【CIA試験問題・2025年新シラバス】パート1 セクションA|実践問題70問(解答・解説つき)
CIA試験対策問題集:パート1 セクションA(70問)
Q1. グローバル内部監査基準によると、内部監査の主な目的は何か。
A. 組織のリスクマネジメントおよびガバナンス・プロセスが有効であることについて、独立したアシュアランスを提供すること。
B. 不正の全事例を特定および防止するという経営者の主要な責任を支援すること。
C. 独立したアシュアランスとアドバイスを提供することによって、価値を創造、保護、維持する組織の能力を強化すること。
D. 組織がすべての地域の法律および規制要件を完全に遵守し続けることを保証すること。
【解答・解説】
正解と解説を表示
正解(C): グローバル内部監査基準(GIAS)における内部監査の目的は、単なるチェックにとどまらず、アシュアランスとアドバイスを通じて組織の「価値の創造、保護、維持」を支援し、組織の能力を強化することにあります。
不正解(A): これは内部監査の活動の一部ですが、新基準が定義する「目的」の全体像としては(C)の方が包括的で適切です。
不正解(B): 不正の防止・発見の一次的責任は経営者にあり、内部監査の「主な」目的ではありません。
不正解(D): 内部監査は「絶対的な保証」を提供することはできず、合理的なアシュアランスを提供します。
Q2. 大手小売チェーンの内部監査人が調達部門の監査を実施しています。監査中、主要なサプライヤーから、すべてのビジネスパートナーに提供している「標準的な厚意のしるし」であるとして、注目度の高いスポーツイベントのチケットを提示されました。誠実性(Integrity)に関する原則に最も合致する行動はどれか。
A. 上司が書面で承認し、かつチケットの価値が100ドル未満である場合に限り、チケットを受け取る。
B. チケットを辞退し、透明性を確保するために内部監査責任者(CAE)にその申し出を報告する。
C. チケットを受け取るが、最終的な監査報告書がそのサプライヤーに対して客観的で偏りのないものになるよう徹底する。
D. チケットを受け取るが、直接的な個人的利益を避けるために、それを慈善団体に寄付する。
【解答・解説】
正解と解説を表示
正解(B): 誠実性の原則に基づき、内部監査人は客観性を損なう、または損なうと見なされる可能性のある贈答品を辞退すべきです。また、そのような申し出があったことをCAEに開示することは、透明性の維持において重要です。
不正解(A): 金額の多寡にかかわらず、利益相反や客観性の欠如を疑われる行為は避けるべきです。
不正解(C): 受け取った時点で外観上の独立性が損なわれており、誠実性の原則に反します。
不正解(D): 寄付をしたとしても、受け取ったという事実は変わらず、不適切な影響を排除したことにはなりません。
Q3. グローバル内部監査基準において、内部監査憲章に関する取締役会の責任として最も適切なものはどれか。
A. 憲章の技術的な詳細仕様を起草すること。
B. 憲章の適切性を維持するために、少なくとも毎年、憲章を承認すること。
C. 内部監査のマンデート(権限)を正式なものにするために、憲章を検討し承認すること。
D. 憲章の最終承認権限を最高経営責任者(CEO)に委任すること。
【解答・解説】
正解と解説を表示
正解(C): 取締役会は、内部監査部門の目的、権限、責任を正式に定める「内部監査憲章」を検討・承認する責任があります。これにより内部監査の権限(マンデート)が確立されます。
不正解(A): 憲章の起草は通常、CAEが行います。取締役会の役割は承認と監督です。
不正解(B): 憲章の「定期的な」見直しは求められますが、必ずしも「毎年承認」することが唯一の定義ではありません(承認の目的はマンデートの形式化です)。
不正解(D): 憲章の承認はガバナンス上の重要な役割であり、取締役会からCEOへ委任すべきではありません。
Q4. 製造会社の内部監査責任者(CAE)は、後任が決まるまでの間、暫定的にコントローラー(経理責任者)代行を務めるよう最高財務責任者(CFO)から依頼されました。CFOは、効率性を維持するために、CAEが引き続き内部監査チームを統括できると提案しています。基準に従い、CAEはどう対応すべきか。
A. 役割を引き受けるが、この期間中にCAEが行った業務を監査するために、外部の第三者機関を雇用することを確約する。
B. 内部監査部門全体の独立性を恒久的に損なうことになるため、その役割を辞退する。
C. 客観性が損なわれる可能性について取締役会と協議し、暫定的な任務への承認を求める。
D. 役割を引き受けるが、今後3年間、財務報告に関連する内部監査報告書への署名を辞退する。
【解答・解説】
正解と解説を表示
正解(C): CAEが内部監査以外の業務を引き受ける場合、独立性や客観性への影響を評価し、取締役会に報告・協議して承認を得る必要があります。また、その影響を軽減するためのセーフガードを講じる必要があります。
不正解(A): 第三者の雇用は一つの対策(セーフガード)になり得ますが、まず最初に行うべきは取締役会への報告と承認です。
不正解(B): 必ずしも「恒久的」な損傷とは限らず、適切なセーフガードがあれば暫定的な対応は可能です。
不正解(D): 3年間という具体的な数字は基準で一律に定められているものではなく、まずはガバナンス上の手続き(報告)が優先されます。
Q5. 内部監査人がエンゲージメント中に必要とされる「専門職としての正当な注意(Due Professional Care)」のレベルを決定する際、考慮すべき最も重要な要因はどれか。
A. 当該年度の内部監査部門に割り当てられた総予算。
B. アシュアランス手続が適用される事項の複雑性、重要性(マテリアリティ)、または有意性。
C. 内部監査部門に対して外部品質評価が最後に実施されてからの経過期間。
D. 監査対象となる現業部門の管理者の特定の好みや要望。
【解答・解説】
正解と解説を表示
正解(B): 専門職としての正当な注意とは、監査対象の複雑さや重要性、不備があった場合の影響度などを考慮して、適切な注意を払うことを指します。重要性が高いほど、より高いレベルの注意が求められます。
不正解(A): 予算不足を理由に、必要な注意を怠ることは許されません。
不正解(C): 外部評価の時期は、個別のエンゲージメントにおける正当な注意のレベルを決定する直接的な要因ではありません。
不正解(D): 経営者の要望は考慮する場合がありますが、正当な注意のレベルを決定する主要な基準ではありません。
Q6. 品質保証および改善プログラム(QAIP)に関して、基準における外部評価の頻度について正しく述べているものはどれか。
A. 資格のある独立した評価者によって、少なくとも3年に1回実施されなければならない。
B. 資格のある独立した評価者によって、少なくとも5年に1回実施されなければならない。
C. 内部監査部門が「基準に準拠している」という文言の使用を希望する場合にのみ、外部評価が必要となる。
D. 外部評価の頻度は、組織のリスクプロファイルに基づいて取締役会のみによって決定される。
【解答・解説】
正解と解説を表示
正解(B): 内部監査部門は、少なくとも5年に1回、組織外部の資格のある独立した評価者または評価チームによる外部評価を受けなければなりません。
不正解(A): 3年ではなく5年です。
不正解(C): 基準に準拠するためには、外部評価の実施が必須要件です(文言使用のためだけのオプションではありません)。
不正解(D): 最低頻度は基準によって5年と定められており、取締役会の裁量のみで決まるものではありません。
Q7. 内部監査人は、6ヶ月前まで買掛金部門のマネージャーでした。スタッフ不足のため、CAEはこの監査人を買掛金プロセスの監査のリーダーに任命しました。この任命に関して正しい記述はどれか。
A. 監査人が客観的かつ専門的であり続ける限り、利益相反は存在しない。
B. 監査人が以前その分野で責任を負っていたため、客観性は損なわれていると推定される。
C. 監査人の業務がより上級の監査マネージャーによってレビューされるのであれば、この任命は容認できる。
D. 客観性は、監査人が以前の同僚と依然として親交がある場合にのみ損なわれる。
【解答・解説】
正解と解説を表示
正解(B): 内部監査人が過去1年以内に責任を持っていた業務を監査する場合、客観性が損なわれていると見なされます(GIASでもこの期間の考え方が踏襲されています)。6ヶ月前であれば、明らかに制限期間内です。
不正解(A): 本人の主観的な態度は関係なく、外観上の客観性が損なわれています。
不正解(C): レビューだけでは、任命そのものの不適切さを解消できません。
