【CIA試験講義】パート2 セクションA-5-b: 蔓延するリスク(Pervasive Risks)の認識
テーマ:地下茎でつながる雑草 ~見えている葉っぱだけを刈るな~
セクションA-5-bは、個々の監査業務(例えば「人事部の採用プロセス」)のリスク評価を行う際に、その業務単体だけでなく、組織全体に根を張っている「蔓延するリスク(Pervasive Risks)」を認識しなければならないという要件です。
試験では、「特定の部署の問題」と「組織全体に関わる問題」のリンクを見抜く統合的な視点が問われます。
1. 導入:「蔓延するリスク」とは何か?
監査人が「人事部」を監査しているとします。「採用面接の記録漏れ」は人事部固有のリスクです。 しかし、「採用した社員がPCを持ち出してウイルスに感染させた」場合、これは人事部の問題でしょうか? IT部門の問題でしょうか? それとも全社のセキュリティ教育の問題でしょうか?
このように、部門やプロセスの壁を越えて、組織全体に影響を及ぼすリスクを「蔓延するリスク」と呼びます。これらは単独で存在するのではなく、あらゆる業務プロセスの裏側に潜んでいます。
2. 認識すべき5つのカテゴリ
GIASは、詳細なリスク評価において以下のカテゴリを必ず考慮(認識)するよう求めています。
| カテゴリ | 具体例 | 監査人が自問すべきこと |
|---|---|---|
| ① 財務 (Financial) | 予算超過、横領、資金繰りの悪化 | 「この業務の失敗は、最終的に財務諸表のどこを傷つけるか?」 |
| ② 業務 (Operational) | 非効率、ボトルネック、人的ミス | 「このプロセスが止まったら、他のどの部署が連鎖的に止まるか?」 |
| ③ IT | システム障害、データの整合性 | 「この業務はどのシステムに依存しているか? システムが止まったらどうなるか?」 |
| ④ サイバーセキュリティ (Cybersecurity) | ハッキング、ランサムウェア、情報流出 | 「この部署が扱っているデータは、攻撃者にとって魅力的か?」 |
| ⑤ 規制 (Regulatory/ Compliance) | 法令違反、GDPR、労基法 | 「ここで起きている小さなルール違反は、実は全社的なコンプライアンス文化の欠如ではないか?」 |
3. リスク評価における「縦」と「横」の視点
通常のリスク評価は「縦(その部署の深掘り)」に行います。 しかし、セクションA-5-bは「横(組織全体への広がり)」を見ることを求めています。
- 悪い例(縦のみ):
- 営業部門の監査で、「営業日報の書き方」だけをチェックする。
- 良い例(横も見る):
- 営業部門の監査だが、「営業マンが持ち歩くタブレットのサイバーセキュリティ」や、「接待における贈収賄リスク(規制)」、「売上の架空計上による財務インパクト」も評価範囲に入れる。
4. なぜ「認識」が必要なのか?
