール
- 人員計画
- 予算
- 期中のすべての重要な変更
経営幹部および取締役会が承認・確認しなければならないこと(内部監査部門長から)
- 上記1から5について承認すること
- 内部監査業務の範囲やその範囲の制約を把握すること
- 内部監査部門の目標や計画が、組織体と取締役会の目標と計画を支援するものであること
- 内部監査部門の目標や計画が、内部監査部門の基本規定と整合していること
実施基準2030:「監査資源の管理」
「属性規準」1210(熟達した専門的能力)にあるように、各内部監査人は熟達した専門的能力を備えていなければならない。ただし、内部監査部門の構成員がすべての分野の技能を有している必要はない。内部監査部門長は監査計画に基づいて、必要な人員、予算を確保しなければならない。
内部監査部門長は、内部監査の資源が、承認された計画を達成するのに、適切かつ十分であり、有効に配備されていることを確実にしなければならない。
解釈指針:監査資源の管理
- 「適切」は、計画を遂行するのに必要な「知識、技能およびその他の能力」の組み合わせについていっている。
- 「十分」は、計画の達成に必要な資源の量についていっている。
- 監査資源が、「有効に配備されている」とする時は承認された計画を最大限に達成する方法で使用していることについていっている。
(A)内部監査部門長は監査資源の確保と管理に第一義的な責任を負う
内部監査部門長は、内部監査基本規定に詳述された内部監査の責任を確実に果たさなければならない。
- この責任には、経営幹部及び取締役会に対し、わかりやすく必要とされる監査資源の情報を伝達し、状況を報告することが含まれている。
- 内部監査にお資源には、以下のようなものが含まれる
- 従業員
- 外部のサービス・プロバイダ
- 財務支援
- テクノロジー・ベースの監査技法
- 妥当な内部監査資源を確保する最終責任は、組織体の経営幹部及び取締役会にある。内部監査部門長は、経営幹部と取締役会がその責任を遂行することを補佐すべきである。
(B)期待される内部監査人の技能・能力・知識とは
内部監査人の技能、能力、技術知識は計画された活動にふさわしいものでなけばならない。
- 内部監査部門長は、内部監査の活動を遂行するために必要とされる特定の技能を判断する為に、定期的な内部監査人の技能の評価および保有する能力の調査を実施する。
- 技能の評価は、リスク・アセスメントと監査計画で識別された様々なニーズに基づくと共にそれらを考慮する必要がある。具体的には以下のような技能について評価を行う。
- 専門知識
- 語学力
- ビジネスの鋭い見識
- 不正の発見と防止の能力
- 会計と監査の専門性
実施基準2040:「方針と手続き」
内部監査部門の方針、手続きの形式及び内容は内部監査部門の規模等によってさまざまである。
内部監査部門長は、内部監査部門の手引きとなるような方針と手続を策定しなければならない。
解釈指針:方針と手続き
方針と手続の形式と内容は、内部監査部門の規模、構造および業務(work)の複雑さによって異なる。
内部監査部門長は方針と手続きを策定しなければならない。公式な監査に関する管理及び、技術のマニュアルは、すべての内部監査部門にある必要はない。
大規模な内部監査分門
大規模な内部監査部門の場合は、内部監査計画の実行において内部監査人の業務を導く、より公式且つ包括的な方針と手続きが不可欠となる。
小規模な内部監査部門
小規模な内部監査部門は、形式に拘らず管理できるかもしれない。そういった小規模な内部監査部門の内部監査人は日々の密接な監督、従うべき方針と手続きを規定した職員間の回報を用いることで、指揮、管理できるかもしれない。
実施基準2050:「連携と依拠」(業務の調整)
内部監査部門長の重要な責任の一つに内部監査業務と外部監査業務の調整がある。業務の調整とはすなわち、内部監査業務と外部監査業務が重複していないことを確認し、内部監査業務の効率性を高めることである。 内部監査部門長は外部監査人と、監査範囲、監査調書の相互閲覧等について定期的にミーティングを開催する。
内部監査部門長は、適切な内部監査の業務範囲を確保し、業務の重複を最小限にするために、内部監査部門以外のアシュアランス業務やコンサルティング業務を提供する組織体内部および外部の者と、情報を共有し、活動について連携し、これらの者の仕事に依拠することを検討すべきである。
解釈指針:「連携と依拠」(業務の調整)
内部監査部門長は以下についての責任を有する。
- 活動について連携した場合には、内部監査部門以外のアシュアランス業務やコンサルティング業務の提供者の仕事に依拠することがあってもよい。依拠する根拠を形成するための一貫したプロセスが構築すること
- アシュアランス業務やコンサルティング業務の提供者の能力、客観性および専門職としての正当な注意について検討すること
- 内部監査部門以外のアシュアランス業務やコンサルティング業務の提供者によってなされた仕事の範囲、目標および結果について明確に理解すること
- 他の者の仕事に依拠する場合であっても、内部監査部門長は、内部監査部門として出す結論や意見に十分な根拠を確保することについて責任がある。
(1)外部監査業務と内部監査業務の調整
外部監査人の業務の監視は取締役会の責任であり、これには、外部監査人と内部監査部門との調整も含まれる。内部監査と外部監査との間の業務調整は、内部監査部門長の責任である。内部監査部門長は監査業務を有効に調整する為に取締役会の支援を得る。
(2)外部監査との連携