不正解(D): 人間関係だけでなく、自らの過去の判断を監査するという構造的な問題が重要です。
Q8. 「3つのラインモデル(Three Lines Model)」の枠組みにおいて、通常「第1ライン」の役割に該当する活動はどれか。
A. 客観的なアシュアランスを提供するために、独立した内部監査部門を設立すること。
B. 組織のリスクマネジメントの実践に対して、監督と牽制を提供すること。
C. 業務リスクを管理するために、内部統制プロセスを設計および実施すること。
D. 取締役会レベルで、組織全体の全体的なリスクキャパシティと戦略的目標を設定すること。
【解答・解説】
正解と解説を表示
正解(C): 第1ラインは業務を執行する部門であり、日々の業務の中で直接リスクを管理し、コントロールを設計・運用する責任を負います。
不正解(A): これは内部監査(第3ライン)の役割です。
不正解(B): これは主に第2ライン(リスク管理・コンプライアンス部門)の役割です。
不正解(D): これはガバナンス機関(取締役会)の役割です。
Q9. 出張費の定期的な監査中に、監査人は、出張管理部門マネージャーの兄弟が所有する業者に対して、重複した支払いが一連行われていることを発見しました。金額は少額ですが、パターンからコントロールを意図的に回避していることが疑われます。監査人が直ちに行うべき次のステップはどれか。
A. 業者に直接連絡して返金を要求し、その会話を記録する。
B. 出張管理部門マネージャーを問い詰め、重複支払いの説明を求める。
C. 組織および内部監査部門の不正疑義報告プロトコルに従う。
D. 報告する前に、同様のパターンが存在するかどうかを確認するために、他のすべての部門に監査を拡大する。
【解答・解説】
正解と解説を表示
正解(C): 不正の疑い(特に身内が関与する利益相反の疑い)がある場合、監査人は自ら調査を進めるのではなく、確立された組織の不正対応手順(プロトコル)に従い、適切に報告する必要があります。
不正解(A): 勝手に返金を求める行為は、証拠隠滅の機会を与えたり、調査を妨害したりする可能性があります。
不正解(B): 被疑者を問い詰めることは、調査の機密性を損なうため不適切です。
不正解(D): 独断で範囲を広げる前に、疑義が生じた時点で定められた報告ルートを通すべきです。
Q10. 内部監査人は、組織が環境基準をわずかに超える化学物質を地元の川に不注意に放出していることを発見しました。経営陣はこの事実を把握していますが、是正コストを理由に報告していません。現地の法律では、この特定の放出レベルの報告は義務付けられていません。機密保持(Confidentiality)の原則に基づき、監査人が取るべき行動はどれか。
A. 情報の機密性を尊重し、組織外に対しては一切の行動を取らない。
B. 取締役会に結果を報告し、対処されない場合は、開示すべき法的または専門職としての義務が存在するかどうかを検討する。
C. 公共の利益と環境を保護するために、直ちに地元の環境当局に通報する。
D. 経営陣に是正措置を強制するために、地元のメディアに匿名で情報を漏洩させる。
【解答・解説】
正解と解説を表示
正解(B): 内部監査人は機密を保持する義務がありますが、不法行為や倫理違反がある場合、まず組織内の上位レベル(取締役会)に報告します。それでも改善されない場合、法的・専門職的な報告義務や責任を慎重に評価する必要があります。
不正解(A): 組織内の適切な機関(取締役会)への報告すら行わないことは、専門職としての責任を放棄することになります。
不正解(C): 直ちに外部通報することは、組織に対する忠実義務や機密保持の原則に反する場合が多いです(極めて差し迫った危険がある場合を除きます)。
不正解(D): 匿名でのメディアへの漏洩は、いかなる場合も専門職としての適切な行動とはみなされません。
Q11. 売掛金プロセスのレビューにおいて、内部監査人は、適切な承認なしに複数の顧客の与信限度額が超過していることに気付きました。しかし、与信マネージャーは、これらは長年の顧客に対する「例外的なケース」であると説明しました。専門職としての懐疑心(Professional Skepticism)を最もよく示している行動はどれか。
A. これらの例外の合計額が重要性の基準値以下であれば、マネージャーの説明を受け入れる。
B. これらの特定の顧客のクレジットファイルを依頼し、支払い履歴と現在の財務状況を検証する。
C. マネージャーの説明を監査調書に記録し、次の監査目的に進む。
D. 組織の規定に従わなかったとして、与信マネージャーを懲戒処分にするよう勧告する。
【解答・解説】
正解と解説を表示
正解(B): 専門職としての懐疑心とは、単に説明を鵜呑みにせず、証拠に基づいて判断することです。マネージャーの説明を裏付ける、あるいは反証するための客観的なデータを確認することが適切な対応です。
不正解(A): 金額の大小にかかわらず、コントロールの逸脱がある場合は検証が必要です。
不正解(C): 裏付けを取らずに記録するだけでは、懐疑心を発揮したことにはなりません。
不正解(D): 懲戒処分は経営陣の判断であり、監査人の最初の役割は事実の検証と報告です。
Q12. グローバル内部監査基準によると、品質保証および改善プログラム(QAIP)の開発と維持に対して最終的な責任を負うのは誰か。
A. 取締役会。
B. 内部監査責任者(CAE)。
C. 外部監査法人。
D. 最高経営責任者(CEO)。
【解答・解説】
正解と解説を表示
正解(B): CAEは、内部監査部門の全ての活動をカバーするQAIPを構築し、維持する責任を負います。
不正解(A): 取締役会はQAIPの結果を監督する責任がありますが、開発・維持の主導的責任はCAEにあります。
不正解(C): 外部監査人はQAIPの一部(外部評価)を担うことはあっても、プログラム全体の維持責任はありません。
不正解(D): CEOには内部監査の品質プログラムを維持する責任はありません。
Q13. 内部監査部門が6年間、外部品質評価を実施していません。基準によれば、この不作為による最も重大な影響はどれか。
A. 内部監査部門は、「グローバル内部監査基準に準拠している」という文言の使用を停止しなければならない。
B. 内部監査責任者(CAE)は、資格のある外部候補者と交代しなければならない。
C. 内部監査部門は、財務報告に係る内部統制に関するアシュアランスを提供することができなくなる。
D. 外部監査人は、実証性テストを全取引の100%まで増やさなければならない。
【解答・解説】
正解と解説を表示
正解(A): 基準への準拠を主張するためには、5年以内の外部評価が必須条件です。これを行っていない場合、基準に準拠していると表示することはできません。
不正解(B): CAEの交代が基準で強制されるわけではありません。
不正解(C): アシュアランスの提供自体は可能ですが、「基準準拠」とは言えなくなります。
不正解(D): 外部監査人の判断には影響しますが、自動的に100%のテストが強制されるわけではありません。
Q14. 内部監査責任者(CAE)は、内部監査計画を策定しています。計画が組織の目標と一致していることを確実にするために、CAEは以下のどれを優先すべきか。
A. 過去3年間に監査が実施されていない領域。
B. 財務諸表リスクに関する外部監査人からのフィードバック。
C. 組織の目標達成能力に重大な影響を与える可能性のあるリスク。
D. 従業員数と管理費が最も多い部門。
【解答・解説】
正解と解説を表示
正解(C): 現代の内部監査計画は「リスクベース」であるべきです。組織の戦略目標の達成を阻害するリスクが最も高い領域を優先的に監査する必要があります。
不正解(A): 期間だけで決めるのは、リスクベースのアプローチではありません。
不正解(B): 外部監査人の視点は考慮しますが、組織全体の目標に対するリスクとは必ずしも一致しません。
不正解(D): 規模が大きいことが必ずしも高リスクであるとは限りません。
Q15. 3つのラインモデルにおける「第2ライン」の役割として最も適切な説明はどれか。
A. ガバナンスとリスクマネジメントの妥当性について、独立した客観的なアシュアランスを提供すること。
B. 組織の戦略的方向性を設定し、経営陣を監督すること。
C. 日常業務の一部としてリスクを管理し、内部統制手続を実行すること。
D. リスク関連事項に関する専門知識、サポート、モニタリング、および牽制を提供すること。
【解答・解説】
正解と解説を表示
正解(D): 第2ライン(リスク管理、コンプライアンス等)は、第1ライン(業務執行)を支援し、モニタリングし、牽制する役割を担います。
