内部監査のステップバイステップ手順とは？全てを理解する

内部監査のステップバイステップ手順

• こんにちは、チームの皆さん。今日はコーヒーウィズプレップというセッションで、内部監査とは何か、そしてどのように内部監査を段階的に実施するかについて話します。

• このビデオを見れば、内部監査の面接に合格できるようになり、内部監査とは何かについてよりよく理解できるでしょう。

• このチャンネルを初めてご覧の方は、ぜひ私のYouTubeチャンネルを購読して、ベルアイコンをクリックしてください。そうすることで、私のビデオを見逃さないようにできます。

• まずはじめに内部監査とは何か、という点について。内部監査は、独立した客観的な保証およびコンサルティング活動であり、組織の運営に価値を付加し、改善することを目的としています。

• 具体的な例を挙げると、すべての組織には第一次防衛、第二次防衛、第三次防衛という3つの防衛層があります。内部監査は組織の第三次防衛であり、取締役会に直接報告を行います。

• 彼らは組織の目と耳であり、変更管理、データセンター、IT情報セキュリティなどのすべてのプロセスを監査します。しかし、これらのプロセスの監査は単に認証のチェックだけではありません。

• 彼らの監査目的は、ギャップの特定、リスクの特定、そして取締役会に積極的に通知することです。これが彼らが組織の目と耳と呼ばれる所以です。

• 内部監査の目的について詳しく述べると、彼らは運用の効果と効率を確認し、財務および経営報告の信頼性を確保し、企業が法律および規制に遵守していることを確認し、資産の保護にも責任を負っています。

• しかし、私たちにはCSOや情報セキュリティ、保証チームなどがあります。はい、これらの人々も彼らの部署を監査し、彼らがビジネス目標に従って働いているか、ステークホルダーの利益に合致しているかをチェックします。

• 彼らはいわば教師のような存在です。彼らは組織内で起こっているすべてのことをチェックし、ビジネスからITまで、運用からデリバリーまで、取締役会の視点に従ってすべてがうまくいっているかを確認します。

