お問い合わせ

IIA2015IC参加報告

経営監査室 公認内部監査人(CIA) 公認情報システム監査人(CISA) 野口 由美子

今月、カナダのバンクーバーで開催された IIA(The Institute of Internal Auditors/内部監査人協会) の国際大会に参加しました。基調講演6つと選択式セッション7つを聴講しました。業務のなかで気になっていることと講演内容がシンクロした点を3つご紹介します。

1. 内部監査部門と他部門の関係性

IIAのポジションペーパーで「3つのディフェンスライン」という考え方が提示されました。第1のディフェンスラインは現場の責任者、第2は管理部門、第3が内部監査部門です。3つのディフェンスラインの連携が求められる一方で、内部監査部門の独立性を確保する必要があります。

どのように分担し、どのように連携するのがよいのでしょうか。たとえば、コントロールの実施状況等を直接モニタリングしようと思えば可能ですが、第1第2のディフェンスラインをさしおいて、それをやるべきでしょうか。また、リスクマネジメントのプロセスを監査しなければならない一方で、リスク・ベースの監査計画を立てたり、監査のなかで新しいリスクを拾ったりする必要がありますが、これはERM(全社的リスクマネジメント)の枠外でやるべきなのでしょうか。

「各ディフェンスラインの強度に応じて、内部監査部門の活動範囲を決める」という言葉が印象に残りました。

関連セッション

  • Coordinating Across the Lines of Defense [ディフェンスライン間で連携しよう]
  • Exceeding Expectations: Improving the State of Internal Audit Through Data Analytics [期待を上回って:データ分析を通じて内部監査の位置づけを向上させよう]
  • Internal Audit and ERM: Charting a Course for Smooth Sailing [内部監査とERM:順調な航海に向けて進路を決めよう]

2. サイバー脅威と内部監査

サイバー脅威は日々変化し、その影響力は増大しています。日本では、昨秋、サイバーセキュリティ基本法が成立し、今年度中には経済産業省により「サイバーセキュリティ経営ガイドライン」が策定される見通しです。内部監査のなかでは、サイバー脅威をどのように扱うべきでしょうか。

“Data breach” [データ侵害]と呼ばれる、ハッキング、サイバー攻撃、不正アクセス、情報漏洩等々を包括するサイバー脅威に関連するセッションがいくつかありました。講演で確認したのは、理屈の上では攻撃するほうが優位なので、サイバー脅威を完全に防ぐのは難しいということです。そして、事が起きてから気づくまでに時間がかかっていること、外部の指摘で発覚することが多いなどの事実があり、対応の遅れは被害を拡大させるだけでなく、評判リスクなど別のリスクも引き起こす危険性があることがわかりました。

安全であること(予防)・油断しないこと(検知)・立ち直りが早いこと(是正)、この三本柱で捉える必要があると思いました。

関連セッション

  • Proactively Managing the Cyber Threat Landscape [サイバー脅威の風景に前向きに対処する]
  • New Security Controls to Fight Modern Threats [現代の脅威と戦うための新しいセキュリティ管理策]
  • From the Firing Lines to a Fireside Chat [最前線から炉辺談話へ](元ホワイトハウス最高情報責任者による基調講演)

3. 内部監査の業務品質

内部監査部門は他部門のチェックを仕事としていますが、自部門はどうでしょうか。

今回プログラムを見て、ぜひ聴講したいと思ったのが、”50 Shades of Quality” [50通りの品質]です。IIAオランダが実施した、内部監査に対する50の(大ヒット映画のタイトルをもじりたかっただけで実際は47でしたが)外部品質評価の結果を紹介するというものです。IPPF(International Professional Practices Framework/専門職的実施のフレームワーク)の項目ごとに「準拠している」「一部準拠」「準拠していない」を総数で紹介していました。どうだめで、どうすればよいかという解説もあり、参考になりました。

また、成熟度について、protocols[規定]、resources[資源]、methodology[方法]、technology[技術]の4つの視点で捉えるという考え方があり、試してみようと思いました。

関連セッション

  • Up the Curve: Accelerate your Audit Maturity [曲線を上昇させよう:監査の成熟を加速させよう]
  • 50 Shades of Quality

まとめ

そのほか、世界経済、株主・経営層の視点、モチベーションアップものまで幅広い講演があり、休憩時間にはいろんな国の内部監査人の方たちと話をして、たくさんの刺激を受けました。

また、大会中、新しいIPPFが発表されました。内部監査のミッションがあらたに追加され、「リスク・ベースで客観的なアシュアランス、アドバイス、見識を提供することにより、組織体の価値を高め、保全する。」ということが明確にされました。

今回の大会テーマは“Mountains of Change…Oceans of Opportunities.” [たくさんの変化、たくさんの機会] (バンクーバーの豊かな山々と海にかかっています)。より良い方法を模索しながら、ミッションを遂行していきたいと思います。

  • [ ]内は筆者訳。
2015年のコラム一覧に戻る

Newsletter

メールニュースでは、本サイトの更新情報や業界動向などをお伝えしています。ぜひご購読ください。

メールニュース購読を申し込む