Contents
  1. テーマ:設計図のミスと現場のミス ~「穴の開いた傘」をテストするな~
  2. 【練習問題】パート2 セクションA-6-a

テーマ:設計図のミスと現場のミス ~「穴の開いた傘」をテストするな~

セクションA-6-aは、個々の監査プログラム(手続書)を作成する際、まず最初に「コントロールの整備状況(Design Adequacy)」を評価する手続を決める必要がある、というトピックです。

内部統制の評価には、必ず守るべき「順序」があります。

  1. 整備状況(Design): ルールは正しく作られているか?(設計図のチェック)
  2. 運用状況(Operating Effectiveness): ルール通りに運用されているか?(試運転のチェック)

試験では、「整備(デザイン)がダメなら、運用テストをする意味はない」という監査の鉄則が問われます。

1. 導入:「整備状況」とは何か?

「整備状況が良い(Adequate)」とは、「もし、そのコントロールがマニュアル通りに完璧に実行されたとしたら、リスクは防げる状態」を指します。

イメージ:
あなたは「傘(コントロール)」を評価します。
整備状況の評価: 傘を開いてみます。布に穴が開いていませんか? 骨組みは折れていませんか? もし「布がない骨だけの傘」だとしたら、雨の中で差すテスト(運用テスト)をする必要はありません。「設計ミス(役に立たない)」と即座に判断できます。

多くの監査人が、穴の開いた傘を持って雨の中に行き、「やっぱり濡れました」と報告する無駄な作業(無意味な運用テスト)をしてしまいます。これを防ぐのが本セクションの目的です。

2. 整備状況を評価する主な手続

監査プログラムには、まず以下の手続を組み込みます。

① 文書レビュー(Documentation Review)

規定、マニュアル、フローチャートを読みます。

  • チェックポイント: 「リスク(例:誤発注)に対して、承認というコントロールが規定されているか?」
② 質問(Inquiry)

担当者にインタビューします。

  • チェックポイント: 「どのような手順でチェックしていますか?」「例外処理はどうしますか?」
③ ウォークスルー(Walkthrough)★最重要

「取引の開始から完了まで」を追跡調査します。通常、1件のサンプルで行います。

  • 目的:
    1. プロセスフローの理解を確認する。
    2. コントロールが「実際に存在(実装)しているか」を確認する。
    3. 整備状況(デザイン)の有効性を判断する。

3. 「整備不備」を見つけた場合の対応

もし、ウォークスルーの結果、「そもそも承認プロセスが存在しない(デザインの欠陥)」ことが分かったらどうすべきでしょうか?

  • × 間違い: 「運用テスト」として、承認印がない取引を100件サンプリングして、「100件とも不備でした」と報告する。
    • (理由:時間の無駄です。デザインがダメなら結果もダメに決まっています。)
  • ○ 正解: 運用テストを中止(キャンセル)し、直ちに「コントロールの設計不備」として経営陣に報告・協議する。

4. GIASにおける計画への反映

監査プログラムを作成する際は、以下のように段階的に記述します。

  1. ステップ1(整備): 購買規定を閲覧し、1件の取引でウォークスルーを実施して、発注承認プロセスが設計・実装されているか確認する。
  2. ステップ2(運用): (※ステップ1が良好な場合のみ実施)過去1年間の取引から40件をサンプリングし、承認が継続的に行われているか確認する。

この「If(もし)~ Then(ならば)」の論理構成が、効率的な監査プログラムの条件です。

まとめ

セクションA-6-aのポイントは、「まず設計図を見ろ」です。

  • コントロールが存在しない、あるいは設計が間違っている(リスクをカバーしていない)場合、それ以上テストをしてはいけません。
  • 「ウォークスルー」は、整備状況を確認するための最強の武器です。

監査人は、無駄なテストを省き、価値ある改善提案に時間を割くべきです。

【練習問題】パート2 セクションA-6-a

Q1. 内部監査人は、経費精算プロセスの監査プログラムを作成している。まず「コントロールの整備状況(Design Adequacy)」を評価するために実施する手続として、最も適切かつ代表的なものはどれか。

