Contents
  1. テーマ:ブレーキとアクセルの使い分け ~「守り」と「攻め」の最適配分~
  2. 【練習問題】パート3 セクションA-1-c

テーマ:ブレーキとアクセルの使い分け ~「守り」と「攻め」の最適配分~

セクションA-1-cは、内部監査部門が持つ限られたリソース(時間・人・予算)を、2種類の異なる業務にどう配分するかという、リソース配分の戦略的決定に関するトピックです。

試験では、「アシュアランスを優先しつつ、いかにしてアドバイザリーで付加価値を提供するか」、そして「アドバイザリー業務を引き受ける際の独立性の境界線」が問われます。

1. 導入:2つのエンジンの違い

内部監査には2つのエンジンがあります。

  1. アシュアランス業務(Assurance Services):
    • 役割: 客観的な評価。「守り」の機能。
    • 問い: 「コントロールは設計通りに動いていますか?」
    • 例: 財務監査、コンプライアンス監査、セキュリティ監査。
    • 特徴: 3者間関係(監査人、被監査者、利用者)。
  2. アドバイザリー業務(Advisory Services):
    • 役割: 助言と改善。「攻め」の機能。(旧基準では「コンサルティング」と呼ばれていました)
    • 問い: 「どうすればもっと良くなりますか?」
    • 例: 新システム導入への助言、プロセス改善のファシリテーション、トレーニング。
    • 特徴: 2者間関係(監査人、顧客)。

2. バランスを決定する「内部監査憲章」

CAEは、自分の好き嫌いで「今年はアドバイザリーだけやろう」と決めることはできません。 このバランスの根拠となるのは、取締役会と合意した「内部監査憲章(Internal Audit Charter)」です。

  • 憲章に「アドバイザリー業務も行う」と明記されていなければ、原則としてアシュアランスに専念すべきです。
  • 多くの組織では、アシュアランス(ガバナンス、リスク、コントロールの評価)が中核的役割(Core Role)であり、最優先されます。アドバイザリーは、アシュアランスの責任を果たした上で、余裕がある場合に提供される「付加価値サービス」と位置付けられることが多いです。

3. リソース競合時の判断基準

「重要なリスク監査(アシュアランス)」と「社長からの特命プロジェクト(アドバイザリー)」の時期が重なったらどうすべきでしょうか? CAEは以下のステップで判断します。

  1. リスク評価: どちらが組織にとってリスクが高いか?
  2. 必須性の確認: 法令や規制で義務付けられている監査(アシュアランス)は省略できない。
  3. 協議と承認: リソースが足りない場合、アシュアランス業務を延期してアドバイザリーを受けるかどうかの最終判断は、取締役会(監査委員会)に承認を求めます。

4. アドバイザリー業務を受ける際の「レッドライン」

アドバイザリー業務を引き受ける際、絶対に越えてはならない一線があります。

禁止事項:経営責任(Management Responsibility)の引き受け

内部監査人は、「助言」はできますが、「決定」や「実行」はできません。

  • OK: 「A案とB案のリスクを比較分析しました(助言)」
  • NG: 「私がB案に決めました(決定)」、「私がシステム設定を変更します(実行)」

もし経営責任を引き受けてしまうと、将来その業務を監査する際、自分の仕事を自分でチェックすることになり、客観性(Objectivity)が恒久的に損なわれます。

5. アシュアランスとアドバイザリーの統合

最近のトレンド(GIASの方向性)では、これらを完全に切り離すのではなく、柔軟に組み合わせることが推奨されています。

  • 統合的アプローチ: 一つの監査業務の中で、「前半は現状評価(アシュアランス)」を行い、「後半は改善提案(アドバイザリー)」を行うハイブリッドな形式。 これにより、監査人は「悪いところを指摘するだけの人」から「ビジネスパートナー」へと進化できます。

まとめ

セクションA-1-cのポイントは、「コア(中核)を見失わないこと」です。

  • 内部監査の本来の目的(アシュアランスによる信頼性の提供)を犠牲にしてまで、アドバイザリーを行ってはならない。
  • ただし、憲章で認められ、独立性を損なわない範囲であれば、アドバイザリーは組織の価値を高める強力な武器になる。