不正解(A): これは第3ライン(内部監査)の役割です。
不正解(B): これはガバナンス機関(取締役会)の役割です。
不正解(C): これは第1ラインの役割です。
Q16. 内部監査人がIT部門の監査に割り当てられました。この監査人はITに関する一般的な理解は持っていますが、サイバーセキュリティ・プロトコルの専門知識が不足しています。最も適切な行動はどれか。
A. 割り当てられた通りに監査を実施し、ITマネージャーの自己評価のみに依拠する。
B. 監査人がITに関する熟達した能力(Competency)の要件を満たしていないため、任務を辞退する。
C. 監査を実施するが、結果からサイバーセキュリティ・リスクが除外されていることを調書に文書化する。
D. CAEに対し、サイバーセキュリティの専門家を監査チームに補充するよう提案する。
【解答・解説】
正解と解説を表示
正解(D): 内部監査部門全体として必要な専門知識を保有している必要があります。個々の監査人に知識が不足している場合は、専門家のアドバイスやサポートを受けることが基準で推奨されています。
不正解(A): 自己評価にのみ依拠することは、アシュアランスの質を損ないます。
不正解(B): 部門全体として対応できれば良いため、即座に辞退する必要はありません。
不正解(C): 重要なリスクを除外したまま監査を行うことは、正当な注意を払っているとは言えません。
Q17. グローバル企業の取締役会は、内部監査部門の独立性を確保したいと考えています。この要件を最も強力にサポートする報告体制はどれか。
A. CAEは事務的にはCFOに報告し、職務的にはCEOに報告する。
B. CAEは事務的および職務的に最高リスク責任者(CRO)に報告する。
C. CAEは事務的にはCEOに報告し、職務的には取締役会に報告する。
D. CAEは職務的にはCEOに報告し、事務的には外部監査人に報告する。
【解答・解説】
正解と解説を表示
正解(C): 組織上の独立性を確保するための理想的な体制は、職務的(Functional)な報告ラインを取締役会(監査委員会)に持ち、日々の事務的(Administrative)な報告ラインをCEOなどの上位役職者に持つことです。
不正解(A): 職務的報告先が経営陣(CEO)のみでは、取締役会による監督が弱まります。
不正解(B): 第2ライン(CRO)の下に配置されると、第3ラインとしての独立性が損なわれます。
不正解(D): 外部監査人に事務的報告を行うことは一般的ではなく、適切でもありません。
Q18. 内部監査人は組織のリスク・アペタイトを評価しています。リスク・アペタイトを設定する主な責任を負うのは誰か。
A. 内部監査部門。
B. 外部の規制当局。
C. 取締役会およびシニアマネジメント。
D. リスクマネジメント部門。
【解答・解説】
正解と解説を表示
正解(C): 組織が受け入れるリスクの量と種類(リスク・アペタイト)を決定するのは、ガバナンス責任を負う取締役会と、それを執行するシニアマネジメントの役割です。
不正解(A): 内部監査人はリスク・アペタイトを評価・検討しますが、設定はしません。
不正解(B): 規制当局は外部の枠組みを示しますが、個別の組織の意思決定は行いません。
不正解(D): リスクマネジメント部門は策定を支援しますが、最終的な責任は取締役会・経営陣にあります。
Q19. 内部監査人にとって、利益相反(Conflict of Interest)とみなされる可能性が最も高い状況はどれか。
A. 監査人の配偶者が、監査対象となっているIT部門でジュニアデベロッパーとして働いている。
B. 監査人が4年前にマーケティング部門で働いていた。
C. 監査対象である多国籍企業の株式を5株保有している。
D. 監査人がCFOと同じ専門職団体(学会等)の会員である。
【解答・解説】
正解と解説を表示
正解(A): 密接な家族関係(配偶者)が監査対象部門に在籍している場合、客観性に影響を与える、あるいは影響を与えるように見える(外観上の独立性の欠如)ため、利益相反となります。
不正解(B): 1年以上経過していれば、通常は過去の所属は利益相反とはみなされません。
不正解(C): 一般的に、公開企業の極めて少額の株式保有は、それだけで客観性を損なうとはみなされません(組織の規定によります)。
不正解(D): 同じ専門職団体に属しているだけでは、個人的な利害関係があるとは言えません。
Q20. 基準によると、CAEは内部監査部門の計画に対するパフォーマンスについて、どの程度の頻度で取締役会およびシニアマネジメントに報告すべきか。
A. 組織の規模にかかわらず、毎月。
B. 組織の年次報告書の一部として、毎年。
C. 取締役会とCAEが決定した頻度で、定期的。
D. 承認された予算から大幅な逸脱があった場合のみ。
【解答・解説】
正解と解説を表示
正解(C): 報告の頻度は、組織のニーズや取締役会の要求に基づき、CAEと取締役会が合意して決定します。基準では「定期的(Periodically)」な報告が求められています。
不正解(A): 毎月が必須という規定はありません。
不正解(B): 年1回では適時な監督を行うには不十分な場合が多いです。
不正解(D): 予算の逸脱だけでなく、計画の進捗や重大なリスクについても報告が必要です。
Q21. 製造会社がサプライチェーン寸断の高いリスクに直面しています。経営陣はこのリスクを軽減するために、サプライヤーベースを多様化することを決定しました。このリスク対応は次のうちどれに該当するか。
A. リスクの回避(Avoidance)。
B. リスクの低減(Reduction / Mitigation)。
C. リスクの共有(Sharing / Transfer)。
D. リスクの受容(Acceptance)。
【解答・解説】
正解と解説を表示
正解(B): サプライヤーを分散させることで、一箇所が止まった際の影響や発生可能性を下げようとする試みは、リスクの低減(軽減)に該当します。
不正解(A): 回避は、その活動自体を止めることです(例:その部品を使った製造をやめる)。
不正解(C): 共有は、保険をかけたりアウトソーシングしたりすることです。
不正解(D): 受容は、特に対策を講じないことです。
Q22. 地方事務所の監査中に、マネージャーが顧客のオンボーディング(新規登録)を迅速化するために自動化されたコントロールを無効化(オーバーライド)していることが判明しました。マネージャーは、売上目標を達成するために必要だと主張しています。監査人はこれをどのように評価すべきか。
A. 組織目標を達成するための経営陣のイニシアチブの肯定的な例。
B. 不正やコンプライアンス違反のリスクを高める統制上の欠陥。
C. 金銭的損失がまだ発生していない限り、軽微な手続上の誤り。
D. マネージャーが十分な権限を持っていれば、承認された経営者による無効化。
【解答・解説】
正解と解説を表示
正解(B): たとえ目標達成のためであっても、確立された内部統制を独断で回避することは、不正のリスクを高める重大なコントロールの不備です。
不正解(A): 規律を乱す行為であり、肯定的には評価できません。
不正解(C): 損失が発生してからでは遅く、リスク管理の観点からは重大な問題です。
不正解(D): 適切な承認プロセスを経ていない無効化は、権限の濫用です。
Q23. グローバル内部監査基準(GIAS)において、内部監査憲章に関する必須要件はどれか。
A. すべての内部監査スタッフの名前と保有資格を記載しなければならない。
B. 内部監査部門の活動範囲と権限を定義しなければならない。
C. 組織内のすべての従業員が認識を確実にするために、全員が署名しなければならない。
D. 次年度の具体的な監査個別計画(個別プログラム)を含めなければならない。
【解答・解説】
正解と解説を表示
正解(B): 内部監査憲章は、内部監査部門の目的、権限、責任(マンデート)を正式に定める文書であり、その活動範囲を明確にする必要があります。
不正解(A): 個別のスタッフ名は憲章には記載しません(人事情報であるため)。
不正解(C): 全従業員の署名は不要です。承認すべきは取締役会とシニアマネジメントです。
不正解(D): 憲章は恒久的な権限を定めるものであり、流動的な年度計画は含めません。
Q24. 「専門職としての正当な注意」の文脈において、内部監査人はテクノロジーを用いた監査技法の使用を検討しなければなりません。データアナリティクスを使用することの最も適切な正当化理由はどれか。
A. 母集団の100%をテストすることが可能になり、サンプリング・リスクを低減できる。
B. 経営者による不正の既存のすべての事例を見つけ出すことを保証する。
