【CIA試験講義】パート2 セクションA-5-f: 組織構造や環境によるリスク評価への影響
テーマ:ピラミッドか、アメーバか? ~「形」が変われば「急所」も変わる~
セクションA-5-fは、詳細なリスク評価を行う際、その組織がどのような構造(Structure)や環境(Environment)で運営されているかによって、リスクの発生箇所や性質が根本的に異なることを認識しなければならないという要件です。
同じ「経理業務」であっても、軍隊のような厳格な組織で行う場合と、全員がリモートワークのスタートアップで行う場合とでは、警戒すべきリスクの種類が全く違います。試験では、この「文脈(Context)の違い」を読み解く力が問われます。
1. 導入:構造がリスクを規定する
監査計画を立てる前に、監査人は対象組織の「骨格」を確認します。
- 権限はどこにあるか?(一極集中か、現場任せか)
- 階層は深いか?(上意下達か、フラットか)
- 場所はどこか?(同じ部屋か、自宅か)
これらの違いは、コントロールの効きやすさ(有効性)に直結します。
2. 構造別リスク比較①:集中型 vs 分散型
権限と意思決定の所在による比較です。
| 構造 | 特徴 | 監査人が認識すべき主なリスク |
|---|---|---|
| 集中型 (Centralized) | 本社が強力な権限を持ち、全拠点を統制する。 | 「ボトルの首(ボトルネック)」 ・本社への承認集中による意思決定の遅れ。 ・現場の実情を無視したルールの押し付けによる、現場の形骸化。 ・本社が麻痺すると全社が止まる(単一障害点)。 |
| 分散型 (Decentralized) | 各支店や事業部に権限を委譲する(自律分散)。 | 「バラバラ(不統一)」 ・拠点ごとにルールが異なり、全社的なコンプライアンス維持が困難。 ・同じものを別々に買うなどの「無駄(非効率)」。 ・「お山の大将」化した拠点長の不正リスク。 |
3. 構造別リスク比較②:従来型(階層型) vs フラット型
組織図の「高さ」による比較です。
| 構造 | 特徴 | 監査人が認識すべき主なリスク |
|---|---|---|
| 従来型 (Traditional/Tall) | 部長、課長、係長…と階層が深いピラミッド型。 | 「伝言ゲームの失敗」 ・経営層のメッセージが現場に届くまでに歪む。 ・情報の隠蔽が起きやすい。 ・過度な官僚主義によるイノベーションの阻害。 |
| フラット型 (Flat) | 管理職が少なく、現場の裁量が大きい。 | 「監督の不在」 ・誰が承認者なのか曖昧(職務分掌の欠如)。 ・「誰も見ていない」ことによるエラーの放置。 ・業務範囲が不明確で、重要タスクが「ポテンヒット(誰も拾わない)」になる。 |
4. 環境別リスク比較③:対面型 vs リモートワーク
働く「場所」と「距離」による比較です。これは近年の試験で最重要トレンドです。
| 環境 | 特徴 | 監査人が認識すべき主なリスク |
|---|---|---|
| 対面型 (In-person) | オフィスに集まって働く。 | 「物理的リスク」 ・入退室管理や書類の盗難。 ・ハラスメントや人間関係の摩擦。 ※ソフト・コントロールは効きやすい |
| リモートワーク (Remote) | 自宅やサテライトオフィスで働く。 | 「サイバー&孤独」 ・家庭用Wi-Fiからの情報漏洩(エンドポイント・セキュリティ)。 ・組織文化(ソフト・コントロール)の希薄化。 ・シャドーIT(勝手に便利なツールを使う)の横行。 ・メンタルヘルスの悪化。 |
5. 監査計画への反映
このセクションのゴールは、「構造に合わせてリスク評価をチューニングすること」です。
- 分散型組織を監査する場合: 「本社のマニュアル通りか?」を見るだけでは不十分。「拠点独自のローカルルールが、許容範囲を超えていないか?」を重点的に見ます。
- リモートワーク組織を監査する場合: 「上司の承認印」を見る意味は薄れます(電子承認だから)。代わりに「ログのモニタリング」や「VPNの使用状況」など、IT統制に重点を置きます。
まとめ
セクションA-5-fのポイントは、「郷に入っては郷のリスクを見よ」です。
- 集中型には「硬直化」のリスクがある。
- 分散型には「統制不能」のリスクがある。
- リモートには「見えない」リスクがある。
万能な組織構造はありません。それぞれの「副作用」をリスクとして認識できるかが、監査人の腕の見せ所です。