蔓延するリスクを見落とすと、「モグラ叩き」の監査になってしまうからです。
- A支店で情報漏洩が起きた → A支店だけ監査して改善させた。
- 翌月、B支店で同じ漏洩が起きた。
- 原因: 全社的なセキュリティ教育(蔓延するリスク)が不足していたから。
監査人が計画段階で「これはA支店だけの問題ではなく、全社的なITリスクの一端だ」と認識していれば、より根本的な解決策(ルートコーズ分析)にたどり着けます。
まとめ
セクションA-5-bのポイントは、「Connecting the Dots(点と点を結ぶ)」です。
- 目の前の業務プロセス(点)を見る。
- その背後にあるIT、財務、コンプライアンス(線)を見る。
- それらが組織全体のリスク(面)とどう繋がっているかを認識する。
この「鳥の目(全体俯瞰)」を持つことで、個々の監査業務の価値が飛躍的に高まります。
【練習問題】パート2 セクションA-5-b
Q1. 内部監査人はマーケティング部門の監査を計画しており、詳細なリスク評価を行っている。この際、GIASが求める「蔓延するリスク(Pervasive Risks)」を認識する視点として、最も適切なものはどれか。
A. マーケティング部門が作成した広告の誤字脱字リスクのみに焦点を当てる。
B. マーケティング部門が使用している顧客データベースがサイバー攻撃を受けた場合、単に部門の業務停止に留まらず、組織全体の法的責任や評判(レピュテーション)に深刻な影響を与える可能性(サイバーセキュリティおよび規制リスク)を評価する。
C. 他部門のリスクは他部門の監査で扱うべきであるため、マーケティング部門の監査では、同部門内で完結するリスク以外は一切考慮しない。
D. 蔓延するリスクは経営陣の責任であるため、内部監査人が個々の監査計画で考慮する必要はない。
【解答・解説】
正解と解説を表示
正解(B): これが「蔓延するリスク」の認識です。マーケティング部門という特定の領域を監査する場合でも、そこで扱われるデータ(個人情報など)に関連するサイバーセキュリティや規制(GDPRなど)のリスクは、組織全体に影響を及ぼす広範なものです。監査人はこの「広がり」を認識し、評価に含める必要があります。
不正解(A): 誤字脱字は「固有の業務リスク」ですが、蔓延するリスクの視点としては狭すぎます。
不正解(C): リスクは部門の境界を越えます。サイロ型のアプローチは推奨されません。
不正解(D): 内部監査人は、個々の監査を通じて組織全体のリスク管理に貢献する責任があります。
Q2. 内部監査人は、製造工場の在庫管理プロセスの監査リスクを評価している。このプロセスに関連する「ITに関連する蔓延するリスク」を認識する例として、最も適切なものはどれか。
A. 工場の倉庫の鍵が物理的に壊れやすいというリスク。
B. 在庫管理システム(ERP)への入力ミスが発生するリスク。
C. 在庫管理システムが稼働するサーバーのセキュリティパッチが全社的に適用されておらず、工場だけでなく本社システムも含めた脆弱性が放置されているリスク。
D. 工場の作業員が安全靴を着用していないリスク。
【解答・解説】
正解と解説を表示
正解(C): 「蔓延するリスク」とは、単一の拠点やプロセスを超えて共通して存在するリスクです。セキュリティパッチの未適用というIT全般統制の不備は、工場の在庫システムだけでなく、組織全体のITインフラを危険に晒す「蔓延するリスク」の典型例です。
不正解(A): 物理セキュリティの不備ですが、局所的な問題です。
不正解(B): これはオペレーショナルな入力エラー(アプリケーション・コントロールの問題)であり、蔓延するITリスクというよりは個別の処理リスクです。
不正解(D): これは労働安全衛生(業務/規制)のリスクですが、局所的です。
Q3. 個々の監査業務のリスク評価において、財務、業務、IT、規制などの「蔓延するリスク」を認識・考慮しなかった場合、どのような弊害が生じる可能性が最も高いか。
A. 監査の範囲が不必要に広がり、予算を超過してしまう。
B. 特定の部門の表面的な問題に対処するだけで、組織全体に根ざしている根本的な原因(ルートコーズ)やシステミックな脆弱性を見落とすことになる。
C. 専門的なIT監査人が不要になり、内部監査部門の人員が削減される。
D. 経営陣からの監査報告書に対する満足度が向上する。
【解答・解説】
正解と解説を表示
正解(B): 蔓延するリスクを無視すると、現象(症状)だけを見て、その背後にある全社的な病巣(原因)を見逃すことになります。例えば、経理部のミスを個人の資質の問題として片付けてしまい、実は全社的なITシステムの使いにくさや、コンプライアンス教育の欠如が原因であることに気づけない、といった事態(モグラ叩き監査)を招きます。
不正解(A): 適切にリスク評価すれば、重要なリスクに絞り込めるため、必ずしも予算超過にはなりません。
不正解(C): むしろITリスクの重要性が増すため、専門知識の必要性は高まります。
不正解(D): 重要なリスクを見落とした報告書は、長期的には経営陣の信頼を損ないます。
