Contents
  1. テーマ:助っ人を使いこなす監督の流儀 ~アウトソーシングとコソーシング~
  2. 【練習問題】パート3 セクションA-1-a

テーマ:助っ人を使いこなす監督の流儀 ~アウトソーシングとコソーシング~

内部監査部門ですべての専門知識(AI、サイバーセキュリティ、特殊な法令など)や人員を常時抱えることは、コスト的にも現実的にも困難です。そこで登場するのが、外部の専門家(外部サービス・プロバイダ)です。

試験では、外部の力を借りる際、「丸投げ」は許されず、あくまでCAE(内部監査部門長)が最終責任を負うという原則が徹底的に問われます。

1. 導入:なぜ外部を使うのか?

外部サービス・プロバイダを利用する形態には、主に以下の2つがあります。

  1. コソーシング(Co-sourcing): 内部監査部門の一部として、特定の業務や期間だけ外部の専門家がチームに加わる形。「AI監査だけ専門家に手伝ってもらう」など。
  2. アウトソーシング(Outsourcing): 内部監査機能の全部または大部分を外部に委託する形。ただし、「監督責任(CAEの役割)」までアウトソースすることはできません。

利用の理由:

  • 専門知識の補完: IT、税務、環境など、内部にないスキルが必要な場合。
  • リソースの補完: 繁忙期や産休などで人が足りない場合。
  • 地理的カバー: 海外拠点の監査を現地のファームに依頼する場合。

2. 管理の鉄則:責任はCAEにある

GIASにおいて最も重要なルールはこれです。

最終責任の原則:
外部サービス・プロバイダが実施した仕事であっても、その品質と結果に対する責任は、CAE(内部監査部門長)と内部監査部門にある。

外部業者がミスをしても、「彼らが間違えました」という言い訳は取締役会には通用しません。CAEは、外部業者が内部監査スタッフであるかのように監督する必要があります。

3. プロバイダの選定と契約

外部業者を選ぶ際、CAEは以下の要素を評価しなければなりません。

  1. 適格性(Competence): 必要なスキル、経験、資格を持っているか?
  2. 客観性(Objectivity)と独立性(Independence): ここが試験の頻出ポイントです。
    • 利益相反の確認: その業者は、監査対象のシステム導入コンサルもやっていないか?(自分で作ったシステムを自分で監査するのはNG)
    • 外部会計監査人との関係: 財務諸表監査を行っている監査法人に内部監査を委託する場合、独立性の毀損がないか厳格にチェックする必要があります(多くの国や規制で制限されています)。

4. 業務期間中の監督(Supervision)

契約して終わりではありません。業務実施中、CAEは以下の管理を行う必要があります。

  • 監査計画の承認: プロバイダが勝手に進めないよう、範囲と目的を握る。
  • 作業のモニタリング: 進捗管理と、予算の管理。
  • 品質のレビュー: プロバイダが作成した監査調書やレポートを、CAEまたは内部監査部門のマネージャーがレビューし、「十分な証拠に基づいているか」を確認します。プロバイダのレポートをそのまま右から左へ経営陣に流してはいけません。

5. 知識の移転(Knowledge Transfer)

外部プロバイダを使うデメリットの一つは、「ノウハウが社内に残らない」ことです。 これを防ぐため、コソーシング契約においては、「内部スタッフへの教育」や「監査手法の共有」を含めることがベストプラクティスとされます。

  • 一緒に監査を行い、技術を盗む(学ぶ)。
  • 成果物として、マニュアルやチェックリストを残してもらう。

まとめ

セクションA-1-aのポイントは、「オーナーシップ(当事者意識)」です。

  • 外部業者は「手足」にはなるが、「頭(判断と責任)」はCAEが担う。
  • 「丸投げ」は職務怠慢(品質基準違反)。
  • 利益相反(コンサルと監査の兼務など)には目を光らせる。

