Contents
  1. テーマ:「点と線を結ぶ」 ~証拠と結論の論理的整合性~
  2. 【練習問題】パート2 セクションB-7-c

テーマ:「点と線を結ぶ」 ~証拠と結論の論理的整合性~

前回のセクション(B-7-b)では、監査調書という「箱」の中に、正しい「部品(証拠)」が入っているかを確認しました。 今回のセクションB-7-cは、その部品を組み立てた結果、「設計図(結論)通りの形になっているか?」を確認するプロセスです。

試験では、「監査調書に書かれている事実」と「監査報告書に書く結論」が矛盾していないか、その論理の糸(Golden Thread)がつながっているかを判断する能力が問われます。

1. 「関連性」の分析とは?

内部監査において最も危険なのは、「証拠のない結論」や「事実と異なる報告」です。 これを防ぐため、監査プロセス(またはスーパーバイザーによるレビュー)の最終段階で、以下の問いかけを行います。

Q. 監査調書にある証拠は、監査報告書の結論を論理的に支えているか?

これは、一方通行ではなく、双方向の確認作業です。

① ボトムアップの視点(蓄積)

  • 調書 → 結論: 「現場で集めた個々のテスト結果(点)を積み上げると、論理的にこの結論(線)になるか?」
  • 例:50件中10件のエラーがあった(調書) → プロセスには重大な不備がある(結論)。 (整合している)

② トップダウンの視点(裏付け)

  • 結論 → 調書: 「報告書に書こうとしているこの指摘事項は、具体的にどの調書のどのページで裏付けられているか?」
  • 例:在庫管理に不正のリスクがある(結論) → あれ?在庫の実査記録(調書)が見当たらない。 (不整合=報告不可)

2. 「不整合」のパターンと対処法

試験で出題されるのは、この「点と線」が繋がっていないケースです。

ケースA:過大評価(Over-reporting)

  • 状況: 調書には「軽微な入力ミスが1件」しかないのに、報告書で「システム全体に重大な欠陥がある」と断定している。
  • 問題: 証拠不十分(Over-generalization)。
  • 対処: 追加のテストを行って証拠を固めるか、結論のトーンを弱める(「限定的なミス」とする)。

ケースB:過小評価(Under-reporting)

  • 状況: 調書には「承認漏れが30%」と記録されているのに、報告書では「概ね良好である」と結論付けている。
  • 問題: 事実の隠蔽、または判断ミス。
  • 対処: 結論を「不備あり」に修正する。

ケースC:未解決事項(Open Items)

  • 状況: 調書の隅に「この取引は怪しい。後で確認する」というメモがあるが、その結果がどこにも書かれていないまま、報告書が作成されている。
  • 問題: 調査不足。
  • 対処: 報告書を出す前に、そのメモの決着(クリアリング)を調書に残す。

3. スーパーバイザー(業務監督者)の役割

この「関連性の分析」を主に行うのは、実務を担当した監査人本人もそうですが、最終的な責任を持つスーパーバイザー(上席監査人やマネージャー)です。

GIASでは、スーパーバイザーによる「監査調書のレビュー」を必須としています。 レビューの最大の目的は、誤字脱字のチェックではなく、「調書(Evidence)と結果(Results)の整合性」を保証することにあります。

4. 試験で狙われる「ひっかけ」ポイント

  1. ×「監査調書に記載されたすべての事実は、必ず監査報告書に含めなければならない」
    • 解説: 間違いです。調書には膨大な詳細データが含まれますが、報告書には「重要な発見事項」のみを抽出して記載します。すべてを書く必要はありませんが、書くことにはすべて裏付けが必要です。
  2. ×「監査人が『感覚的に』正しいと思う結論であれば、調書に直接的な証拠がなくても報告してよい」
    • 解説: 絶対にダメです。監査人の「勘」は調査のきっかけにはなりますが、報告の根拠にはなりません。「文書化された証拠」がない結論は無効です。
  3. ×「調書と結論に矛盾がある場合、常に調書の方を修正して結論に合わせるべきである」
    • 解説: 危険な考え方です。これは「改ざん」になりかねません。矛盾がある場合、通常は「結論(解釈)」の方を事実(調書)に合わせて修正するか、追加の調査を行います。