C. 監査人が専門職としての判断を行使する必要性を排除する。
D. 目的にかかわらず、すべての内部監査エンゲージメントにおいて必須の要件である。
【解答・解説】
正解と解説を表示
正解(A): データアナリティクスの最大の利点の一つは、全件抽出(100%テスト)が可能になることで、サンプルが全体を代表していないというサンプリング・リスクを低減できる点にあります。
不正解(B): 監査に「保証(Guarantee)」はありません。巧妙な不正は見逃す可能性があります。
不正解(C): ツールの結果をどう解釈するかにおいて、専門職としての判断は依然として不可欠です。
不正解(D): 状況に応じて検討すべきものであり、全ての監査で一律に強制されているわけではありません。
Q25. CAEは、内部監査部門の予算が30%削減されたことを懸念しています。これにより、いくつかの高リスク領域の監査が完了できなくなります。CAEの最善の行動はどれか。
A. 新しい予算に合わせて、すべての監査の範囲を一律30%縮小する。
B. 部門の独立性が損なわれたため、直ちに辞任する。
C. 予算削減が監査計画とリスクカバー範囲に与える影響について、取締役会に報告する。
D. 監査をカバーするために、内部監査スタッフに無給のサービス残業をさせて監査を実施する。
【解答・解説】
正解と解説を表示
正解(C): リソースの制限によって重要な監査が実施できない場合、CAEはそのリスクを明確にし、取締役会に報告して指示を仰ぐ、あるいは優先順位の再考を求める義務があります。
不正解(A): リスクを考慮せず一律に縮小することは、正当な注意に反します。
不正解(B): 辞任する前に、ガバナンス上の適切なプロセス(報告)を踏むべきです。
不正解(D): 非倫理的であり、解決策になりません。
Q26. 「予防的(Preventive)」コントロールに該当するものはどれか。
A. 不一致を特定するための月次の銀行勘定調整。
B. パスワードに特殊文字を含めなければならないというシステム要件。
C. 内部監査チームによる抜き打ちの棚卸立ち会い。
D. 5,000ドルを超えるすべての取引を表示する自動生成レポート。
【解答・解説】
正解と解説を表示
正解(B): 予防的コントロールは、エラーや不正が発生する前に防ぐものです。パスワード要件は、不適切なアクセスが起こるのを事前に防ぎます。
不正解(A, D): これらは発生した後に見つける「発見的(Detective)」コントロールです。
不正解(C): 監査そのものはコントロールではなく、評価活動です。棚卸結果の確認は発見的側面が強いです。
Q27. 組織のガバナンス・プロセスを評価する際、内部監査部門は以下のどれを評価すべきか。
A. マーケティング部門が四半期の販売見込み目標を達成しているか。
B. 取締役会とシニアマネジメントが倫理的な文化を確立しているか。
C. 外部監査人がそのサービスに対して公正な市場価格を請求しているか。
D. 生産ラインが95%の効率で稼働しているか。
【解答・解説】
正解と解説を表示
正解(B): ガバナンスの評価において、組織の「トーン・アット・ザ・トップ(トップの姿勢)」や倫理的文化の醸成は、最も基本的かつ重要な評価対象です。
不正解(A, D): これらは「業務の効率性・有効性」に関するもので、ガバナンスそのものの評価というよりは業務監査の対象です。
不正解(C): これは調達や経理の確認事項であり、ガバナンスの中核ではありません。
Q28. 内部監査人は新しい倫理規定(ポリシー)の草案をレビューしています。規定の有効性にとって最も重要な要素はどれか。
A. 当該地域の会社法に関連するすべての法的条文のリスト。
B. 規定違反のあらゆる可能性に対する具体的な罰則。
C. 従業員が非倫理的な行動を匿名で報告できる明確な仕組み。
D. 規定が外部の法律事務所によって毎年レビューされるという要件。
【解答・解説】
正解と解説を表示
正解(C): 実効性のある倫理プログラムには、報復を恐れずに声を上げられる「内部通報制度(ホイッスルブローイング)」が不可欠です。
不正解(A): 法的条文を並べるだけでは、倫理的な行動を促進できません。
不正解(B): 罰則も重要ですが、まず違反が発見・報告される仕組みがなければ機能しません。
不正解(D): 外部レビューは質の担保にはなりますが、組織内の文化醸成や有効性に直結するわけではありません。
Q29. 内部監査責任者(CAE)は、ある上級役員が内部監査人に対し、監査報告書から特定の指摘事項を除外するよう圧力をかけていることを知りました。どの原則が最も直接的に脅かされているか。
A. 熟達した能力(Competency)。
B. 機密保持(Confidentiality)。
C. 客観性(Objectivity)。
D. 専門職としての懐疑心(Professional Skepticism)。
【解答・解説】
正解と解説を表示
正解(C): 外部からの圧力によって判断を歪めることは、偏りのない精神的態度である「客観性」を直接的に侵害する行為です。
不正解(A): 知識やスキルの問題ではありません。
不正解(B): 情報を漏洩させることではなく、報告すべきことを隠させようとする圧力です。
不正解(D): 懐疑心は証拠を評価する際の態度であり、この状況では「客観性」の維持そのものが問題となっています。
Q30. 「残存リスク(Residual Risk)」の定義として最も適切なものはどれか。
A. 経営陣がリスクを軽減するための措置を講じた後に残るリスク。
B. コントロールが適用される前の、組織の総リスク曝露量。
C. 内部監査人が重要な誤謬を発見できないリスク。
D. 特定の事業活動の固有の性質に関連するリスク。
【解答・解説】
正解と解説を表示
正解(A): 残存リスクとは、内部統制などのリスク対応を行った後に、なお残っているリスクのことです。
不正解(B, D): これらは「固有リスク(Inherent Risk)」の説明です。
不正解(C): これは「監査リスク」の一種(発見リスク)です。
Q31. 組織の取締役会が、新しいERPシステムの導入に関してアドバイスを提供するよう内部監査部門に依頼しました。これは何の例か。
A. アシュアランス・サービス。
B. コンサルティング・サービス。
C. ガバナンスの失敗。
D. 独立性の侵害。
【解答・解説】
正解と解説を表示
正解(B): コンサルティング・サービスは、助言や提言を目的とした活動です。システム導入のアドバイスはその典型例です。
不正解(A): アシュアランスは、証拠の客観的評価を提供することです。
不正解(C): 内部監査がアドバイスを求められることは健全なガバナンスの一部です。
不正解(D): アドバイスを提供すること自体は独立性を損ないませんが、将来そのシステムを監査する際に客観性を保つための注意が必要です。
Q32. 現地視察中、監査人は有害廃棄物が無標識の容器に保管されていることに気付きました。これは監査範囲に含まれていませんでした。監査人はどうすべきか。
A. 正式に承認された監査範囲外であるため、無視する。
B. 観察結果を文書化し、直ちに現地のマネージャーと話し合う。
C. 次回の環境監査が予定されるまで報告を待つ。
D. 地元の警察に連絡し、潜在的な環境犯罪を報告する。
【解答・解説】
正解と解説を表示
正解(B): 専門職としての正当な注意に基づき、監査人は範囲外であっても発見した重大なリスクを無視すべきではありません。まずは現場責任者に報告し、事実を確認すべきです。
不正解(A): 重大なリスクを看過することは、専門職としての責任を果たしていません。
不正解(C): 安全や環境に関わる問題は適時性が重要であり、延期は不適切です。
不正解(D): 組織内のエスカレーションを飛び越えて外部に通報するのは、通常、最終手段です。
Q33. CAEが、内部監査部門が価値を付加していることを証明する最も効果的な方法はどれか。
A. 各エンゲージメントに費やした監査時間の増加を示す。
B. 監査の勧告によって、リスクマネジメントやプロセスが改善されたことを示す。
C. 監査スタッフの100%がCIA資格を保有していることを確認する。
D. 予算の差異なく監査計画を完了する。
【解答・解説】
正解と解説を表示
正解(B): 内部監査の価値は、組織がその目標をより良く達成できるように、ガバナンス、リスク、コントロールの状態が実際に良くなったかどうか(改善の成果)で測られます。
不正解(A): 時間をかけることが価値を生むとは限りません。効率性が低いだけかもしれません。
不正解(C): 資格保有は「インプット(前提条件)」であり、生み出された「アウトカム(価値)」そのものではありません。