CAEは、外部リソースをあたかも自分の部下であるかのように指揮・監督する能力が求められます。

【練習問題】パート3 セクションA-1-a

Q1. ある企業のCAE(内部監査部門長)は、専門的なITセキュリティ監査を実施するために、外部のセキュリティ会社とコソーシング契約を結んだ。この監査業務の遂行におけるCAEの責任に関する記述として、GIASに基づき最も適切なものはどれか。

A. 外部の専門家は高度な資格を持っているため、CAEは監査の計画策定や調書のレビューを行う必要はなく、最終報告書の受領のみを行えばよい。

B. 外部サービス・プロバイダが実施した作業および結論に対する最終的な責任はCAEにあり、適切な監督とレビューを行う義務がある。

C. 契約により監査業務が委託されているため、監査の品質に関する責任は全面的にサービス・プロバイダに移転する。

D. CAEはサービス・プロバイダの選定にのみ責任を負い、実作業の監督はIT部門の責任者が行うべきである。

【解答・解説】

正解と解説を表示

正解(B): 外部サービス・プロバイダを利用する場合でも、監査業務の品質、結論の妥当性、およびGIASへの準拠に関する最終責任はCAEにあります。したがって、CAEはプロバイダに対して、内部スタッフと同様の適切な監督(計画承認、レビューなど)を行わなければなりません。

不正解(A): 専門家であっても監督を省略することはできません。「丸投げ」は基準違反です。

不正解(C): 業務(タスク)は委託できますが、責任は委託(移転)できません。

不正解(D): 監査の独立性を保つため、被監査部門であるIT部門の責任者が監査人を監督してはなりません。

Q2. 内部監査部門が外部サービス・プロバイダを選定する際、特に「客観性(Objectivity)」の観点から警戒すべき状況はどれか。

A. サービス・プロバイダが、同業他社での豊富な監査経験を有している場合。

B. サービス・プロバイダが、監査対象となる会計システムの導入コンサルティングを昨年実施していた場合。

C. サービス・プロバイダが、内部監査部門の予算内で収まるような安価な見積もりを提示した場合。

D. サービス・プロバイダの担当者が、CAEと同じ業界団体のカンファレンスで講演を行っていた場合。

【解答・解説】

正解と解説を表示

正解(B): これが典型的な「利益相反(自己レビューの脅威)」です。自分たちが導入支援したシステムを自分たちで監査すれば、欠陥を見逃したり隠したりする動機が生まれます。客観性が著しく損なわれているため、このプロバイダを選定すべきではありません(または当該領域の監査からは除外すべきです)。

不正解(A): 同業他社の経験は「適格性(スキル)」のプラス要素です。

不正解(C): コストは選定要因ですが、客観性の問題とは直接関係ありません。

不正解(D): 専門的な活動への参加は適格性の証であり、客観性を損なうものではありません。

Q3. 内部監査の知識やノウハウを組織内に蓄積するため、コソーシング(外部連携)を活用する際のアプローチとして、最も適切なものはどれか。

A. 外部プロバイダの作業効率を最大化するため、内部スタッフとの接触を禁止し、独立した部屋で作業させる。

B. 外部プロバイダには最も単純な定型業務のみを任せ、重要な判断業務はすべて内部スタッフが行う。

C. 外部の専門家と内部の若手監査人をペアにして監査を実施させ、OJT(オン・ザ・ジョブ・トレーニング)を通じて専門スキルや手法を移転させる。

D. 外部プロバイダが作成した監査プログラムやチェックリストは知的財産であるため、監査終了後にすべて廃棄させる。

【解答・解説】

正解と解説を表示

正解(C): コソーシングの利点の一つは「知識移転(Knowledge Transfer)」です。専門家と内部スタッフが協働することで、組織内に高度なスキルを残すことができ、将来的に内部だけで実施できる能力(内製化)を高めることにつながります。

不正解(A): 隔離してしまうと、ノウハウの吸収ができず、コソーシングの価値が半減します。

不正解(B): 高度な専門スキルを補うために外部を使うのが一般的であり、単純作業のみ依頼するのはコスト対効果が悪い場合が多いです。

不正解(D): 契約によりますが、通常は成果物や使用したツールを組織の資産として残すように手配すべきです。