前回から引き続き、個別内部監査のプロセスについて、特にAMLの内部監査を念頭に、実査から報告書の発行・フォローアップまでをご紹介します。検証手続きはリスクの動きが速いか遅いかに関わらず比較的共通のものだと考えますが、内部監査の報告に関するプロセスは少し異なる点もあるのではないかと考えます。このあたり自社の内部監査プロセスと比較していただければと思います。
検証の切り口
基本的には、規程・マニュアル等のレビュー、インタビュー、データ分析等を行い、期待水準を踏まえた基準(ガイドライン)と現状の態勢との「ギャップ分析」を検証の基本としていますが、評価の観点として以下のフレームワークも切り口に使用しています。
3 Lines Model
(設計当時は「Three Lines of Defense Model」でしたが、改訂の中で、リスク管理を主としていた目的が拡張され、各Lineの目的は再定義されています。詳細は、「最新の3線モデル(スリーラインズ・モデル)」を参照願います。)
弊社は「3 Lines Model」に基づき態勢を整備しているため、検証に際しても「3 Lines Model」に基づき、1st Lineと2nd Lineを一連としてとらえつつも機能レベルでは区分し評価しています。内部監査のプログラム上も1st Lineに期待される機能と2nd Lineに期待される機能は異なるため様式上も区分を設けています。
つまり3 Lines Modelに基づくと、AMLガイドライン上、例えば、主語等の明示なく「~を検
証すること」とされているような項目は、1st Lineとしての「自己点検」、2nd Lineとしての「モニタリング/テスティング」の双方を検証対象とする必要があると考えています。
また、1st Lineとされている部門でも2nd Lineの機能を担っている場合もあり、2nd Lineを担う部門が1st Lineの業務を行っている場合もあります。3 Lines Modelは「機能」を基に各Lineを定義していますので、上記のような状況を認めた場合には、そもそも、その部門がその機能を担ってよいのか、十分に牽制が利くのか等の検討を行う必要があると考えます。
なお、機能を評価するために、リソース配分状況や規程等の整備(体制)に止まらず、運用状況の評価も必要となるため、区分し評価しています。
COSO
業務・報告・コンプライアンスの目的を達成するため、それぞれ5つの構成要素を整備するもので、特に課題が認められた場合にはどの構成要素が不足していたのか、構成要素が不足していない場合には目的の設定に課題があったのではないかと検証を行っています。
サンプリング
AMLガイドラインでは「検知基準の有効性等を含む IT システムの運用状況」とあるとおり「運用状況」についての検証が求められています。そのため主たる業務における統制ではサンプリングを行い、結果の分析を通じて統制の機能状況について有効性を検証します。
なお、内部監査では結局、何件の検証を行えば正しい結論を得ることができるのかという問題があると考えています。弊社ではサンプリングに係るマニュアルを整備中で、原則一定の特徴をもって切り出した母集団に対して評価ラベルに応じた信頼水準と許容逸脱率を選択することで必要なサンプリング件数を算出できるようにと考えています。試行中ではありますが、サンプリングの件数もリスクベースで設計し効率的な検証手続きとしたいと考えています。
結果の伝達と内部監査報告書の発行
リスクの動きが速いこともあり、報告書のとりまとめに時間を要していると、課題に対処する前にリスクが顕在化してしまい遅きに失する可能性があります。そのため内部監査報告書の発行は、「速やかに」としています。例えば、直近7月31日までを実査期間とした内部監査では、経営陣向け内部監査の結果報告を7月29日に行い、正式な報告書の発行を7月31日(実査期間中)に実施しました。
IPPF上「内部監査人は、内部監査の個々の業務の結果を伝達しなければならない。」[1]とありますが、内部監査期間以降でなければ報告書を発行してはいけないというものではないため、弊社ではなるべく前倒しして結果報告しています。
これを実現するためには、調書を準備してから報告書の構成を考えるような方法では間に合わないため、予め報告書の目次を作成し、それを埋める形で仮説を逆算して検証を進める方法としています。
ただし内部監査の結論に対しては、規制当局等から根拠を求められる可能性もあるため、再現が可能な程度の必要な情報(検証目的、評価基準、検証手順、サンプリング方針、インタビューメモ等)は調書として整理し保存しています。
[1] IPPF 2400「結果の伝達」
発見事項とフォローアップ
検証の中で認められた課題(「発見事項」といいます)は、リスクアセスメントと同様の手続きと評価基準で評価し、評価ラベルを付しています。
「リスクベース」で報告対象とフォローアッププロセスを定め、リスクの高い「発見事項」は、報告書の中で個別に課題を取り上げ経営陣に報告し、内部監査自身で「フォローアップ」を行い改善まで報告します。リスクの重要性や改善状況によっては保証力の強い「フォローアップ監査」を検討します。逆にリスクの低い「発見事項」は、報告書に一覧で課題を列挙して表記するに留め、「フォローアップ」を2nd Lineに任せることもありますし、場合によっては1st Lineにリスクの受容も含めて改善を任せることもあります。
次回はいよいよ最終回。今まで述べてきた内部監査活動の振り返りであり、PDCAサイクルを回す意味で重要なプロセスとなる品質評価について触れていきたいと考えています。