J-SOXにおいて実務上あいまいだった事項がより明確になっています。
財務諸表の作成に関して監査人が責任を負わず経営者が責任を負うのと同様、内部統制にかんしても監査人ではなくて経営者が負うと明言
実務上、J-SOXの評価計画に経営者が逐一関与するのは難しいと思いますが、経営者の責任が全面的に出されていますね。。
内部監査でよくある間違い・対策・関連資料をまとめてみました
No. | 間違いの内容 | 説明 | 対策 | 関連資料 |
1 | チェックリストの形骸化 | 形式的にチェックリストを埋めるだけで、実質的な監査が行われていない。 | 監査計画時に重点リスクを特定し、柔軟な監査手法を採用する。 | ISO 19011(監査の指針) |
2 | 是正措置のフォロー不足 | 監査で指摘された事項に対する是正措置の実施確認が不十分。 | 是正措置の期限を明確化し、フォローアップ監査を実施する。 | PDCAサイクル、ISO 9001 |
3 | リスクベースの監査不足 | 重要なリスクを考慮せず、形式的な監査に終始する。 | 事前にリスクアセスメントを行い、リスクに応じた監査計画を策定する。 | ISO 31000(リスクマネジメント) |
4 | 監査員の偏り | 特定の部署や業務ばかりを重点的に監査し、他の領域を見落とす。 | 監査範囲をローテーションし、バランスよく監査対象を選定する。 | 内部監査規程、J-SOX |
5 | 文書管理の不備 | 記録が適切に保管されておらず、監査証跡が不十分。 | 文書管理システムを導入し、監査記録の適切な保存・更新を行う。 | ISO 9001(品質マネジメント) |
6 | 独立性・客観性の欠如 | 監査員が対象部署に依存しすぎている、または監査対象と密接な関係がある。 | 監査チームを独立させ、利害関係のないメンバーを選定する。 | IIA(内部監査基準) |
7 | 監査報告の不明確さ | 監査結果が曖昧で、具体的な改善指摘ができていない。 | 監査報告書のテンプレートを整備し、具体的な指摘事項と改善提案を記載する。 | 監査報告書ガイドライン |
8 | 実態と異なる記録 | 実際の運用と記録内容が一致していないケースがある。 | 現場確認を徹底し、実態を反映した記録が残るよう監査の頻度を調整する。 | ISO 27001(情報セキュリティ) |
9 | 現場との連携不足 | 監査担当者が現場の状況を理解せず、実態に合わない指摘をする。 | 事前に現場担当者とヒアリングを行い、実態に即した監査を実施する。 | GRC(ガバナンス・リスク管理・コンプライアンス) |
10 | 教育・訓練不足 | 監査員のスキルが不足し、適切な監査ができていない。 | 定期的な監査員教育・訓練を実施し、最新の監査基準を学習する。 | 監査員トレーニング教材 |
Comments