Contents
  1. テーマ:監査の「地図」を描く ~すべての始まりはリストアップから~
  2. 【練習問題】パート3 セクションB-1-a

テーマ:監査の「地図」を描く ~すべての始まりはリストアップから~

セクションB-1-aは、監査計画を立てる前の「準備段階」の最重要プロセスである「監査対象領域(Audit Universe)」の定義に関する理解です。

試験では、「そもそも何を監査する可能性があるのか?」という全体像(母集団)をどのように漏れなく、かつ適切に特定するかという知識が問われます。

1. 導入:「監査対象領域(Audit Universe)」とは?

監査対象領域とは、内部監査部門が監査を行う可能性のあるすべての業務、部門、プロジェクト、システム、またはプロセスのリストです。

イメージ:
あなたがレストランに行き、注文を決めるとします。 メニューに載っていない料理は注文できません。 「監査対象領域」とは、この「メニュー全体」のことです。 メニュー(全体)の中から、リスク評価に基づいて、今年食べる料理(監査計画)を選びます。

もしメニュー(監査対象領域)に重要な料理(高リスクな事業)が載っていなければ、監査人はそれを永遠に選ぶことができず、リスクが見過ごされてしまいます。

2. 監査対象領域を定義するプロセス

監査対象領域を定義・更新するために、内部監査部門長(CAE)は以下の手順を踏む必要があります。

ステップ①:組織構造とビジネスの理解

組織図、財務報告書、事業計画書などをレビューします。 子会社、海外拠点、ジョイントベンチャーなども含める必要があります。

ステップ②:情報の収集(インプットの入手)

机上の資料だけでなく、生きた情報を集めます。

  • 上級経営陣および取締役会との協議: 彼らが懸念している領域はどこか。
  • 他の保証提供者との連携: 外部監査人、コンプライアンス部門、リスク管理部門からの情報。

ステップ③:単位(Unit)の識別

監査可能な「単位」に切り分けます。切り口は様々です。

  • 組織別: 営業部、人事部、A工場、B支店
  • 機能/プロセス別: 購買プロセス、ITセキュリティ、採用プロセス
  • テーマ別: サステナビリティ、企業文化、第三者リスク

★GIASのポイント: 2025年基準では、単なる「部署」だけでなく、「戦略目標」や「リスク」そのものを監査対象として捉える視点が強調されています。

3. 動的(Dynamic)なメンテナンス

監査対象領域は一度作って終わりではありません。組織は生き物です。 M&Aで会社が増えたり、DXで新システムが入ったり、不採算事業から撤退したりします。

  • 頻度: 少なくとも年1回は見直すべきですが、重要な変化(M&Aや新システム導入など)があった場合は、即座に更新する必要があります。

4. 試験で狙われる「ひっかけ」ポイント

  1. ×「監査対象領域には、過去に監査を実施したことがある部門のみを含める」
    • 解説: 間違いです。まだ一度も監査していない新しい事業や、これまでリスクが低いとみなされていた領域も含め、「監査可能なすべて」をリストアップする必要があります。
  2. ×「戦略計画や組織の目標は抽象的であるため、監査対象領域を定義する際の情報源としては不適切である」
    • 解説: 誤りです。組織の戦略計画は、どこにリスクが潜んでいるかを知るための最も重要な情報源の一つです。
  3. ×「監査対象領域のリストは、CAEが独断で作成し、経営陣に見せる必要はない」
    • 解説: CAEに作成責任はありますが、上級経営陣や取締役会からのインプット(意見)を反映させることが、組織の目標と整合するために不可欠です。

まとめ

セクションB-1-aのポイントは、「網羅性(Completeness)」と「整合性(Alignment)」です。

  • 網羅性: 組織の隅々までカバーできているか?(IT、外部委託先、海外拠点など)
  • 整合性: 組織の戦略や目標に基づいているか?