不正解(D): 計画通りに進めることは管理能力の証明にはなりますが、内容が伴っていなければ価値があるとは言えません。
Q34. 内部監査人は各自の責任を遂行するために必要な知識、スキル、その他の能力を備えていなければなりません。基準によると、正しい記述はどれか。
A. 個々の監査人は、内部監査部門がカバーするすべてのトピックの専門家でなければならない。
B. 内部監査部門は、全体として必要な能力を保有、または取得しなければならない。
C. 内部監査人がスキルを補うために外部のコンサルタントを利用することは禁止されている。
D. 能力が求められるのはCAEだけであり、スタッフ監査人は指示に従うだけでよい。
【解答・解説】
正解と解説を表示
正解(B): 内部監査部門全体(Collectively)で、組織が必要とするすべての監査領域をカバーできる知識やスキルを持っていることが求められます。
不正解(A): 一人の監査人がすべてをマスターしている必要はありません。
不正解(C): 部門内に不足している専門知識を補うために、外部リソースを利用することは認められており、推奨される場合もあります。
不正解(D): スタッフも各自の役割に応じた熟達した能力が必要です。
Q35. 大手銀行の内部監査部門は、不審な活動がないかすべての電信送金を監視するために自動化ツールを使用しています。これは何の例か。
A. 継続的監査(Continuous Auditing)。
B. コントロール自己評価(CSA)。
C. 外部評価。
D. 属性サンプリング。
【解答・解説】
正解と解説を表示
正解(A): ITツールを活用して、全ての取引をリアルタイムまたは頻繁に評価・監視する手法を継続的監査と呼びます。
不正解(B): CSAはマネジメントや従業員が自ら統制を評価する手法です。
不正解(C): QAIPの一環で行われる5年ごとの外部レビューのことです。
不正解(D): 特定の特性があるかないかを確認するためのサンプリング手法です。全件監視はサンプリングではありません。
Q36. 分権化された組織において、CAEは各地域の監査チームが異なる報告テンプレートやリスク評価基準を使用していることに気付きました。基準に準拠するために、CAEはどうすべきか。
A. 地域ごとの文化的な違いを尊重するために、そのまま継続させる。
B. 内部監査マニュアル等を通じて、監査手法と報告形式を標準化する。
C. 一貫したアプローチを確保するために、地域の監査を外部委託する。
D. 取締役会に対し、組織にとって最適なテンプレートを決定するよう要求する。
【解答・解説】
正解と解説を表示
正解(B): CAEは、内部監査部門が一貫性のある質の高い業務を遂行できるよう、共通の指針や手続(監査マニュアル)を策定・維持する責任があります。
不正解(A): バラバラな手法では、組織全体の統合的なリスク評価や品質管理が困難になります。
不正解(C): アウトソーシングは手段の一つですが、まず内部での管理基準を確立するのが先決です。
不正解(D): 手法の策定はCAEの責任であり、取締役会の役割ではありません。
Q37. 「トーン・アット・ザ・トップ」が弱いことを示す最も重大な兆候はどれか。
A. 組織が2年間、従業員ハンドブックを更新していない。
B. シニアマネジメントが「緊急」プロジェクトを理由に、確立された調達コントロールを日常的に回避している。
C. 内部監査部門でジュニアスタッフの離職率が高い。
D. 会社の株価が過去6ヶ月間、乱高下している。
【解答・解説】
正解と解説を表示
正解(B): トップ自らがルールを無視する姿勢を見せることは、組織全体の倫理観や統制意識を著しく低下させ、弱い統制環境(トーン・アット・ザ・トップの欠如)を示します。
不正解(A): 手続き上の遅れであり、必ずしもトップの姿勢とは直結しません。
不正解(C): 職場環境や給与、キャリアパスの問題である可能性が高いです。
不正解(D): 市場要因が大きく、ガバナンスの直接的な兆候とは言えません。
Q38. 基準によると、内部監査人は継続的専門職開発(CPE)を通じて知識を向上させなければなりません。監査人がCPE要件を満たせなかった場合どうなるか。
A. 異議申し立ての権利なく、CIA資格が永久に剥奪される。
B. 監査調書への署名が禁止される。
C. 「熟達した能力(Competency)」に関する基準に違反している可能性がある。
D. 地元の規制当局に自己申告しなければならない。
【解答・解説】
正解と解説を表示
正解(C): プロフェッショナルとしての能力を維持・向上させることは基準上の義務です。CPEの懈怠は、能力維持に関する要件を満たしていないと見なされます。
不正解(A): 通常、猶予期間やステータスの変更(Inactive等)があり、即座に永久剥奪されるわけではありません。
不正解(B): 社内のルールで制限される可能性はありますが、基準が自動的に署名を禁じているわけではありません。
不正解(D): 報告先は通常IIA(内部監査人協会)であり、一般の規制当局ではありません。
Q39. CAEは取締役会への年次報告書を作成しています。QAIPに関して含めるべき事項はどれか。
A. 内部品質レビューで合格しなかった監査人の具体的な氏名。
B. 内部および外部評価の結果、および改善計画の状況。
C. 年間にCAEが受講したすべてのトレーニングコースのリスト。
D. 競合他社5社の内部監査予算との比較。
【解答・解説】
正解と解説を表示
正解(B): CAEは、QAIPの実施状況と結果(改善が必要な点を含む)を取締役会に報告し、品質に対する責任を果たす必要があります。
不正解(A): 個人の人事情報を取締役会に報告するのは不適切です。
不正解(C): CAE個人の履歴よりも、部門全体の品質プログラムの結果が重要です。
不正解(D): ベンチマークも有用な場合がありますが、基準で求められている報告内容の中核ではありません。
Q40. 内部監査人が組織のリスク・アペタイトを超えたリスクを特定したが、経営陣がそのリスクを受け入れる(受容する)ことを選択した場合、基準に基づく監査人の責任はどれか。
A. 直ちに地元の法執行機関に通報しなければならない。
B. シニアマネジメントと協議し、解決しない場合は取締役会に報告すべきである。
C. 組織全体の内部統制に対して「不適切」という否定的意見を表明しなければならない。
D. 責任を避けるために、そのエンゲージメントおよび組織から辞任しなければならない。
【解答・解説】
正解と解説を表示
正解(B): 経営陣が許容範囲を超えるリスクを放置していると判断した場合、CAEはまず経営陣と議論し、それでも納得できる対応が取られない場合は取締役会に問題を提起する必要があります。
不正解(A): 法令違反でない限り、外部通報は適切ではありません。
不正解(C): 特定の一つのリスクへの対応だけで、全体の意見を自動的に否定にするわけではありません。
不正解(D): 辞任する前に、ガバナンス手続(報告)を尽くすべきです。
Q41. 内部監査人が客観性を維持するための主要な要件はどれか。
A. 監査対象となる活動に対し、個人的または専門的な関与を持っていないこと。
B. 取締役会のメンバーの直系卑属(子供や孫)であること。
C. 特定の業界で少なくとも10年の経験を持っていること。
D. 日々のすべての業務についてCFOに報告すること。
【解答・解説】
正解と解説を表示
正解(A): 客観性とは、偏見のない公平な精神的態度であり、自らが関与した業務を監査するような利益相反を避けることが基本です。
不正解(B): これは逆に独立性や客観性を損なう要因になります。
不正解(C): 経験は「能力」には関わりますが、「客観性」を保証するものではありません。
不正解(D): CFOへの過度な依存は、客観性を損なうリスク(忖度など)を高める可能性があります。
Q42. 給与計算部門の監査中に、監査人は給与担当係によって3人の「幽霊従業員(架空の従業員)」がシステムに登録されていることを発見しました。監査人はどうすべきか。
A. さらなる損失を防ぐために、直ちにシステムから幽霊従業員を削除する。
B. 給与担当係に対し、発見したことを伝え、金の返還を求める。
C. 内部監査部門の不正調査手続に従い、CAEに報告する。
D. 3ヶ月後に最終監査報告書が発行されるまで、情報を機密にしておく。
【解答・解説】
正解と解説を表示
正解(C): 不正が発見された場合、監査人は証拠を保全し、専門の調査チームやCAEに報告するなど、組織で定められた不正対応手順に従う必要があります。
不正解(A, B): 独断で行動すると、証拠を破壊したり、犯人に逃げる猶予を与えたりする可能性があるため、不適切です。
