CIAパート2：トピック別要求事項と監査目標｜独学で押さえる試験対策

Contents

テーマ：一般道と「専用レーン」の走り方～トピック別要求事項の位置づけ～
【練習問題】パート2 セクションA-1-a

テーマ：一般道と「専用レーン」の走り方～トピック別要求事項の位置づけ～

セクションA-1-aは、2024年に公表されたGIAS（グローバル内部監査基準）における「トピック別要求事項（Topical Requirements）」という新しい枠組みの理解です。

試験では、内部監査の計画を立てる際、「いつ」「どのように」この特別なルールを適用すべきかという判断力が問われます。

1. 導入：GIASにおける「2階建て」構造

新しい基準（GIAS）は、大きく分けて2種類の要求事項で構成されています。

一般要求事項（General Requirements）： すべての内部監査業務に共通して適用されるルール（例：独立性の保持、計画の策定、文書化など）。これは全員が守る「憲法」のようなものです。
トピック別要求事項（Topical Requirements）： 特定の監査テーマ（例：サイバーセキュリティ、外部委託管理、サステナビリティなど）を実施する場合にのみ適用される追加ルールです。

★ポイント： これまでの「ガイダンス（推奨）」とは異なり、トピック別要求事項は「要求事項（必須）」です。つまり、該当するテーマの監査を行う場合、監査人は「参考にしてもよい」のではなく、「必ず遵守しなければならない」ことになります。

2. 計画策定における適用の流れ

個々の監査業務の計画（プランニング）段階で、監査人は以下の思考プロセスを経る必要があります。

ステップ①：監査対象の特定

まず、今回監査する領域が何であるかを定義します（例：ITセキュリティ監査）。

ステップ②：トピック別要求事項の確認

その領域に対応する「トピック別要求事項」がGIASに存在するかを確認します。

存在しない場合： 通常通り、一般要求事項（ドメイン1～5）に基づいて計画する。
存在する場合： 一般要求事項に加え、そのトピック別要求事項を計画に組み込む。

ステップ③：目標と範囲への反映

ここが試験の核心です。トピック別要求事項が存在する場合、そこに記載されている「必須の監査手続き」や「評価すべきリスク」を、今回の監査業務の「目標」と「範囲」に含める義務が生じます。

イメージ：普通の料理を作るなら「衛生基準（一般要求事項）」だけ守ればよい。しかし、「フグ」を調理するなら、「フグ調理師の特別規定（トピック別要求事項）」も守らなければならない。

3. 「目標」と「範囲」への具体的な影響

トピック別要求事項を適用すると、計画書の内容は自動的に補正されます。

項目	通常の監査（適用なし）	トピック別要求事項がある場合
目標の設定	監査人がリスク評価に基づき独自に設定する。	監査人の判断に加え、トピック別要求事項が求める必須評価項目を目標に追加する。
範囲の決定	時間と資源を考慮して範囲を限定する。	トピック別要求事項が指定する領域（例：ガバナンス、リスク管理、コントロールの特定の要素）を範囲から除外してはならない（正当な理由がない限り）。
強制力	基本原則に準拠していれば柔軟。	厳格。遵守できない場合は、その理由を文書化し承認を得る必要がある。

4. なぜこれが重要なのか？（監査品質の均質化）

これまで、例えば「サイバーセキュリティ監査」を行う際、監査人のスキルによって監査の深さにバラつきがありました。 GIASがトピック別要求事項を導入した目的は、「重要なリスク領域については、誰が監査しても最低限クリアすべき品質ライン（ベースライン）を保証する」ことにあります。

試験では、「監査人の自主性」と「基準の強制力」のバランスが問われます。「トピック別要求事項があるのに、監査人の判断で無視してよいか？」→ 答えはNOです。

5. 試験で狙われる「ひっかけ」ポイント

×「トピック別要求事項は、あくまで推奨されるベストプラクティスであり、遵守義務はない」
- 解説： 間違いです。GIASにおいて「要求事項（Requirements）」と名の付くものは、原則として遵守義務（Mandatory）があります。
×「すべての監査業務において、すべてのトピック別要求事項を確認し、適用しなければならない」
- 解説： 非効率すぎます。適用するのは、あくまで「その監査テーマに関連する場合のみ」です。財務監査でサイバーセキュリティの要求事項を守る必要はありません。
×「トピック別要求事項に記載された項目は、リスクが低いと判断されても必ずテストしなければならない」
- 解説： ここは微妙なひっかけです。トピック別要求事項は遵守すべきですが、GIASは「リスク・ベース」が原則です。もし特定の要件がその組織にとって全く関連がない（適用不可）場合は、その理由を文書化することで適用を除外できる場合がありますが、単に「面倒だから」という理由で省略はできません。

