取締役会・経営管理者からの要請を監査計画に反映する方法【CIAパート3】

Contents

テーマ：「注文の多い料理店」でのメニュー決め～リクエストと栄養バランスの調和～
【練習問題】パート3 セクションB-1-d

テーマ：「注文の多い料理店」でのメニュー決め～リクエストと栄養バランスの調和～

セクションB-1-dは、監査計画を作成する際、取締役会や経営管理者（ステークホルダー）から寄せられる「これを監査してほしい」というリクエスト（要請）をどのように扱い、計画に反映させるかというプロセスです。

試験では、「ステークホルダーの期待に応えること」と「独立したリスク・ベースの判断を維持すること」のバランス感覚が問われます。CAE（内部監査部門長）は、すべての注文を無批判に受け入れる「御用聞き」であってはなりません。

1. 導入：なぜ「要請」を聞く必要があるのか？

内部監査計画は、CAEが独断で決めるものではありません。GIAS（グローバル内部監査基準）は、計画策定にあたり、取締役会および上級経営陣からのインプット（意見・要望）を考慮することを求めています。

理由：

戦略との整合： 経営陣が今一番心配していること（＝組織の戦略的リスク）を知るため。
価値の提供： 彼らの関心事に対応することで、内部監査の有用性を高めるため。
死角の排除： 監査人が気づいていない現場のリスク情報を得るため。

2. 要請を検討するプロセス（3ステップ）

寄せられたリクエストを計画に組み込むかどうかは、以下の手順で判断します。

ステップ①：要請の受付と理解

まず、公式な会議や非公式な対話を通じて要望を集めます。

「新システムの稼働が心配だ」（CEO）
「最近、海外支店の不正の噂を聞く」（監査委員長）
「業務効率化のアイデアが欲しい」（事業部長）

ステップ②：リスク評価と優先順位付け（フィルタリング）

ここが最重要ポイントです。リクエストをそのままリストに入れるのではなく、「リスクの重要性」を評価します。

その要請は、組織の高リスク領域に関連しているか？
単なる「興味本位」や「個人的な安心」のためではないか？

イメージ：
シェフ（CAE）は客（経営陣）から「激辛料理を出して」と言われました。しかし、客の健康状態（組織のリスク）を考えると、それは危険かもしれません。

シェフは専門家として、「今は消化の良いもの（コンプライアンス監査）が必要です」と判断するかもしれません。

ステップ③：計画への反映または説明

採用する場合： 監査計画に追加し、リソース（人員・時間）を割り当てます。
採用しない場合： リスクが低い、あるいはリソースが足りない等の理由で採用しない場合は、その理由を依頼者に説明します。

3. 注意すべき「不適切な要請」

試験では、独立性を脅かすような要請への対応が問われます。

業務執行の代行（ライン業務）：
- ×「人手が足りないから、経理データの入力を手伝ってくれ」
- 対応： 断るべきです。内部監査人が業務を行うと、将来その業務を監査できなくなります（自己監査の禁止）。
特定の結論への誘導：
- ×「このプロジェクトに問題はないという証明書を出してくれ」
- 対応： 結論ありきの監査は客観性を損なうため受け入れられません。
政治的な利用：
- ×「気に入らない部長を追い出すために、あの部署の粗探しをしてくれ」
- 対応： 倫理規定違反です。監査権限の乱用に加担してはいけません。

4. 資源（リソース）との兼ね合い

経営陣からのリクエストが増えすぎて、既存のリソースでは対応しきれない場合はどうすべきでしょうか？

トレードオフ（交換）： 優先順位の低い監査を延期・中止し、重要なリクエストを入れる。
リソースの追加要請： 予算増額や外部委託（コソーシング）を提案する。
断る勇気： リソースの限界と、対応できないことによるリスクを取締役会に伝え、判断を仰ぐ。