不正解(D): 不正への対応は適時性が求められ、通常の報告サイクルまで待つべきではありません。
Q43. コントロール自己評価(CSA)プログラムの最も可能性の高い利点はどれか。
A. 独立した内部監査活動の必要性を排除できる。
B. 内部統制の責任を、経営陣から監査人に移転できる。
C. 現場のマネジメントやスタッフのリスクとコントロールに対する意識を高める。
D. 組織内で不正が一切発生しないことを法的に保証できる。
【解答・解説】
正解と解説を表示
正解(C): CSAは、業務に精通した従業員自らが評価に関与するため、リスク意識の向上や責任感(オーナーシップ)の醸成に大きく寄与します。
不正解(A): 内部監査による独立した検証は引き続き必要です。
不正解(B): 統制責任は常に経営陣にあり、監査人に移ることはありません。
不正解(D): いかなるプログラムも不正の発生をゼロにすることを保証はできません。
Q44. 内部監査人は上級役員の「利益相反」開示状況をレビューしています。監査人は、ある役員がベンダーへの出資分を開示していないことを発見しました。この役員の行為は、どの原則に主に違反していますか。
A. ガバナンス(Governance)。
B. 誠実性(Integrity)。
C. 熟達した能力(Competency)。
D. プライバシー(Privacy)。
【解答・解説】
正解と解説を表示
正解(B): 正直であること、および必要な情報を開示することは「誠実性」の基本です。利害関係を隠す行為は誠実性に欠けます。
不正解(A, C, D): 倫理的な正直さに関わる問題であり、誠実性が最も直接的な違反となります。
Q45. CAEは取締役会から、外部監査人の監査調書を監査するよう依頼されました。CAEはどう対応すべきか。
A. 内部監査人には外部監査の業務をレビューする権限がないため、拒否する。
B. 外部監査人が書面で同意し、取締役会が特定の権限(マンデート)を与えた場合に限り、引き受ける。
C. 基準においてすべての内部監査部門の標準的な要件であるため、引き受ける。
D. 会社と外部監査人の間の機密保持契約に違反するため、拒否する。
【解答・解説】
正解と解説を表示
正解(B): 外部監査人と内部監査人は協力関係にあることが望ましいですが、外部監査人の調書は彼らの所有物です。適切な合意と取締役会の明確な指示があれば、レビューを行うことは可能です。
不正解(A, D): 条件が整えば不可能ではありません。「常に拒否」すべき事項ではありません。
不正解(C): 標準的な「義務」ではありません。必要に応じて行われる活動です。
Q46. 「内部統制」と「リスクマネジメント」の関係を最もよく説明しているのはどれか。
A. 内部統制はリスクマネジメントの一部であり、特定の目標達成に焦点を当てている。
B. リスクマネジメントは内部統制の一部であり、財務報告に焦点を当てている。
C. 異なる部門が使用する、全く無関係な2つの概念である。
D. 内部統制とリスクマネジメントは同一であり、入れ替え可能な用語である。
【解答・解説】
正解と解説を表示
正解(A): 内部統制は、リスクを適切なレベルに抑え、組織の目標達成を合理的に保証するためのプロセスであり、広義のリスクマネジメントの枠組みの中に含まれます。
不正解(B, D): リスクマネジメントの方がより広い概念であり、同一ではありません。
Q47. 監査人は建設プロジェクトの監査を実施しています。プロジェクトマネージャーが下請業者からキックバック(リベート)を受け取っている疑いがあります。最も説得力のある証拠はどれか。
A. 会社の内部通報ホットラインに寄せられた匿名のアドバイス。
B. 最近解雇された不満を持つ元従業員からの口頭での証言。
C. 下請業者からプロジェクトマネージャーの個人口座への入金を示す銀行記録。
D. 下請業者がその建設契約の唯一の入札者であったという事実。
【解答・解説】
正解と解説を表示
正解(C): 直接的な金銭の流れを示す銀行記録は、不正を証明する上で最も客観的で説得力の高い「確実な証拠(事実上の証拠)」です。
不正解(A, B): 噂や証言は「伝聞」に近い側面があり、裏付けが必要です。
不正解(D): 状況証拠であり、それだけでキックバックを証明することはできません。
Q48. 基準は、内部監査人に「勇気(Courageous)」であることを求めています。この文脈における勇気の意味として最も適切なものはどれか。
A. リスクに対処するために、必要に応じてシニアマネジメントに異議を唱えること。
B. 安全装備なしで危険な建設現場の物理的検査を行うこと。
C. 公衆を保護するために、機密性の高い監査結果をプレス(報道機関)に共有すること。
D. 失敗している部門の管理を引き継ぎ、どうあるべきかを示すこと。
【解答・解説】
正解と解説を表示
正解(A): 新基準(GIAS)では、誠実性の一環として「勇気」が強調されています。これは、上位者であっても、組織のために言うべきことを言い、倫理的で客観的な立場を貫くことを指します。
不正解(B): 無謀な行為であり、専門職としての態度ではありません。
不正解(C): 原則として機密保持に反します。
不正解(D): 経営業務への介入であり、独立性を損なう不適切な行為です。
Q49. 効果的な内部監査部門の特徴はどれか。
A. 過去の財務データのみに焦点を当てている。
B. 高い程度の組織上の独立性と個人の客観性を持って運営されている。
C. すべての戦略的意思決定について、最高執行責任者(COO)に直接報告している。
D. 経営陣に不評を買う可能性のある勧告は避けている。
【解答・解説】
正解と解説を表示
正解(B): 独立性と客観性は、内部監査が信頼されるアシュアランスを提供するための絶対的な基盤です。
不正解(A): 現代の監査は財務だけでなく、業務、IT、戦略など広範囲を対象とします。
不正解(C): 報告先は通常COOではなく、取締役会(職務的)およびCEO(事務的)が望ましいです。
不正解(D): 不評であっても必要な指摘を行うのが内部監査の役割です。
Q50. CAEは新しいデータプライバシー監査を導入しようとしています。担当する監査人は認定情報プライバシープロフェッショナル(CIPP)の資格を持っていますが、監査の経験がありません。CAEはどうすべきか。
A. 専門知識(専門領域の知見)があるため、その監査人にエンゲージメントを主導させる。
B. 監査手法が守られるよう、プライバシーの専門家と経験豊富な内部監査人をペアにする。
C. プライバシーの専門家に対し、まず3週間の財務会計コースを受講させる。
D. ミスが起きないよう、CAE自らが監査を直接実施する。
【解答・解説】
正解と解説を表示
正解(B): 特定分野の知識と監査スキルの両方が必要です。経験不足を補うために、監査実務に長けたメンバーと組ませることは、品質を確保するための適切なリソース配置です。
不正解(A): 専門知識があっても監査実務(調書の作成や証拠評価)を知らなければ、適切なアシュアランスは提供できません。
不正解(C): 財務会計はこの場合、直接的な解決策ではありません。
不正解(D): CAEは管理・監督に集中すべきであり、リソースがあるなら自ら実務を行うのは非効率です。
Q51. 内部監査人がプロセスの「ウォークスルー」に参加する主な目的はどれか。
A. そのプロセスが100%効率的かつ効果的であるとして承認(サインオフ)するため。
B. プロセスの流れを理解し、潜在的なコントロールポイントを特定するため。
C. 従業員に対し、日々の業務を正しく遂行する方法をトレーニングするため。
D. 監査中の実証性テストの必要性をなくすため。
【解答・解説】
正解と解説を表示
正解(B): ウォークスルーは、取引の発生から完了までを追跡することで、実際の運用状況を把握し、どこにリスクがありどこにコントロールがあるかを確認するために行います。
不正解(A): 100%の保証はできません。
不正解(C): トレーニングは経営陣の役割です。
不正解(D): ウォークスルーは理解のための手続であり、通常は別途テストが必要です。
Q52. 内部監査人の「客観性」に対する最大の脅威となるシナリオはどれか。
A. 監査人が、3年前に働いていた部門の監査に割り当てられた。
B. 監査人が、6ヶ月前に自分が内部統制を設計したプロセスの監査を行っている。
C. 監査人が、大学時代の教授だったマネージャーが率いるプロジェクトを監査している。
D. 監査人が、自分が通っている地元の教会にサービスを提供しているベンダーを監査している。
【解答・解説】
正解と解説を表示