• それでは、まずは内部監査の最初の部分について始めましょう。そして、内部監査の最初のステップは？

内部監査のステップバイステップ手順

内部監査のアナウンスメントレターの作成

• 内部監査のプロセスでは、まず最初にアナウンスメントレターを送る必要があります。

• このアナウンスメントレターには、監査のスコープや日時、監査に参加する監査担当者の名前などが含まれます。

• アナウンスメントレターは、監査監督者または監査担当者自身から変更管理チームの責任者に送られます。

• アナウンスメントレターを受け取ったら、変更管理チームはその受領を確認し、監査の開始に同意することになります。

内部監査のアナウンスメントレターの作成

内部監査計画メモと事前リスク管理

• 私たちの会社では、内部文書として監査計画メモ（APM）と呼ばれる文書を用意します。

• このAPMは、変更管理プロセス全体を理解した後に作成されます。

• 変更管理プロセスに関連する可能なリスクのリストを文書化し、リスクに対応する管理方法を記載します。

• また、変更管理プロセスと監査手順についても説明します。

• APMは内部向けの文書であり、委員会が私たちの仕事を監査する際に使用されます。

• 次に、APMから特定したリスクとその管理方法、監査手順を記載した事前リスク管理（pre-RCM）を準備します。

• さらに、このpre-RCMを基にフィールドワークを開始します。

• フィールドワークでは、SOPに基づいて調査を行い、RFCのサンプリングを行います。

• RFCのサンプリングでは、数量的もしくは統計的サンプリング、判断に基づくサンプリングなどを用いて、意見をまとめます。

• フィールドワークを通じて、実際の仕事に関連する潜在的なリスクを特定し、文書化します。

内部監査計画メモと事前リスク管理

監査実施中の主な手順とポイント

• RFCのみをチェックするのではなく、所定の手順書（SOP）にはっきりと記載されています。

• クローズ後には、リカバリープランなどを求めるRFCをチェックします。

• SOPの確認も行います。これには、SOP監査の際に関係者による署名が含まれます。

• 監査でSOPに署名がないことがわかりました。これはガバナンスの不足と呼ばれるリスクです。

• 組織を去った6人以上の新しいメンバーが加わったことがわかりました。それに伴い、アクセスの取り消しをチェックします。

• 変更管理プロセス全体のガバナンスに関して、すべてを監査します。変更管理ツールでSODが遵守されているかどうかもチェックします。

• 重要な問題が発見された場合は、即座に監査対象者に通知し、同時に報告書に記録します。

• サンプリングで何も結論を導き出せない場合、サンプルサイズを拡大し、さらにサンプルを収集します。

• RFCが4日目や5日目まで解決されないことが発見された場合、例外やビジネス承認の有無を確認し、それに基づいて結論を出します。

• 監査のフィールドワークが終了したら、証拠を収集し、同僚と共に総括や調査の周辺で証拠をレビューします。

• 総括リスクマトリックス（RCM）を作成し、可能なリスク、監査ステップ、および特定のコントロールの効果について記述します。

• RCMからは、監査報告書の下書きを作成します。この段階では、監査結果、結論、および推奨事項をまとめます。

• 初版の監査報告書では、リスクを定性的および定量的な形式で文書化し、推奨事項とアクションプランを提供します。

• 内部監査の責任者やマネージャーに報告書を共有し、議論した後、監査対象者に承認を求めます。

監査実施中の主な手順とポイント

監査活動における主要なステップ

• ほとんどの戦いはこのエリアで起こります。これは調査結果を納得させるための転換点です。なぜなら、推奨事項などをすべて取得する必要があるからです。

• 我々は議論を行い、彼らが抱える問題を理解し、ディベートを行います。特定の時点で、彼らがこれについての証拠を求めた場合、私たちは証拠を提供します。

• 証拠を提供することで、物事を正当化できます。これが、われわれの業務文書と呼ばれるものです。証拠は業務文書とされます。業務文書は監査業務にとって重要なツールです。それらは我々の監査意見を裏付けます。

• 彼らが合意したら、これが私たちのアクションプランであることを一度確認する必要があります。その後、アクションプランのタイムラインを尋ねる必要があります。

• 監査が完了したら、2月に私は監査をフォローアップし、その調査結果がクローズされたかどうかを確認します。

• 内部監査は監査に関するだけでなく、行政の業務も行います。行った監査のフォローアップを行い、適切な証拠で調査結果がクローズされたことを確認する必要があります。これが、監査の進行方法です。

• このセッション全体の要約として、最初に行うべき文書は、内部監査によって発行される監査告知書です。次に行うべき重要なことは、キックオフ・ミーティングです。ここで、監査範囲についての重要事項について議論し、監査者のリストや監査日時なども確認します。

• 次に行うべきことは、事前監査計画ミーティングです。ここでは、監査計画に関するメモのチェックリストを準備し、規制やSOPなどの文書を収集して徹底的にレビューします。

• それから、内部へ向けた監査計画書（APM）を準備します。これには、範囲、プロセスの記載、可能性のリスク、監査担当者の名前などが含まれます。

• 次に行うべきことは、リスク管理マトリックスの準備です。リスク管理マトリックスは、可能性のリスク、可能性のコントロール、およびそのアセスメントの実施に取るべき監査手順について説明します。

• そして、フィールドワークを開始します。ここで会議を行い、可能性の特定に基づいて理解し、結論を出します。何か重要なものを発見したら通知し、それからドラフトレポートを準備します。

• ドラフトレポートについては、私のマネジメントと話し合い、最初のレポートのバージョンを共有します。彼らの意見やアクションプランを理解し、それに基づいて推奨事項も行います。

• 監査が完了したら、その調査結果のフォローアップを行わなければなりません。フォローアップでは、特定の調査結果のクローズが行われたかどうかを確認する必要があります。

• 監査業務における主要なポイントは、内部監査によって発行される最終報告書を、私たちのチームと、監査対象のチーム、ディレクター、取締役会などに提出することです。

• 月次会議で行われる週次会議では、このような調査結果やプロセスについて共有します。

• 内部監査の役割は非常に重要です。組織内で何が起こっているかが、法的要件や規制要件に適合しているかを確認することが、我々の目標です。

監査活動における主要なステップ

Conclusion:

内部監査は組織の運営に価値を付加し、改善することを目的としています。内部監査の段階的な実施手順を把握することで、適切な監査が行われることを理解し、組織の発展に貢献できます。

Q & A