A. 過去1年間の全経費データに対してデータ分析(CAATs)を行い、二重払いの有無を検出する。

B. 経費精算の取引1件を選択し、申請から承認、支払いまでのプロセスを追跡して、規定されたコントロールが実際に存在し、リスクに対応できるよう設計されているかを確認する(ウォークスルー)。

C. 経費精算担当者50名に対してアンケートを送付し、不正を行ったことがあるか回答を求める。

D. 統計的サンプリングを用いて60件の伝票を抽出し、承認印の漏れがないか確認する。

【解答・解説】

正解と解説を表示

正解(B): 「ウォークスルー(Walkthrough)」は、コントロールの整備状況(デザイン)を確認するための最も効果的な手続です。取引の流れをなぞることで、机上のマニュアルと実際のプロセスが一致しているか、コントロールがリスクを低減できる設計になっているかを評価します。

不正解(A): これは「実証性テスト(Substantive Testing)」であり、結果としての誤りを見つける手続です。

不正解(C): アンケートは補助的な手段ですが、コントロールのデザイン評価としては弱いです。

不正解(D): これは「運用状況のテスト(Test of Operating Effectiveness)」です。整備状況が良いことを確認した後に行うべきステップです。

Q2. 内部監査人は、ITシステムのパスワード管理に関する監査を行っている。予備調査(整備状況の評価)の段階で、社内規定では「パスワードは英数字を含む8文字以上」とされているが、システム設定上は「1文字以上」であれば登録可能になっている(設定不備)ことを発見した。この時点での監査人の判断として、最も適切なものはどれか。

A. システム設定の不備(設計上の欠陥)があるため、パスワードの運用テスト(実際に破られやすいかどうかのテストなど)は実施せず、直ちにこの設計不備を報告する。

B. 念のため、全従業員のパスワードデータを抽出し、何人が8文字未満の設定にしているかを集計して、証拠を固めてから報告する。

C. 規定(マニュアル)は正しいので整備状況は「有効」と判断し、次の運用テストのステップに進む。

D. システム設定を監査人が勝手に「8文字以上」に変更し、問題を解決してから監査を終了する。

【解答・解説】

正解と解説を表示

正解(A): コントロールの「整備状況(Design)」に重大な欠陥がある(穴が開いている)ことが判明した場合、その後の「運用テスト」を行う意義はほとんどありません。不備が明らかな状態で時間をかけてテストを行うのは非効率です。直ちに設計不備として報告し、改善を求めるのがGIASの推奨するアプローチです。

不正解(B): 不備は明白であり、全数調査をするコストは正当化されません(詳細な件数は改善後のフォローアップで見ればよい)。

不正解(C): マニュアルが正しくても、実態(システム設定)が伴っていなければ整備状況は「無効」です。

不正解(D): 監査人が経営者の代わりに設定変更(運用業務)を行うことは、独立性の侵害にあたります。

Q3. 個々の監査業務のプログラムを作成する際、「コントロールの整備状況」と「コントロールの運用状況」の関係性に関する記述として、正しいものはどれか。

A. 整備状況の評価と運用状況の評価は、必ず同時に行わなければならない。

B. 運用状況が有効であれば、整備状況(デザイン)が不適切であっても問題はないため、整備状況の評価は省略できる。

C. 整備状況が不適切(Inadequate)であると判断された場合でも、運用状況のテストを実施することで、その不備を補完できる可能性がある。

D. まず整備状況を評価し、それが適切(Adequate)であると判断された場合に限り、コントロールが継続的に機能しているかを確認するための運用状況のテストに進むべきである。

【解答・解説】

正解と解説を表示

正解(D): これが監査手続の鉄則です。 デザインは合っているか?(整備状況) 合っているなら、いつもやっているか?(運用状況) この順序を守ることで、効率的な監査が可能になります。デザインが間違っているのに運用テストを行うのは、「ブレーキが壊れている車で、何回ブレーキを踏めば止まるか実験する」ようなもので、無意味かつ非効率です。

不正解(A): 順序性があり、同時必須ではありません(整備不備なら運用テストはしません)。

不正解(B): デザイン(ルール)が悪くてもたまたま上手くいっている状態は、「運が良いだけ」であり、リスク管理としては脆弱です。

不正解(C): デザイン不備は運用テストでは補完できません。土台が腐っていれば建物は建ちません。