組織体は、外部監査人の業務結果を用いて、内部監査の範囲内の業務に関連するアシュアランスを提供することがある。これらの場合、内部監査部門長は外部監査人が実施した業務を理解するために必要な以下を含む一連の処置をとる。
- 外部監査人が計画した彼らの業務を充足する為の、業務の内容、範囲及び時期がm内部監査人が計画した業務に関連して、「規準」2100の要件を満足していること。
- 外部監査人外部監査人によるリスクと重要性の評価
- 外部監査人の監査技法、監査方法及び専門用語。内部監査部門長がこれらに基づき次のことが実施できるか。
- 内部監査業務と外部監査業務を調整する
- 「依拠できるか」の観点から外部監査人の業務を評価する
- 外部監査人と有効に情報伝達する
- 外部監査人の監査プログラムや監査調書の閲覧。外部監査人の業務が、内部監査の目的の観点から依拠できるか納得するため。
内部監査人は、これらのプログラムや調査調書の機密性を尊重する責任を負う。
(3)外部監査人の内部監査人の業務利用について
外部監査人は、業務の遂行において、内部監査部門の業務結果を利用するかもしれない。この場合、外部監査人が業務結果を利用しやすくする為に、内部監査部門長は内部監査人が実施した、業務に関する監査技法、監査方法及び専門用語を外部監査人が理解できるよう十分な情報を提供する必要がある。外部監査の目的の観点から、外部監査人が内部監査人の業務の結果の利用について納得がいくように、外部監査人が内部監査人のプログラムや監査調書を閲覧できるようにする。
内部監査人と外部監査人が同様の監査技法、監査方法、及び専門用語を使用して、双方の業務を効率的に調整し、互いの業務に依拠できるようにすることが効率的な場合がある。
実施基準2060:「最高経営者および取締役会への報告」
内部監査部門長は活動報告書を定期的に経営幹部および取締役会に報告しなければならない。活動報告書には、重大な発見事項、改善提案、および監査実施計画との重要な逸脱が含まれる。
解釈指針:最高経営者および取締役会への報告
報告の頻度と内容は、内部監査部門長、最高経営者および取締役会が協議して決定し、伝達しようとする情報の重要性と、最高経営者および取締役会、またはそのいずれかがとるべき関連する措置の緊急性によって異なる。内部監査部門長による最高経営者および取締役会への報告および伝達は、以下の事項に関する情報を含まなければならない。
- 内部監査基本規程
- 内部監査部門の独立性
- 監査計画およびその進捗状況
- 必要とされる監査資源
- 監査活動の結果
- 「倫理綱要」や「基準」への適合性、および適合性に係る重大な課題へ対処するための改善措置の計画
- 内部監査部門長の見解では組織体にとって受容しがたいと考えられるリスクに対する、経営管理者の対応
上記以外にも、伝達に関する内部監査部門長への要求事項は、「基準」の至る所で言及されている。
取締役会への報告の目的
報告の目的は、ガバナンス・プロセス(「基準」2110)、リスク・マネジメント(「基準」2120.)およびコントロール(「規準」2130)に関して、経営幹部及び取締役会に対し、アシュアランスを提供することである。「基準」1111は、内部監査部門長は取締役会に対し直接伝達し、直接の意思疎通を図らなければならないとしている。
取締役会への報告の頻度
内部監査部門長は、内部監査基本規定(目的、権限及び責任等)および業務遂行に関する報告の頻度と内容について、取締役会と合意すべきである。
業務遂行の報告では、経営幹部及び取締役会に対し、直近で承認された計画を基に、承認された内部監査計画、人員計画および予算からの重大な乖離とそれらの理由、取られた措置について報告すべきである。「基準」1320では「内部監査部門長は品質のアシュアランスと改善のプログラムの結果を、経営幹部及び取締役会に伝達しなければならない」と規定している。
重大なリスクとコントロール上の課題とは
重大なリスクとコントロール上の課題とは、内部監査部門長が組織体や、その戦略・財務報告・業務・コンプライアンスの目標を達成する能力に、不利な影響を与えるかもしれないと、判断したものを指している。重大な課題とは、内外のリスクに対し、受容できないエクスポージャーをもたらすかもしれない、以下のようなものが含まれる。
- コントロールの脆弱性に関する状況
- 不正
- 手続違反
- 違法行為
- 誤謬(エラー)
- 非効率
- 浪費
- 非有効性
- 利益相反
- 財務上の持続可能性に関連する状況
実施基準2070:「外部のサービス・プロバイダと、内部監査についての組織体の責任」(アウトソーシング)
内部監査部門の監査資源の調達に際しては、アウト・ソーシング、コ・ソーシングの活用等に代表される手段、及び組織体における取締役、経営者、及び内部監査部門の役割等、様々な点について考慮することが必要である。
以下の「基準」2070では、外部のサービス・プロバイダが内部監査部門としての役目を果たす場合について留意事項を規定している。
外部のサービス・プロバイダが内部監査部門としての役目を果たす場合には、プロバイダは、組織体に対し、効果的な内部監査部門を維持する責任が組織体にあることを認識させなければならない。
解釈指針:「外部のサービス・プロバイダと、内部監査についての組織体の責任」(アウトソーシング)
組織体が効果的な内部監査部門を維持する責任を果たしていることは、「倫理綱要」および「基準」への適合性を評価する品質のアシュアランスと改善のプログラムを通じて示される。
コメント