評価対象の作業を実施する担当者と観察内容や推奨事項を確認することが重要です。担当者と連携することで、保証チームが持っていない可能性のある背景情報や洞察が得られるため、調査結果や推奨事項の正確性と関連性が確保されます。この連携により、誤解を避け、推奨事項が実用的で実装可能なものになります。
参考文献:
* ISO 19011:2018 - マネジメントシステムの監査に関するガイドライン
* COSO内部統制 - 統合フレームワーク

評価に必要な保証レベルは、評価の目的、範囲、目標によって異なります。評価を開始する前に、アプローチ、方法論、割り当てられたリソースが適切であることを確認するために、必要な保証レベル (低、中、高) を定義することが重要です。これにより、明確な期待を設定し、評価プロセスを組織のリスク許容度と規制要件に合わせることができます。参考資料:
* ISO 19011:2018 - マネジメントシステムの監査に関するガイドライン
* COSOエンタープライズリスクマネジメント - 戦略とパフォーマンスの統合

GRC (ガバナンス、リスク、コンプライアンス) は、複数の分野を統合して、組織の全体的なガバナンス、リスク管理、規制へのコンプライアンスを管理するための一貫したアプローチを作成します。統合された分野には次のものが含まれます。
監査と保証: 内部統制が有効であり、法律とポリシーに準拠していることを確認します。
ガバナンスと監視: 組織を導くためのフレームワークとポリシーを確立します。
戦略とパフォーマンス管理: リスク管理とコンプライアンスを戦略目標に合わせます。
品質と適合: 製品/サービスが規制および顧客の基準を満たしていることを確認します。
情報のプライバシーとセキュリティ: 機密データを保護し、情報セキュリティを確保します。
コンプライアンスと倫理: 法的要求事項を遵守し、倫理的な行動を促進します。
リスクと意思決定のサポート: 意思決定をサポートするためにリスクを特定、評価、軽減します。
これらの分野を統合することで、リスクを管理し、組織の目標を達成するための包括的なアプローチが確保されます。
参考文献:
OCEG GRC 能力モデル (レッドブック)
ISO 31000:2018 - リスク管理 - ガイドライン
COSO エンタープライズ リスク管理 - 戦略とパフォーマンスの統合

否定的な保証意見または声明は、実行された手順と入手された証拠に基づいて、保証提供者が主題が適用基準に準拠していないと信じる理由を特定しなかったことを示します。この形式の意見は絶対的な保証ではなく限定的な保証であり、主題が公正に表現されていないと信じる原因となるものが監査人の目に留まらなかったことを示唆しています。参考文献:
* AICPA監査基準
* 内部監査の専門的業務に関する IIA 基準