【CIA試験講義】パート3 セクションB-1-f: 新興技術と市場動向の識別
テーマ:未来の地図を作る ~「見えない技術」を監査対象にする力~
セクションB-1-fは、監査計画を立てる際、AIやブロックチェーンといった「新興テクノロジー(Emerging Technologies)」や、急激な「市場の変化」を、どのようにリスク情報として捉え、監査対象領域(ユニバース)に組み込むかというプロセスです。
試験では、最新技術のエンジニアになることではなく、「新しい技術がもたらす新しいリスク」にいち早く気づき、監査計画に反映させる「感度」が問われます。
1. 導入:監査ユニバースは「生鮮食品」
昨年の監査計画が、今年も使えるとは限りません。 特にテクノロジーの世界では、1年で状況が激変します。
- *RPA(ロボットによる業務自動化)が現場で勝手に導入され、管理不能な「野良ロボット」が増えているかもしれません。
- 競合他社がブロックチェーンを使った新サービスを始め、自社のビジネスモデルが脅かされているかもしれません。
内部監査部門長(CAE)は、こうした「変化」や「新技術」を情報源として識別し、監査対象領域(メニュー)に加える必要があります。これを無視することは、組織にとって最大のリスクを見過ごすことになります。
2. 注目すべき新興技術とそのリスク(試験対策用)
CIA試験で頻出のキーワードと、監査人が着目すべきリスクの視点を整理します。
| 技術キーワード | 監査人が着目すべきリスク(例) |
|---|---|
| 人工知能(AI) | アルゴリズム・バイアス(差別的な判断)、 ブラックボックス化(判断根拠が不明)、 データのプライバシー侵害。 |
| RPA | シャドーIT (IT部門が知らないボットの乱立)、 変更管理の不備、 誤った処理の高速自動化。 |
| ブロックチェーン | スマートコントラクト(自動契約) のプログラムミス、 秘密鍵の管理不備、 法的規制の未整備。 |
| IoT(モノのインターネット) | セキュリティの脆弱性 (工場設備や家電からの侵入)、 膨大なデータの管理不備、 物理的な安全性。 |
| デジタル資産/通貨 | カストディ(保管)リスク(盗難・紛失)、 マネーロンダリング対策(AML)、 評価額の変動リスク。 |
3. 識別するためのプロセス(どうやって見つけるか)
CAEは、自分の席に座っているだけではこれらの情報を入手できません。能動的な「ホライズン・スキャニング(将来予測)」が必要です。
- IT部門・CIOとの対話: 「今、どんな技術導入を検討していますか?」「現場部門が勝手に導入しているツールはありませんか?」
- 外部情報の活用: 業界カンファレンスへの参加、専門誌の購読、ガートナーなどの調査レポートの参照。
- 戦略計画の確認: 経営陣が「DX推進」を掲げているなら、必ずそこに新技術のリスクが付随します。
4. 技術的知識のギャップへの対応
これが試験の最重要ポイントです。 「AIの監査をしたいが、内部監査チームにはAIの専門家がいない」という場合、どうすべきでしょうか?
- × やってはいけないこと: 「知識がないから監査対象から外す」。
- ○ 正解のアプローチ: まずリスクを評価する。リスクが高いなら、外部専門家の活用(コソーシング)や、チームのトレーニングを行ってでも監査を実施する。
GIASは、CAEに対し「必要な知識・スキルを入手する責任」を求めています。
5. 試験で狙われる「ひっかけ」ポイント
- ×「新興技術はまだ成熟していないため、完全に導入・運用が安定してから監査計画に含めるべきである」
- 解説: 遅すぎます。開発・導入段階(Pre-implementation)から関与し、リスクを評価することが最も価値があります。
- ×「RPAやAIの導入はIT部門の責任であるため、業務監査の対象ではなく、IT監査の枠内だけで扱えばよい」
- 解説: 間違いです。RPAは経理や人事などの「業務部門」が主導することが多く、業務プロセスそのものを変えてしまいます。ITと業務の両面から見る必要があります。
- ×「ブロックチェーンは改ざん不可能であるため、内部監査によるテストは不要である」
- 解説: データは改ざんできなくても、「入力されるデータの正確性」や「秘密鍵の管理」、「システムへのアクセス権」にはリスクが残ります。監査不要な技術など存在しません。
まとめ
セクションB-1-fのポイントは、「技術ではなくリスクを見る」ことです。
- Detect: 新しい技術の採用や市場の変化を感知する。
- Assess: 「便利だ」ではなく「何が危ないか」を評価する。
- Plan: 知識不足を言い訳にせず、専門家を使ってでも監査する。
