目的意識の低い内部監査では意味がない：ビジネスに差がつく防犯技術（12）（1/2 ページ）

多くの上場企業は、2009年3月期の（日本版SOX法に対応した）外部監査に向けて、内部監査を行っている段階だ。しかし、内部監査においては、はっきりとした目的意識や意義を理解したうえでないとやる意味がない。今回は、内部監査に関する問題を取り上げる。

[杉浦司，杉浦システムコンサルティング,Inc]

重要性が高まる内部監査

　日本版SOX法対応で3点セットと呼ばれる、業務フロー、業務記述書、RCM（リスクコントロールマトリクス）といった文書を整備し、統制活動の運用を開始した企業は、その仕上げして、“モニタリングとしての内部監査”を実施しなければならない。

　これに伴い、内部監査部門を新たに立ち上げる企業はもちろんのこととして、内部監査部門がすでにある企業でも、監査業務の見直しが不可欠となっている。

　法定監査である監査法人による会計監査や監査役監査と違い、経営者の下で実施される内部監査は、従来は任意のものだったが、日本版SOX法の成立を受けて不可欠な活動となった。

　一方、非上場企業であっても、会社法が株式会社に求める「損失の危険の管理に関する体制」の整備の一環として、内部監査部門の立ち上げと強化は不可欠だろう。今回は、内部監査に関する問題を取り上げる。

　なお、このたび、＠IT情報マネジメント編集部が協力しているイベント「リスク管理と情報活用セミナー〜明日から使えるTIPSやノウハウを紹介」において、私がリスク管理に関する基調講演を行わせていただくことになった。講演では、「明日から使えるリスク管理TIPS集」と題して、リスク管理に関する20のTIPSを実例を用いて分かりやすく紹介しているので、ご興味のある方はぜひ立ち寄ってほしい。

内部監査に求められる正当性と有効性

　重要性が高まる中で、内部監査に求められる業務品質が厳しくなるのは当然だろう。

　特に、正当性と有効性は重要だ。正当性では、指摘事項に間違いがあってはならないことはもちろんのこと、監査手続きも不当であってはならない。正当な監査手続きが周到に準備・実施されて、初めてその結果が受け入れられる。

　有効性では、指摘事項の意義が問題となる。「発見すべきあるいは発見した問題は、問題といえるものか」「その問題の背後にさらなる問題が隠れていないか」「重要な関連問題を見落としていないか」といった、事前事後のレビューが重要となる。

監査計画は仮説の立案

　監査を実施するに当たって策定する監査計画では、単に監査対象となる項目を決定するだけでは十分ではない。その監査項目に不正や不適合があったとすれば、どのような状況になっているのかをイメージし、どのように調査すべきかまでを考えることが必要である。

　例えば、経費稟議（りんぎ）における上司の承認が監査項目だとすれば、上司が中身も見ずに押印してしまうという状況を想定し、そうした状況がないことを確認するために、稟議書上の申請理由や却下理由などの記載内容を点検したり、承認者に承認基準について質問してみるなどの調査方法を考えつくことになる。

　以前紹介したHAZOP（Hazard and Operability Study）を使うのも有効だろう。

　発見すべき問題状況を漠然としたまま監査するのではなく、具体的な問題状況をイメージすることによって、監査方法も具体的なものとなり、有効性を増すことができるのである。

監査設計に有効なミスユースケース

　では、発見すべき問題状況を具体的なイメージにするための分析方法として、ミスユースケースを紹介したい。

　ミスユースケースは本来、UML設計技法の1つであるユースケースの応用として、正当でないユーザーを主人公として不正アクセスといった情報セキュリティ上の行動を分析するために利用されている。ミスユースケースの一般使用例を以下に示ておこう。

ミスユースケースの一般例

　この例では、中身を見ずに承認印を押してしまう上司が、統制機能を無効化している。そのぜい弱性をついて、悪意を持つ部下が虚偽の経費支払いを受ける状況が見えてくる。

　この分析から、承認印を押す上司がしっかりと審査しているかを確認することと、過去の経費稟議の記録の中に不審なものがないかを点検することが必要であることが分かる。監査対象者が不正に走ったと想定して、その好ましくない行動をミスユースケースによって分析し、その結果を基に調査すべき資料や担当者への質問事項を考えるのである。