まとめ

セクションA-1-aのポイントは、「If（もし）～ Then（ならば）」のルールです。

If 監査テーマに合致するトピック別要求事項がある
Then それは「参照資料」ではなく「必須のチェックリスト」として、監査計画（目標・範囲）に組み込まなければならない。

監査人は、自分の判断（リスク評価）と、基準の要求（トピック別要求事項）の両方を満たす計画を作る必要があります。

【練習問題】パート2 セクションA-1-a

Q1. 内部監査人が「外部委託（アウトソーシング）管理」に関する監査業務を計画している。GIASにおいて、このトピックに関連する「トピック別要求事項」が存在することを確認した。この場合の監査人の対応として、最も適切なものはどれか。

A. トピック別要求事項は推奨ガイダンスであるため、参考程度に留め、独自のリスク評価のみに基づいて監査範囲を決定する。

B. トピック別要求事項に記載されている要件を、今回の監査業務の目標および範囲を決定する際の必須基準として考慮する。

C. トピック別要求事項は、外部監査人が使用するものであり、内部監査業務の計画には適用されない。

D. トピック別要求事項の内容が組織の現状と乖離している場合、取締役会の承認を得て、GIASへの準拠を宣言せずに監査を行う。

【解答・解説】

正解と解説を表示

正解（B）： トピック別要求事項は、特定の監査テーマにおいて遵守すべき必須の要件です。監査人は計画策定段階でこれを確認し、監査の目標と範囲に反映させる義務があります。

不正解（A）： GIASにおけるトピック別要求事項は「推奨（Guidance）」ではなく「要求（Requirements／Mandatory）」です。

不正解（C）： トピック別要求事項は内部監査人のための基準であり、外部監査人用ではありません。

不正解（D）： 基準への準拠を放棄するのではなく、適用除外の正当性があるか検討すべきです。安易に非準拠を選択すべきではありません。

Q2. 内部監査部門長（CAE）は、次年度の監査計画に含まれる「サイバーセキュリティ監査」の準備を進めている。担当監査人は、「組織のリスク許容度と比較して、サイバーセキュリティのトピック別要求事項が詳細すぎるため、一部を省略したい」と提案してきた。この提案に対するCAEの指導として、GIASに基づき最も適切なものはどれか。

A. 監査人の専門的判断を尊重し、省略を許可する。

B. トピック別要求事項は全ての項目を機械的にテストしなければならないため、一切の省略を認めない。

C. 関連するトピック別要求事項を確認し、省略しようとする項目が組織のリスクや状況に該当しない（適用不可である）ことが合理的に説明・文書化できる場合に限り、省略を検討する。

D. 省略する代わりに、外部コンサルタントに該当部分の監査を委託するよう指示する。

【解答・解説】

正解と解説を表示

正解（C）： トピック別要求事項は原則必須ですが、組織の事業内容や環境に全く当てはまらない項目まで強制するものではありません。適用しない場合は、その理由（非該当であることなど）を合理的に説明し、文書化する必要があります。「詳細すぎる（面倒だ）」という理由だけでは省略できません。

不正解（A）： 監査人の判断だけで、必須要求事項を無視することはできません。

不正解（B）： 状況に合致しない（例：クラウドを使っていないのにクラウドの要件など）場合まで強制するのは非効率であり、GIASの意図ではありません。

不正解（D）： 外部委託しても、監査責任としての基準遵守義務は変わりません。

Q3. 個々の内部監査業務の「目標（Objectives）」を設定する際、トピック別要求事項が果たす役割に関する記述として、正しいものはどれか。

A. トピック別要求事項は、監査の手続き（テスト方法）のみを規定しており、監査の目標設定には影響を与えない。