見出し画像

【演習付き(難易度:高)】内部監査の成否:レビューの質が部門の価値を決める

TAIZO

はじめに:レビューの重要性

皆さんが所属されている内部監査部門では、監査活動の品質を保証するためのレビューが定着していますか?

これまでに、私は内部監査の品質評価に係る外部評価などの業務を通じて、さまざまな企業や組織における内部監査活動をレビューする機会がありました。その中で、多くの日本企業において見受けられる特徴的な課題の一つは以下の点です。

  • 「レビューが十分に行われていない」

  • 「レビューが行われていることが十分に記録されていない」

レビューが不十分であったり、その記録が欠如している場合には、監査結果の信頼性に直接影響を与え、最終的には組織全体のリスク管理や内部統制の有効性に悪影響を及ぼす可能性があります。

本稿においてレビューとは、内部監査を実施した監査人とは別の監査人が、監査の適切性(※)を確認し、監査結果の信頼性を担保する重要な手続きを指します。

(※)適切性:監査範囲や目的の妥当性、業界の基準等への準拠性、監査手続の正確性や完全性などを含む。

レビューは、監査品質を確保(監査リスクの低減)するだけでなく、人材育成にも不可欠です。そのため、レビューの質こそが内部監査の成否を決めるといっても過言ではありません。

本稿では、監査期間中(※)に監査人が作成した以下の監査調書(例)をもとに、内部監査マネージャーによるレビューがどのように行われるのかを、難易度の高い演習を通じて議論します。

(※レビューは、監査期間中に実施されることが想定されています。なぜなら、レビューによって、追加手続の実施が必要な場合も生じるためです。)


1. 監査調書(例)でのレビューの実践

本セクションでは、監査期間中に内部監査マネージャーが監査人の作成した監査調書をどのようにレビューするのかを具体的に検討します。
(※再発防止策(案)の作成には至っていない段階です)

(1)前提情報(抜粋)

【年度リスク評価】

【年度監査計画】

(2)監査調書(例)(※監査期間中で未完成のステータスの設定)

以下は、ABC製造株式会社の財務会計システムのアクセス権限管理に関する監査調書の概要です。

【監査計画(概要)】

  • 監査目的: 財務会計システムのアクセス権限管理が適切に設計・運用されているかを評価する

  • 監査範囲

    • 対象システム:財務会計システム

    • 対象期間:20XX年4月1日~20XX年3月31日

    • 対象部門:経理部、IT部門

  • 主要リスク

1. 不適切なアクセス権限付与によるリスク(評価:高)
2. アクセス権限の不適切な変更・削除によるリスク(評価:中)

  • 監査手続(概要):

  1. [監査要点:網羅性]「適切に承認されたアクセス権限者リスト(紙面情報)」と「システム上の権限者リスト」の照合

  2. [監査要点:適時性] 権限変更履歴と承認記録の照合(直近3ヶ月分)

  3. [監査要点:網羅性 & 適時性] アクセスログのレビュー(直近1ヶ月分)

【監査結果(概要)】

  • 手続1:  2件の不一致を発見。是正済み。

  • 手続2:  特に問題なし。

  • 手続3:  適切なアクセス権限者による休日のアクセスを3件確認。業務上の必要性を確認済み。

監査結論:
 アクセス権限管理は概ね適切に運用されているが、一部に改善の余地がある。
(※この時点では、再発防止策(案)は作成されていない設定です。)

2. 【演習】読者の皆さんへの問いかけ

この監査調書をレビューする際、どのような視点を持つべきでしょうか?

以下(1)のレビューコメント例を参考に、各自でどのような指摘をするかを考えてみてください。
(※後段の(2)には、その他のレビューコメントの例もあります。)

(1)内部監査マネージャーのレビューコメント(例)

重点レビューポイント:人事情報との照合
マネージャーのコメント: 「人事部門の異動・退職者リストとの照合は行いましたか?システム上の権限者リストと比較する必要があるのでは?」

解説:
このコメントは、監査手続の網羅性を高めるための重要な指摘です。人事部門の情報との照合を追加することで、以下の利点が得られます。

  1. 最新性: 人事異動や退職が権限管理に適切に反映されているかを確認

  2. 網羅性: 承認プロセスを経ていない不正な権限付与の検出

  3. クロスチェック: 権限管理プロセスの有効性を別の角度からも検証

追加手続の提案:

  1. 人事部門から直近3ヶ月の異動・退職者リストを入手

  2. このリストとシステム上の権限者リストを照合

  3. 不一致がある場合、その理由と影響を分析

  4. 必要に応じて、権限管理プロセスの見直しを提案

(2)その他のレビューコメント(例)

  • リストの信頼性:
    「承認されたリストの更新頻度と管理プロセスを確認しましたか?」

  • 特権アカウント:
    「特権アカウントの棚卸しと使用状況の分析は十分ですか?」

  • システム間の整合性:
    「他の関連システムとのアクセス権限の整合性は確認しましたか?」

  • 例外的な権限付与:
    「緊急時の一時的な権限付与プロセスはレビューしましたか?」

  • ユーザーインタビュー:
    「システムユーザーへのインタビューは実施しましたか?」

  • ログ管理プロセスの有効性:
    「アクセスログの保存期間や管理体制は適切ですか?特に、異常なアクセスが長期間にわたって継続していないかを確認する必要があります。」

  • 監査証跡の整合性:
    「監査証跡の確認が一貫して行われているか、手続き間で不整合が発生していないか、証跡の保管・管理プロセスについてもレビューしましたか?」

  • 継続的モニタリングの必要性:
    「内部監査においては、特にリスクが高い領域について定期的なモニタリングが必要です。アクセス権限管理に関して、今後のモニタリング体制は整備されていますか?」

  • 根本原因分析:
    「今回発見された不一致や問題について、根本原因の分析は十分に行われていますか?不適切な権限付与の要因を特定し、再発防止策を検討するためには、再発防止につながる原因まで深掘りする必要があります。」

  • 再発防止策の効果(※再発防止策が作成されている場合のコメント)
    「再発防止策は、識別された根本原因の再発を防止する程に有効な計画になっていますか?今後、権限の不適切な付与や変更に関する再発防止策が確実に実施されるよう、フォローアップの計画が作成されていますか?」

まとめ

監査調書のレビュー演習はいかがでしたか?

上記のマネージャーコメントは、監査の質を大きく向上させる可能性を秘めています。中でも、人事情報との照合という追加手続は、アクセス権限管理の実効性を評価する上で極めて重要です。

内部監査マネージャーによる深度あるレビューは、監査の信頼性を高め、組織全体のリスク管理の向上に貢献します
皆さんも、今回の具体例を参考に、現場でのレビューの質を再確認してみてはいかがでしょうか?


いいなと思ったら応援しよう!