5. 試験で狙われる「ひっかけ」ポイント

×「取締役会からの要請は絶対命令であるため、リスク評価を行わずに直ちに最優先で実施しなければならない」
- 解説： 取締役会の意向は重いですが、CAEには専門家としてリスクを評価する責任があります。もし要請された監査のリスクが低く、他に高リスクな領域があるなら、CAEはそれを指摘し、協議すべきです。
×「独立性を維持するために、CAEは経営陣からの監査要請を一切受け付けてはならない」
- 解説： 誤りです。意見を聞くことと、独立性を失うことは別です。インプットは積極的に受けるべきです。
×「経営陣からの要請に対応する場合、それは『保証（アシュアランス）』ではなく必ず『助言（アドバイザリー）』業務として扱わなければならない」
- 解説： ケースバイケースです。要請内容が「プロセスの有効性評価」なら保証業務になりますし、「改善のサポート」なら助言業務になります。

まとめ

セクションB-1-dのポイントは、「受容と評価（Receive & Assess）」です。

Listen: 声を聞く（無視しない）。
Assess: リスクを測る（鵜呑みにしない）。
Prioritize: 優先順位を決める（リソースと相談する）。

CAEは、ステークホルダーのニーズと、組織を守るための専門的判断のバランスを取る「調整役」としての能力が求められます。

【練習問題】パート3 セクションB-1-d

Q1. 年次監査計画が承認され、期中の監査業務が進行している最中に、CEOから「最近導入したマーケティング・システムに不具合が多いので、急遽、有効性の監査をしてほしい」という要請があった。CAEが最初にとるべき行動として、GIASに基づき最も適切なものはどれか。

A. CEOの命令は絶対であるため、現在進行中のすべての監査を中断し、直ちにマーケティング・システムの監査を開始する。

B. 承認された監査計画の変更は取締役会の承認事項であるため、次回の取締役会までCEOの要請を保留にする。

C. 要請された監査対象のリスク評価を行い、その重要性と緊急性を検討した上で、既存の監査計画への影響（他の監査の延期など）を分析する。

D. システムの不具合対応はIT部門の責任であるため、内部監査の範囲外として要請を拒否する。

【解答・解説】

正解と解説を表示

正解（C）： 突発的な要請があった場合、まずはその対象のリスク評価を行うのが最初の手順です。その上で、既存のリソースやスケジュールへの影響（トレードオフ）を分析し、必要であれば計画の変更案を作成して取締役会の承認（または事後報告、規定による）を得るプロセスへ進みます。

不正解（A）： リスク評価なしに既存の計画を覆すことは、より重要なリスクを見落とす原因となり不適切です。

不正解（B）： 形式にとらわれすぎており、緊急のリスクに対応できない可能性があります。まずは分析と協議が必要です。

不正解（D）： システムの有効性監査は内部監査の典型的な範囲であり、正当な理由なく拒否すべきではありません。

Q2. 内部監査部門長（CAE）が次年度の監査計画を作成するために、各事業部門長にインタビューを行っている。ある事業部門長から「人手不足で業務マニュアルの更新が滞っているため、監査の一環としてマニュアルの作成代行をしてほしい」と依頼された。この要請に対するCAEの対応として、最も適切なものはどれか。

A. 事業部門との良好な関係を築く絶好の機会であるため、要請を受け入れ、監査計画に組み込む。

B. マニュアル作成は経営陣の責任（業務執行）に属するものであり、内部監査人が行うと将来の独立性が損なわれるため、代行はできないと説明し、断る。

C. マニュアル作成はコンサルティング（助言）業務として実施可能であるため、独立性への影響を考慮せずに引き受ける。

D. 監査部門の予算で行うのではなく、事業部門の予算で外部コンサルタントを雇うよう指示する。

【解答・解説】

正解と解説を表示

正解（B）： 内部監査人が「業務執行（この場合はマニュアル作成の実務）」を代行することは、独立性と客観性の侵害（自己監査の禁止）につながります。CAEは、マニュアルの「レビュー」や「助言」はできても、「作成代行」はできないことを説明すべきです。

不正解（A）： 関係構築は重要ですが、独立性を犠牲にしてはいけません。

不正解（C）： 助言業務であっても、経営者の責任を代行することは許されません。作成に関与すれば、将来そのマニュアルを客観的に監査できなくなります。

不正解（D）： 助言としては適切かもしれませんが、CAEに他部門への「指示」権限はありません。

Q3. 内部監査計画における「取締役会および上級経営陣からの要請」の位置づけに関する記述として、最も適切なものはどれか。

A. 監査計画はリスク・ベースでなければならないため、経営陣からの主観的な要請は一切考慮すべきではない。