CAEは、組織のリスク状況と期待に合わせて、この2つのサービスのダイヤルを調整する役割を担っています。

【練習問題】パート3 セクションA-1-c

Q1. 内部監査部門長(CAE)は、次年度の監査計画を策定中である。経営陣から「新しいサプライチェーン管理システムの導入プロジェクトに参加し、継続的に助言してほしい」と強い要望があった。しかし、これを受け入れると、高リスク領域である「サイバーセキュリティ監査(アシュアランス)」を実施するリソースが不足する。この状況において、CAEが取るべき行動として最も適切なものはどれか。

A. 経営陣の要望は最優先事項であるため、サイバーセキュリティ監査を中止し、システム導入支援プロジェクトを計画に組み込む。

B. アシュアランス業務が内部監査の本分であるため、経営陣の要望を即座に却下し、サイバーセキュリティ監査を優先する。

C. 経営陣の要望とリソースの制約、およびアシュアランス業務を延期するリスクを取締役会(監査委員会)に提示し、監査計画の修正について承認を求める。

D. 両方の業務を実施するため、外部サービス・プロバイダを利用するが、予算超過については事後報告で済ませる。

【解答・解説】

正解と解説を表示

正解(C): リソースの競合が発生した場合、CAEの役割はリスクとトレードオフを明確にし、ガバナンス機関(取締役会)の判断・承認を仰ぐことです。アシュアランスとアドバイザリーの優先順位は、組織の目標とリスク選好に基づいて決定されます。

不正解(A): 高リスク領域のアシュアランスを勝手に中止することは、監査部門の責任放棄になります。

不正解(B): 経営陣の要望も組織にとって重要(システム導入の成功)かもしれません。頭ごなしに却下せず、調整を図るべきです。

不正解(D): 予算超過を事後報告で済ませるのはガバナンス上問題があります。追加予算の承認を事前に得る必要があります。

Q2. 内部監査人がアドバイザリー業務(コンサルティング)を実施する際、独立性および客観性を維持するために「越えてはならない一線(禁止事項)」として、最も適切なものはどれか。

A. 業務プロセスの改善案を提示すること。

B. 経営陣が意思決定を行うための情報や分析データを提供すること。

C. 新しいリスク管理ポリシーの草案を作成し、経営陣によるレビューと承認の前に、監査人自身の権限で全社に布告・施行すること。

D. プロジェクトのリスクに関するワークショップでファシリテーターを務めること。

【解答・解説】

正解と解説を表示

正解(C): これが「経営責任(Management Responsibility)」の引き受けにあたります。ポリシーの施行・決定は経営陣の役割です。監査人は草案作成の支援まではできますが、決定権を行使してはいけません。

不正解(A): 改善案の提示はアドバイザリーの核心であり、問題ありません。

不正解(B): 情報提供は意思決定支援であり、決定そのものではないため問題ありません。

不正解(D): ファシリテーションはプロセスを支援するものであり、内容を決定するものではないため推奨される役割です。

Q3. 内部監査部門が提供する「アシュアランス業務」と「アドバイザリー業務」の基本的な性質の違いに関する記述として、正しいものはどれか。

A. アシュアランス業務は2者間(監査人と被監査者)の関係であるが、アドバイザリー業務は3者間(監査人、被監査者、第三者)の関係である。

B. 内部監査憲章において、アシュアランス業務の提供は必須とされることが多いが、アドバイザリー業務の提供は組織のニーズやリソースに応じて裁量的(Discretionary)とされることが多い。

C. アシュアランス業務は将来志向でありリスク管理の改善を目指すが、アドバイザリー業務は過去志向であり過去の誤りを指摘することのみを目的とする。

D. アシュアランス業務を行う際は客観性が求められるが、アドバイザリー業務を行う際は客観性を維持する必要はない。

【解答・解説】

正解と解説を表示

正解(B): アシュアランスはガバナンスの要として必須の機能ですが、アドバイザリーは付加価値サービスとして位置付けられることが一般的です。その範囲は憲章で定義されます。

不正解(A): 逆です。アシュアランスが3者間(監査人・被監査者・利用者)、アドバイザリーが2者間(監査人・依頼者)です。

不正解(C): どちらも将来の改善を目指しますが、アシュアランスは証拠に基づく評価、アドバイザリーは問題解決の支援に重点があります。

不正解(D): アドバイザリー業務であっても、内部監査人としての「客観性」は維持しなければなりません(独立性の要件はアシュアランスより多少緩和されますが、客観性の放棄は許されません)。