正解(B): 自ら設計した統制を監査することは「自己監査の脅威」に該当し、客観性が著しく損なわれます(通常、少なくとも1年の経過が必要です)。
不正解(A): 1年以上経過していれば、通常は認められます。
不正解(C, D): 利益相反になる可能性はありますが、(B)のような構造的な客観性の欠如に比べれば脅威の度合いは低い、あるいはセーフガードで対応可能です。
Q53. 基準によると、CAEはエンゲージメントの最終結果を誰に伝えるべきか。
A. 監査中にインタビューを受けた従業員のみ。
B. 取締役会、シニアマネジメント、および外部監査人。
C. 結果が適切に検討されることを確実にする立場にある人々。
D. 組織の外部ウェブサイトを通じて一般市民に公開。
【解答・解説】
正解と解説を表示
正解(C): 報告書は、その内容を理解し、改善措置を講じる権限や責任を持つ適切な関係者に配布されなければなりません。
不正解(A): インタビューを受けた従業員は必ずしも是正措置を決定・実行できる立場にあるとは限らず、結果が適切に検討・対応される保証がないため不適切です。
不正解(D): 内部監査報告書は機密文書であり、一般公開はしません。
不正解(B): 取締役会には「サマリー(要約)」を報告するのが一般的であり、すべての個別報告書を全員に配布するとは限りません。
Q54. 「固有リスク(Inherent Risk)」の説明として最も適切なものはどれか。
A. すべてのコントロールが正常に導入された後に残るリスク。
B. 経営陣がリスクの発生可能性や影響度を変えるための措置を講じていない状態でのリスク。
C. 監査人が財務諸表に対して誤った意見を述べるリスク。
D. 組織の戦略が根本的に間違っているリスク。
【解答・解説】
正解と解説を表示
正解(B): 固有リスクとは、内部統制などの対策を何も講じていない、その活動自体がもともと持っているリスクのことです。
不正解(A): これは「残存リスク」の説明です。
不正解(C): これは「監査リスク」の説明です。
不正解(D): 「戦略が根本的に間違っている」というのは、組織の方向性や意思決定に関する問題であり、固有リスクの定義(統制を講じる前に活動自体が本来持つリスク)とは異なります。固有リスクは活動・取引・業務プロセスに内在するリスクを指します。
Q55. 組織が非常に強力な「第1ライン」を持っている場合、内部監査部門にとってどのような意味を持つか。
A. 内部監査は経営陣の報告に全面的に依拠し、監査の実施を中止できる。
B. 内部監査は基本的な業務統制よりも、高レベルの戦略的リスクに焦点を当てることができる。
C. 内部監査はもはや価値を付加していないため、解散すべきである。
D. 強力な第1ラインはしばしば不正を隠すため、内部監査はテストを増やさなければならない。
【解答・解説】
正解と解説を表示
正解(B): 第1ライン(現場の自律的な統制)がしっかりしていれば、内部監査はより高度なリスク領域や、組織全体のガバナンスなどの付加価値の高い領域にリソースをシフトできます。
不正解(A, C): 第1ラインが強くても、独立した第3ラインによる検証はガバナンス上不可欠です。
不正解(D): 一般的には、第1ラインが強いほど統制環境は良好であると判断されます(偏見を持ってテストを増やす必要はありません)。
Q56. CAEは、会社の給与システムの新しいベンダーを選定する委員会への参加を要請されました。基準に基づき、正しい記述はどれか。
A. これは独立性を損なう経営上の意思決定であるため、CAEは拒否すべきである。
B. CAEは、リスクとコントロールに関する知見を提供するために、アドバイザーの立場で参加できる。
C. 客観性を確保するために、CAEが最終決定を下すべきである。
D. CAEは、今後5年間給与システムを監査しないと約束した場合にのみ参加できる。
【解答・解説】
正解と解説を表示
正解(B): 内部監査人はその専門性を活かし、プロジェクトのリスク管理や統制の組み込みについて助言を行うことができます。ただし、決定権を持たずアドバイザーに徹することが条件です。
不正解(A): 助言提供(コンサルティング)は認められた役割です。
不正解(C): 決定を下すことは経営側の役割(第1・第2ライン)を担うことになり、独立性を損ないます。
不正解(D): 5年という過度な制限は一般的ではありません。役割を助言に限定すれば、将来の監査も可能です。
Q57. グローバル内部監査基準における「属性(Attribute)」の例はどれか。
A. 内部監査部門が独立していなければならないという要件。
B. データ移行監査を実施するために必要な具体的なステップ。
C. 買掛金部門の監査に要する時間。
D. 指摘事項を追跡するために内部監査チームが使用するソフトウェア。
【解答・解説】
正解と解説を表示
正解(A): 「属性基準」とは、内部監査を行う組織や個人の特性(独立性、客観性、能力、正当な注意など)に関する基準を指します。※新基準GIASでもこの概念はドメインII、IIIに引き継がれています。
不正解(B, C, D): これらは具体的な監査の手順(プログラム)やリソースに関する事項です。
Q58. 内部監査人はIT災害復旧計画(DRP)をレビューしています。計画が2年間テストされていないことが判明しました。これは何の例か。
A. コントロールの設計上の欠陥(不備)。
B. コントロールの運用上の欠陥(不備)。
C. 完璧な統制環境。
D. 監査人の範囲外にある戦略的リスク。
【解答・解説】
正解と解説を表示
正解(B): 計画自体は存在している(設計されている)ものの、決められた通りに実行(テスト)されていないため、運用の不備に該当します。
不正解(A): 設計上の不備は、ルールそのものがない、あるいはルールが目的を達成できない内容であることを指します。
不正解(C): テストされていないのはリスクであり、完璧ではありません。
不正解(D): DRPの未テストは、IT統制(BCP/DRの運用)に関する明確な内部統制上の問題であり、内部監査の範囲外の「戦略的リスク」とは言えません。むしろ内部監査が検証すべき運用上の統制の不備に該当します。
Q59. 監査計画で特定された高リスク領域を監査するためのリソースが不足している場合、CAEがまず最初に行うべきことはどれか。
A. 監査を独立して行わせるために、一時的なインターンを雇用する。
B. 監査をスキップし、年間を通じて問題が発生しないことを願う。
C. リソースの制限と、その結果生じるリスクを取締役会に伝える。
D. テストを支援させるために、監査対象部門からスタッフを借りる。
【解答・解説】
正解と解説を表示
正解(C): 重要な監査がリソース不足で実施できないことは重大なリスクです。ガバナンス機関である取締役会に対し、現状を透明性を持って報告し、対策(予算増額やリスク受容の判断)を仰ぐのが第一歩です。
不正解(A): インターンだけで高リスク監査を行うのは能力的に不安があり、解決策として不十分です。
不正解(B): 高リスク領域を把握していながら監査を意図的に実施しないのは、内部監査部門の責任放棄にあたり、組織のリスク管理・ガバナンスを弱めます。まず行うべきは、監査不能によるリスクを適切に報告し、経営として対応方針を判断できる状態にすることです。
不正解(D): 被監査部門のスタッフにテストをさせるのは、客観性の観点から極めて慎重であるべきです。
Q60. 調達プロセスにおける不正の「レッドフラッグ(兆候)」として最も可能性の高いものはどれか。
A. ベンダーが請求書の早期支払いに対して割引を提供している。
B. 一人の従業員が、ベンダーの承認と支払の承認の両方を行う権限を持っている。
C. 組織がすべての注文書を追跡するために電子システムを使用している。
D. 調達マネージャーが15年以上会社に勤務している。
【解答・解説】
正解と解説を表示
正解(B): 職務分掌の欠如(承認と支払の兼務)は、一人の人間が架空の取引を作成し、自ら支払いを実行することを可能にするため、典型的な不正の機会となります。
不正解(A, C): これらは健全なビジネス慣行、またはコントロールの強化につながる事項です。
不正解(D): 長年勤務していること自体は信頼の証でもあり、それ単体ではレッドフラッグとは言えません(他の要因と組み合わさる場合は別です)。
Q61. 基準に基づく、CAEと取締役会のコミュニケーションに関する要件はどれか。
A. CAEは、定期的に経営陣が同席しない状態で取締役会と面談しなければならない。
B. CAEは、すべての監査調書のコピーを取締役会に提供しなければならない。
C. CAEは、監査スタッフの毎日の通勤費について取締役会の承認を得なければならない。
