a組織体の不正リスク・マネジメントのプロセスを評価する
b組織体レベル及びプロセス・レベルでのレッドフラッグを検出し、評価する
c個々の内部監査業務中に識別した危険信号を報告する内部監査人の役割を認識する
関連するGIAS 基準11.1、基準13.2、基準14.2
内部監査人は、組織体における不正の可能性(fraud risk)を常に意識し、不正リスクが適切に識別・評価・管理されているかを評価する責任を負っています。不正は財務的損失だけでなく、信用失墜やガバナンスの崩壊につながるため、内部監査における重要テーマです。
a. 組織体の不正リスク・マネジメントのプロセスを評価する
① 不正リスク・マネジメントとは
不正リスク・マネジメントとは、
不正の発生を予防・発見・対応するための一連のプロセスであり、通常以下を含みます。
- 不正リスクの識別(どのような不正が起こり得るか)
- 不正リスクの評価(発生可能性・影響度)
- 統制や対応策の設計・運用
- 発生時の対応・是正
- 継続的な見直し
② 内部監査人の評価視点
内部監査人は、不正リスク・マネジメントについて次の点を評価します。
- 経営者が不正リスクを正式に認識しているか
- 不正リスク評価が定期的に実施・更新されているか
- 内部統制や倫理規程、通報制度などが実効的に機能しているか
- 第2ライン(リスク管理・コンプライアンス部門)との役割分担が明確か
👉 ポイント
内部監査は「不正を防ぐ主体」ではないが、
不正リスク管理が十分かを評価する独立した立場にある。
b. 組織体レベル及びプロセス・レベルでのレッドフラッグを検出し、評価する
① レッドフラッグ(Red Flags)とは
レッドフラッグとは、
不正の可能性を示す警告サイン(危険信号)のことです。
② 組織体レベルのレッドフラッグ(例)
- トップの倫理意識が弱い(トーン・アット・ザ・トップの欠如)
- 業績目標が過度に厳しい
- 内部通報制度が形骸化している
- 重要ポストに長期間同一人物が在任している
③ プロセス・レベルのレッドフラッグ(例)
- 権限集中や職務分掌の欠如
- 例外処理や手修正が頻発
- 証憑が不十分、説明が曖昧
- 特定の担当者だけが業務内容を把握している
④ 内部監査人の対応
内部監査人は、レッドフラッグを
- 検出する
- 重要性・影響を評価する
- 必要に応じて監査手続を拡張・変更する
ことが求められます。
c. 個々の内部監査業務中に識別した危険信号を報告する内部監査人の役割を認識する
① 危険信号を見逃さない姿勢
内部監査人は、通常の監査目的とは別に、
不正の兆候に対する職業的懐疑心を持ち続けなければなりません。
② 報告の重要性
監査業務中に識別した危険信号は、
- 軽微であっても
- 不正が確定していなくても
適切なレベルの経営者や取締役会に報告することが重要です。
③ 報告時の留意点
- 事実と推測を区別する
- 客観的な証拠に基づく
- 内部監査部門の独立性を維持する
- 必要に応じて専門部署(法務・コンプライアンス等)と連携する
👉 ポイント
内部監査人の役割は
「不正を断定すること」ではなく、
不正の可能性を適切に伝え、組織体の対応を促すことである。
試験対策まとめ(CIA向け)
不正リスク・マネジメントは経営責任、内部監査は評価者
レッドフラッグは組織体レベル/プロセスレベルで整理
不正の兆候は小さくても報告対象
職業的懐疑心と独立性がキーワード
コメント