a. IIAの3ラインモデルを説明する
b.内部監査部門の独立性が侵害される可能性のある第1ライン及び第2ラインの責任を識別する
c.内部監査人が第1ライン又は第2ラインの責務を遂行する、又は遂行すると見なされる場合に実施すべき防御措置について説明する
組織体のリスク・マネジメントは、価値創造と価値保全の両立を目的とした重要な経営プロセスです。内部監査部門は、リスク・マネジメント・プロセスの有効性に対して独立したアシュアランスを提供する役割を担います。その役割を整理する枠組みとして、IIAが提唱する3ラインモデルが広く用いられています。
a. IIAの3ラインモデルを説明する
- IIAの3ラインモデルは、組織体のリスク管理とガバナンスにおける責任の所在を明確にするための概念モデルです
第1ライン:業務部門(リスクの保有者)
- 日常業務の遂行を通じて、リスクを直接管理します
- 内部統制を設計・実行し、問題があれば是正します
第2ライン:リスク管理・コンプライアンス等の支援機能
- リスク管理方針の策定、モニタリング、助言を行います
- 第1ラインの活動を支援し、一定の監視機能を果たします
第3ライン:内部監査部門
- 第1ライン及び第2ラインから独立した立場で、
ガバナンス、リスク・マネジメント、内部統制の有効性を評価します - 取締役会及び経営者に対し、独立したアシュアランスを提供します
b. 内部監査部門の独立性が侵害される可能性のある第1ライン及び第2ラインの責任を識別する
- 内部監査部門が第1ラインの責任を担う場合、独立性が侵害される可能性があります
- 例:業務プロセスの運用、内部統制の実行責任を負うこと
- 第2ラインの責任を担う場合も、同様に独立性への脅威となります
- 例:全社的リスク評価の主導、リスク対応策の決定、コンプライアンス判断
- 内部監査部門は、**リスクの「管理者」ではなく「評価者」**であることが重要です
c. 内部監査人が第1ライン又は第2ラインの責務を遂行する、又は遂行すると見なされる場合に実施すべき防御措置について説明する
- やむを得ず内部監査人が第1ライン又は第2ラインに関与する場合、独立性と客観性を守るための防御措置が必要です
主な防御措置
- 当該業務について、後続の内部監査業務には関与させない
- 他の内部監査人又は外部専門家による独立したレビューを実施する
- 関与の内容と範囲を文書化し、取締役会に開示する
- 内部監査基本規程において、許容される関与範囲を明確に定める
試験対策ポイント(CIA)
- 3ラインモデルでは、内部監査は常に第3ライン
- 「助言」は可能だが、「意思決定」「運用責任」は不可
- 第1・第2ライン業務への関与は、独立性侵害リスク+防御措置のセットで理解する
コメント