D. CAEは、重大な不正が発見された場合にのみ取締役会に報告すればよい。
【解答・解説】
正解と解説を表示
正解(A): 経営陣(CEO等)を交えないプライベート・セッションを設けることは、経営陣に関するデリケートな問題などを話し合うために不可欠であり、独立性を高める観点から望ましく、基準の趣旨にも合致します。
不正解(B): 調書は詳細すぎて取締役会の監督レベルには適しません。
不正解(C): 通勤費などの細かな経費は経営陣(事務的ライン)の承認事項です。
不正解(D): 不正だけでなく、計画の進捗や品質、リスクなど定期的な報告が必要です。
Q62. 監査中に、監査人はCEOが会社のジェット機を会社への返金なしに個人的な休暇に使用していることを発見しました。CEOは監査人に対し、これは「機密の報酬契約」の一部であると語りました。監査人はどうすべきか。
A. CEOの説明を受け入れ、報告書から指摘事項を除外する。
B. 取締役会が承認した報酬記録を確認し、その契約の存在を検証する。
C. CEOによる企業資産の私的流用について、地元のニュースメディアに通報する。
D. 共犯者になるのを避けるために、直ちに組織を辞任する。
【解答・解説】
正解と解説を表示
正解(B): 「誠実性」と「専門職としての懐疑心」に基づき、口頭の説明だけで済ませず、客観的な証拠(取締役会の議事録や契約書)で事実を確認する必要があります。
不正解(A): 証拠なしに鵜呑みにすることは、専門職としての注意を怠っています。
不正解(C, D): まずは組織内での適切な検証(エスカレーション)を行うべきであり、これらは極端すぎる対応です。
Q63. 内部統制の「統制環境(Control Environment)」コンポーネントを最もよく説明しているのはどれか。
A. 不正アクセスを防ぐために使用される特定のコンピュータ・プログラム。
B. 組織全体で内部統制を実施するための基準、プロセス、および構造を提供する一連の基盤。
C. 目標達成に対するリスクを特定し、分析するプロセス。
D. 組織本部の物理的な鍵や警備員。
【解答・解説】
正解と解説を表示
正解(B): 統制環境は、組織の誠実性や倫理観、ガバナンス構造、責任の割り当てなどを含み、他のすべての内部統制コンポーネントの基礎となる「組織の気風」です。
不正解(A, D): これらは「統制活動(Control Activities)」の具体例です。
不正解(C): これは「リスクアセスメント」の説明です。
Q64. 監査人が「発見サンプリング(Discovery Sampling)」を使用しています。この技法の主な目的は何か。
A. 母集団におけるエラーの総額を推定すること。
B. 特定の特性(不正など)が一定の割合で存在する場合、少なくとも1つの事例を特定すること。
C. 出荷倉庫内のアイテムの平均重量を決定すること。
D. 監査人の個人的な偏見や直感に基づいてアイテムを選択すること。
【解答・解説】
正解と解説を表示
正解(B): 発見サンプリングは、不正などの「発生してはならない」事象が母集団に一つでもあるかどうかを見つけるために設計された統計的サンプリング手法です。
不正解(A): これは「変数サンプリング(金額推定)」の目的です。
不正解(C): これも変数サンプリングの例です。
不正解(D): サンプリングにおいて個人的な偏見を入れることは避けるべきです(非統計的サンプリングであっても判断の根拠が必要です)。
Q65. グローバル内部監査基準に反映されている「内部監査の定義」における必須要素はどれか。
A. 株主のために短期的な利益を最大化すること。
B. 組織の価値を高め、保護すること。
C. 外部の規制当局に直接報告すること。
D. リスクマネジメントに関する経営陣の責任を代替すること。
【解答・解説】
正解と解説を表示
正解(B): 内部監査は、アシュアランス、アドバイス、洞察を通じて、組織の価値を保護・付加することを目的としています。
不正解(A): 短期的利益の最大化は内部監査の定義ではありません。
不正解(C): 内部監査は組織内部のガバナンスの一部です。
不正解(D): リスク管理の責任はあくまで経営陣にあります。
Q66. アウトソーシング契約の監査を実施する際、内部監査人が主に焦点を当てるべきなのはどれか。
A. ベンダーの従業員が福利厚生に満足しているかどうか。
B. 組織が「監査権(Right to Audit)」条項を確立し、モニタリング・コントロールを行っているか。
C. ベンダーがアウトソーシング元の組織と同じロゴを使用しているか。
D. アウトソーシング契約が青または黒のどちらのインクで署名されたか。
【解答・解説】
正解と解説を表示
正解(B): 外部委託(アウトソーシング)に伴うリスクを管理するためには、契約に基づいて相手方の状況を監視し、必要に応じて監査できる権利を確保しておくことがガバナンス上、非常に重要です。
不正解(A, C, D): これらは監査上の重要性が低い、あるいは無関係な事項です。
Q67. CAEは内部品質評価の結果をレビューしています。評価の結果、監査人が調書に自らの結論を文書化していないことがわかりました。どの基準に違反しているか。
A. 誠実性(Integrity)。
B. 監査調書の作成・十分な文書化(Documentation)。
C. 熟達した能力(Competency)。
D. 組織上の独立性(Organizational Independence)。
【解答・解説】
正解と解説を表示
正解(B): 内部監査人は、実施した作業、分析、およびそこから得られた結論を調書に明確に記録しなければなりません。結論の欠如は、監査プロセスの不備を示します。
不正解(A, C, D): これらは倫理観、能力、報告体制に関するものであり、調書作成の不備と直接関係するものではありません。
Q68. 「リスクマネジメント部門」が存在する組織において、内部監査部門の役割はどれか。
A. コストを節約するために、リスクマネジメント部門を吸収し引き継ぐこと。
B. リスクマネジメント・プロセスの有効性について、独立したアシュアランスを提供すること。
C. 何を監査すべきかについて、リスクマネジャーから与えられた指示に従うこと。
D. リスクマネジメントを無視し、財務会計のみに焦点を当てること。
【解答・解説】
正解と解説を表示
正解(B): リスクマネジメント部門(第2ライン)が存在しても、内部監査(第3ライン)はその活動が有効に機能しているかを独立した立場から評価する独自の役割を負います。
不正解(A): 役割が混在し、独立性が損なわれるため適切ではありません。
不正解(C): 内部監査は独立しており、他部署の指示に縛られるべきではありません。
不正解(D): 内部監査は財務会計だけに限定されず、リスクマネジメント、内部統制、ガバナンス全体を対象とします。リスクマネジメント部門が存在する場合でも、それを無視するのではなく、むしろリスクマネジメント・プロセスの有効性に対して独立した評価(アシュアランス)を提供することが求められます。
Q69. 「ソフトコントロール(Soft Control)」の例はどれか。
A. 10,000ドルを超える小切手に対する二重署名の要件。
B. 組織文化および「トーン・アット・ザ・トップ」。
C. 不正なIPアドレスをブロックするファイアウォール。
D. 月次の在庫照合報告書。
【解答・解説】
正解と解説を表示
正解(B): ソフトコントロールは、倫理観、信頼、能力、組織文化など、数値化や物理的な強制が難しい精神的な統制要素を指します。
不正解(A, C, D): これらは具体的な手続きやシステムによる「ハードコントロール」です。
Q70. 内部監査人が監査のフィールドワークを終了し、いくつかの重大な問題を特定しました。最終報告書を発行する前に、監査人は何をすべきか。
A. サプライズ(驚きの要素)を維持するために、直ちに報告書を発行する。
B. 事実関係の正確性を確保するために、監査対象領域のマネジメントと指摘事項をレビューする。
C. 透明性を高めるために、会社の内部掲示板に指摘事項を掲示する。
D. 指摘事項を秘密にし、外部監査人とだけ話し合う。
【解答・解説】
正解と解説を表示
正解(B): 報告書の正確性と公平性を担保し、改善への合意を得るために、正式な発行前に被監査部門のマネジメントと内容を協議(クロージング・ミーティング等)することが基準で求められています。
不正解(A): 監査の結論においてサプライズは不要であり、誤解を招くリスクを高めるだけです。
不正解(C): 機密保持の観点から不適切です。
不正解(D): 改善を行うべき当事者である現業部門にまず伝えるべきです。
