aトップの姿勢が不正の発生可能性に与える影響を認識する
b職務分掌の適切な適用を認識する
c権限レベルによってどのように不正が予防されるかを認識する
d内部通報ホットライン、照合、監督者によるレビューなど、不正を発見するための一般的なコントロールを認識する
不正リスクを低減するためには、不正を起こさせない仕組み(予防)と、
不正を早期に見つける仕組み(発見)の両方が重要である。
内部監査人は、これらのコントロールが適切に設計・運用されているかを評価する。
a. トップの姿勢が不正の発生可能性に与える影響を認識する
① トーン・アット・ザ・トップ(Tone at the Top)
トップの姿勢(経営者・取締役会の倫理観や行動)は、
組織体全体の不正リスクに最も大きな影響を与える。
② 良いトップの姿勢の例
- 倫理・コンプライアンスを重視する明確なメッセージ
- 不正に対する「ゼロトレランス(不寛容)」の姿勢
- 不正発覚時の迅速かつ公正な対応
- 自らが規程・ルールを順守している
③ 悪いトップの姿勢の例
- 業績至上主義で手段を問わない発言
- ルール違反を黙認・例外扱い
- 不正に関する問題を軽視する態度
👉 ポイント
トップの姿勢は文書よりも日常の言動・意思決定に表れる。
b. 職務分掌の適切な適用を認識する
① 職務分掌(Segregation of Duties)の目的
職務分掌とは、
不正や誤謬を防ぐために業務を分離することである。
② 基本となる3つ(または4つ)の職務
- 承認(Authorization)
- 実行(Execution)
- 記録(Recording)
- 資産の保管(Custody)
これらを同一人物に集中させないことが重要である。
③ 職務分掌が不十分な場合の対応
- 上位者によるレビューの強化
- 例外取引の事後確認
- IT統制による補完
👉 ポイント
人員制約がある場合でも、代替統制の有無が評価される。
c. 権限レベルによってどのように不正が予防されるかを認識する
① 権限管理の役割
権限レベルとは、
「誰が・どこまで・何を承認できるか」を定めた仕組みである。
② 権限レベルによる不正予防の仕組み
- 金額や重要度に応じた承認階層
- 高額・例外取引の上位承認
- ITシステムによるアクセス制御
③ 内部監査人の評価視点
- 権限規程が明文化されているか
- 実際の運用と乖離していないか
- 権限の集中・形骸化が起きていないか
👉 ポイント
権限管理は職務分掌とセットで機能する。
d. 不正を発見するための一般的なコントロールを認識する
① 内部通報ホットライン
- 従業員や第三者が匿名で不正を通報できる仕組み
- 不正発見において最も有効な手段の一つ
- 報復防止の仕組みが重要
② 照合(Reconciliation)
- 帳簿と実在資産、システム間データの突合
- 例:銀行勘定調整、在庫実査との差異確認
③ 監督者によるレビュー
- 上位者が取引内容や業務結果を確認
- 異常値、例外取引への着目が重要
④ その他の発見的コントロール
- 内部監査
- データ分析(異常検知)
- 定期的な報告・モニタリング
👉 ポイント
発見的コントロールは
不正の早期発見と被害拡大防止に寄与する。
試験対策まとめ(CIA向け)
- トップの姿勢=最重要の予防的コントロール
- 職務分掌は不正予防の基本
- 権限管理は不正の抑止力
- 内部通報は発見手段として非常に重要
- 内部監査は「発見する立場」ではなく
コントロールの有効性を評価する立場
コメント