「見えないものは管理できない」のと同じく、「リストにないものは監査できない」のです。まずは正しい地図(監査対象領域)を持つことが、リスク・ベース監査の第一歩です。

【練習問題】パート3 セクションB-1-a

Q1. 内部監査部門長(CAE)が監査対象領域(Audit Universe)を新規に作成、または更新する際、考慮すべき情報源として、最も適切でない(重要度が低い)ものはどれか。

A. 組織図および財務報告書

B. 長期的な戦略計画および事業目標

C. 外部監査人や規制当局からの報告事項

D. 過去5年間に退職した従業員の再就職先リスト

【解答・解説】

正解と解説を表示

正解(D): 監査対象領域を定義する際、組織の構造、戦略、リスク情報などは極めて重要ですが、退職者の再就職先リストは、直接的な監査対象(監査可能な単位)を特定する情報源としては関連性が薄く、不適切です。

不正解(A): 組織構造や財務情報は、監査可能な単位(部門や子会社)を特定する基礎情報です。

不正解(B): 戦略計画は、将来のリスクや重要なプロジェクトを特定するために不可欠です。

不正解(C): 外部からの指摘事項は、高リスク領域や新たな監査対象を示唆する重要なインプットです。

Q2. ある多国籍企業が、新しいデジタル決済サービス事業を買収し、子会社化した。GIASに基づき、内部監査部門長(CAE)がとるべき行動として最も適切なものはどれか。

A. 次回の定期的な「監査対象領域」の見直し(通常は年1回)まで待ち、その時点で新しい子会社をリストに追加する。

B. 新しい子会社はまだ業務が安定していないため、当面の間は監査対象領域には含めず、外部監査人の監査のみに依存する。

C. 組織のビジネスモデルに重要な変化があったため、直ちに監査対象領域を更新し、新しい子会社を監査可能な単位としてリストに追加する。

D. 買収された企業には独自の内部監査部門があるはずなので、親会社の監査対象領域に含める必要はない。

【解答・解説】

正解と解説を表示

正解(C): 監査対象領域は、組織の変化に合わせて動的に維持・更新される必要があります。M&Aのような重要な変化があった場合、定期的な見直しを待たずに、直ちにリストを更新し、リスク評価の対象とする必要があります。

不正解(A): 定期見直しまで待つと、その期間に高リスク領域が放置される恐れがあります。

不正解(B): 業務が安定していない時期こそリスクが高く、監査対象領域に含めるべきです。

不正解(D): 親会社のCAEは、グループ全体のリスクに対する責任があるため、子会社も監査対象領域(ユニバース)に含める必要があります。

Q3. 監査対象領域(Audit Universe)を定義する際のアプローチとして、「プロセス・ベース」または「機能別」のアプローチを採用することの主な利点として、最も適切なものはどれか。

A. 組織図上の「部」や「課」と一致するため、責任の所在が明確になりやすく、監査報告書の宛先を決めやすい。

B. 部門をまたがる業務(例:調達から支払いまで)の流れを追うことができ、組織のサイロ化(縦割り)によって見落とされがちなリスクを識別しやすくなる。

C. 財務諸表の勘定科目と直接リンクするため、外部監査人との連携が不要になり、コスト削減につながる。

D. 定義が非常に簡単であり、組織変更があった場合でもリストを修正する必要がほとんどない。

【解答・解説】

正解と解説を表示

正解(B): 監査対象領域を「組織別(部門別)」ではなく「プロセス別(機能別)」に定義する最大のメリットは、部門横断的なリスクやコントロールの評価が可能になることです。これにより、部門間の「隙間」に落ちるリスク(例:情報の引継ぎミスなど)を拾い上げることができます。

不正解(A): これは「組織別」アプローチの利点です。

不正解(C): 外部監査人との連携は依然として必要であり、内部監査の目的は財務報告だけではありません。

不正解(D): プロセスは組織変更やシステム導入の影響を受けるため、修正は必要です。