【練習問題】パート2 セクションA-5-f
Q1. グローバル企業であるA社は、迅速な市場対応のために「完全な分散型組織(Decentralized Structure)」を採用しており、各国の支社長に採用・購買・投資の強い権限を与えている。内部監査人がA社のリスク評価を行う際、集中型組織と比較してより高く見積もるべきリスク(懸念事項)はどれか。
A. 意思決定プロセスが長くなり、市場の変化に対応できなくなるリスク。
B. 全社的なポリシーや基準が一貫して適用されず、拠点間でコンプライアンスや業務品質にばらつきが生じるリスク。
C. 本社のサーバーがダウンした場合、すべての海外拠点の業務が即座に停止するリスク。
D. 現場の従業員が指示待ち状態になり、自律的な改善活動が行われないリスク。
【解答・解説】
正解と解説を表示
正解(B): 分散型組織の最大のデメリット(リスク)は「統制の不統一」です。各拠点の自律性が高い反面、全社的なガバナンスが効きにくくなり、独自の解釈やルールの無視が発生しやすくなります。監査人はこの「ばらつき(Inconsistency)」を重点的に評価する必要があります。
不正解(A): 意思決定の遅れは、承認階層が多い「集中型」や「従来型(階層型)」組織の特徴的なリスクです。
不正解(C): 分散型はシステムも分散していることが多く、単一障害点のリスクはむしろ低くなります(集中型のリスクです)。
不正解(D): 指示待ち(受動的姿勢)は、トップダウンの強い「集中型」組織で起きやすい弊害です。
Q2. スタートアップ企業のB社は、イノベーションを促進するために「フラット型組織(Flat Organization)」を採用している。マネージャー職を極力廃止し、プロジェクトごとにメンバーが自律的に動くスタイルである。この環境において、内部監査人が認識すべき固有のリスクとして、最も適切なものはどれか。
A. 承認経路(チェーン・オブ・コマンド)が不明確であるため、誰が責任者か分からず、重要な判断に対する監督(Supervision)が不十分になるリスク。
B. 情報が上層部に伝わるまでに何度もフィルターがかかり、経営陣が現場の実態を把握できなくなるリスク。
C. 部門間の壁(サイロ)が高くなり、情報の共有が阻害されるリスク。
D. 従業員同士が顔を合わせる機会が減り、物理的なセキュリティが低下するリスク。
【解答・解説】
正解と解説を表示
正解(A): フラット型組織はスピードと自律性に優れますが、「監督機能の弱さ」がリスクとなります。明確な上司がいない(または管理範囲が広すぎる)ため、職務分掌が曖昧になったり、誰もチェックしないままハイリスクな業務が実行されたりする可能性があります。
不正解(B): これは階層が深い「従来型(階層型)」組織の典型的なリスク(情報の歪み)です。
不正解(C): サイロ化は、機能別に分断された「縦割り組織(従来型)」で発生しやすい問題です。
不正解(D): これは「リモートワーク」環境のリスクであり、フラット型であってもオフィス勤務であれば該当しません。
Q3. 内部監査人は、パンデミック以降「原則フルリモートワーク」に移行した営業部門の監査を計画している。対面環境と比較して、リスク評価において重要度を引き上げるべき項目(蔓延するリスク)として、最も適切なものはどれか。
A. 営業担当者がオフィスの備品(文房具など)を私的に持ち帰るリスク。
B. 上司や同僚の目が届かない環境下での、組織文化(帰属意識や倫理観)の希薄化および「ソフト・コントロール」の弱体化リスク。
C. 通勤中の交通事故など、労働災害のリスク。
D. 会議室の予約が取れず、重要な商談が実施できないリスク。
【解答・解説】
正解と解説を表示
正解(B): リモートワーク環境における最大のリスクの一つは、「見えないこと」によるソフト・コントロールの低下です。オフィスなら自然に共有されていた企業文化や倫理観が伝わりにくくなり、孤独感や監視の欠如から、不正への心理的ハードルが下がったり、エンゲージメントが低下したりするリスクを認識する必要があります。
不正解(A): オフィスに行かないため、オフィス備品の持ち出しリスクはむしろ減少します。
不正解(C): 通勤がなくなるため、通勤災害のリスクは消滅します(自宅での労災など別のリスクは発生します)。
不正解(D): オンライン会議が主流となるため、物理的な会議室不足のリスクは低下します。