内部監査人は、組織が新しい武器(テクノロジー)を手に入れたとき、それが暴発しないように安全装置を確認する役割を担っています。
【練習問題】パート3 セクションB-1-f
Q1. 組織の各業務部門が、IT部門の承認を得ずに独自のRPA(ロボティック・プロセス・オートメーション)ツールを導入し、業務効率化を進めていることが判明した。内部監査部門長(CAE)が次年度の監査計画を策定する際、この状況をどのように扱うべきか。
A. 業務効率化は経営上のプラス要因であるため、監査対象としての優先順位を下げ、従来の監査計画を維持する。
B. これを「シャドーIT」のリスクとして識別し、RPAのガバナンス(管理体制、開発基準、誤動作時の対応など)を評価する監査業務を計画に追加する。
C. IT部門が関与していないツールは公式なシステムではないため、内部監査の範囲外(対象外)とする。
D. すべてのRPAの使用を直ちに停止するよう全部門に通達を出し、IT部門の管理下に入るまで監査は行わない。
【解答・解説】
正解と解説を表示
正解(B): 部門独自のRPA導入は、業務効率化の反面、管理不能な「野良ロボット」や属人化、誤処理の大量発生といった「シャドーIT」のリスクを伴います。CAEはこれを新たなリスク源として識別し、監査計画に組み込む必要があります。
不正解(A): 効率化の裏にあるリスクを見過ごしてはいけません。
不正解(C): 公式・非公式に関わらず、組織の業務に影響を与えるものは監査対象です。
不正解(D): 内部監査部門に業務停止命令を出す権限はありません。まずはリスクを評価し、報告するのが役割です。
Q2. 内部監査部門長(CAE)は、会社がAI(人工知能)を活用した新しい融資審査システムの開発を計画していることを知った。しかし、現在の内部監査チームにはAIのアルゴリズムやバイアスを評価できる専門知識を持つメンバーがいない。GIASに基づき、CAEがとるべき行動として最も適切なものはどれか。
A. 内部スタッフの知識が不足しているため、AIシステムの監査は「監査対象領域」から除外し、従来の手動プロセスの監査に集中する。
B. 開発が完了し、システムが数年間運用されて知見が蓄積されるまで、監査の実施を延期する。
C. AIシステム導入に伴うリスク(倫理的バイアス、説明責任など)が高いと判断される場合、外部の専門家と提携(コソーシング)して必要なスキルを確保し、開発段階からの監査(システム導入前監査)を計画する。
D. 知識不足を補うため、IT部門の開発担当者に内部監査報告書の作成を依頼し、それをそのまま取締役会に提出する。
【解答・解説】
正解と解説を表示
正解(C): 新興技術に関するスキル不足は、監査を行わない理由にはなりません。リスクが高い場合、外部リソースを活用(コソーシング)してでも監査を実施し、組織を守るのがCAEの責任です。また、導入後の修正はコストがかかるため、開発段階からの関与が推奨されます。
不正解(A): 知識不足を理由に高リスク領域を無視することは、専門職としての正当な注意(Due Professional Care)に欠けます。
不正解(B): 運用開始後の監査では手遅れになるリスクがあります。
不正解(D): 監査対象部門に報告書を書かせることは、独立性を完全に欠く行為です。
Q3. ブロックチェーン技術や暗号資産(デジタル通貨)の導入を検討している組織において、内部監査人が監査計画を策定する際に考慮すべき特有のリスクとして、最も関連性が低いものはどれか。
A. 秘密鍵(Private Keys)の管理不備による資産の永久的な喪失や盗難のリスク。
B. スマートコントラクト(自動実行プログラム)のコーディングミスによる意図しない取引の実行。
C. データの改ざんが容易に行われてしまうという、ブロックチェーン台帳自体の信頼性の低さ。
D. 規制環境の不確実性や、将来的な法規制の変更によるコンプライアンス違反のリスク。
【解答・解説】
正解と解説を表示
正解(C): ブロックチェーン技術の最大の特徴は「耐改ざん性(Immutability)」であり、台帳自体の信頼性は一般的に高いとされます。したがって、台帳が容易に改ざんされるリスクは、他の選択肢(鍵管理、プログラムミス、法規制)に比べて相対的に低く、監査の主要な焦点とはなりにくいです。(むしろ、「正しいデータが入力されたか」という入力段階のリスクの方が重要です)。
不正解(A): 秘密鍵の管理は、暗号資産における最大級のリスクです。
不正解(B): プログラム(スマートコントラクト)のバグは、巨額の損失につながる主要リスクです。
不正解(D): 新興技術ゆえの法規制の変化は、重要な戦略的・コンプライアンスリスクです。