まとめ

セクションB-7-cのポイントは、「論理の整合性」です。

  • If 報告書に「黒」と書きたいなら、
  • Then 調書の中に「黒であることを示す証拠」がなければならない。

調書と報告書は、親子のように切っても切れない関係(Traceability)にあることを理解してください。

【練習問題】パート2 セクションB-7-c

Q1. 内部監査のスーパーバイザーが、担当監査人の作成した監査調書とドラフト報告書をレビューしている。調書には「サンプリングした50件の取引すべてにおいて、必要な承認印が確認された」と記録されているが、ドラフト報告書には「承認プロセスにおける内部統制は無効である」という結論が記載されている。この状況におけるスーパーバイザーの対応として、最も適切なものはどれか。

A. 担当監査人の専門的判断を尊重し、報告書の結論をそのまま承認する。

B. 調書の結果(事実)と報告書の結論(意見)に明らかな矛盾があるため、担当監査人に説明を求め、不整合を解消させる。

C. 監査調書の記録が間違っていると判断し、調書を「承認印なし」に書き換えるよう指示する。

D. 報告書の結論を支持するために、サンプリング数を50件から100件に増やすよう指示する。

【解答・解説】

正解と解説を表示

正解(B): 監査調書(証拠)が「問題なし」を示しているのに、報告書(結論)が「無効」となっているのは、論理的に矛盾しています。スーパーバイザーは、この不整合の原因(調書の記載ミスか、結論の誤りか、あるいは別の証拠があるのか)を究明し、整合させる必要があります。

不正解(A): 証拠に基づかない判断を承認してはいけません。

不正解(C): 事実確認を行わずに調書を改ざんするよう指示することは、倫理的にも基準上も許されません。

不正解(D): 結論ありきでサンプルを操作するのは不適切です。まずは現状の不整合を解決すべきです。

Q2. 監査報告書の品質を保証するために、個々の内部監査業務の結果(発見事項や結論)と監査調書との関連性を分析する主な目的はどれか。

A. 監査に要した時間が予算内に収まっているかを確認するため。

B. 報告されたすべての結論が、調書に含まれる「十分かつ適切な証拠」によって裏付けられていることを保証するため。

C. 監査調書のファイル容量を削減し、保存コストを下げるため。

D. 次回の監査において、同じテスト手順を繰り返さないようにするため。

【解答・解説】

正解と解説を表示

正解(B): セクションB-7-cの核心です。監査報告書に記載される内容は、すべて監査調書にある証拠とリンク(関連付け)していなければなりません。これにより、報告書の正確性と客観性が担保されます。

不正解(A・C・D): これらは管理上の目的や副次的な効果であり、調書と結果の関連性を分析する主目的(結論の妥当性確認)ではありません。

Q3. 内部監査人は、ITセキュリティ監査において「パスワードの強度が不十分である」という発見事項を報告書案に記載した。しかし、関連する監査調書を確認すると、パスワード設定画面のスクリーンショット(設定値は適切)があるだけで、不十分であることを示すテスト結果や記録が存在しなかった。この場合、監査人が取るべき行動として最も適切なものはどれか。

A. 自分の記憶では不十分だったことが確かなので、調書には追加記入せず、そのまま報告する。

B. 発見事項を報告書から削除するか、あるいは再度テストを実施して「不十分である」ことを証明する証拠を調書に文書化する。

C. IT部門の責任者に電話をして、パスワード強度が低いことを認めさせ、その録音データを個人的に保管する。

D. 一般的なITセキュリティのベストプラクティス資料を調書に添付し、それを根拠とする。

【解答・解説】

正解と解説を表示

正解(B): 文書化された証拠がない発見事項は報告できません(If it isn’t documented, it isn’t done)。記憶に頼るのではなく、再テストを行って証拠(調書)を作成するか、証拠がないなら発見事項を取り下げるのが正しいプロセスです。

不正解(A): 記憶のみに基づいた報告は、客観的証拠を欠いており、基準違反です。

不正解(C): 個人的な保管ではなく、公式な調書として記録する必要があります。また、事後的に無理やり言質を取るやり方は適切ではありません。

不正解(D): 一般論(ベストプラクティス)は評価規準にはなりますが、現場の状況(Condition)を示す証拠にはなりません。