【CIA試験講義】パート3 セクションB-2-a: リスク評価の手法と優先順位付け
テーマ:救急救命室(ER)のトリアージ ~限りある資源をどこに投入するか~
セクションB-2-aは、監査計画策定の心臓部です。 内部監査部門のリソース(人・時間・予算)は有限ですが、組織のリスクは無限に存在します。すべてを監査することは不可能です。
そこで必要になるのが、「リスク・ベース」のアプローチです。 試験では、CAE(内部監査部門長)がどのようにして「何をやるか(優先順位)」と「何をやらないか(リソース配分の限界)」を論理的に決定するか、そのプロセスが問われます。
1. リスク評価の基本方程式
リスク評価(Risk Assessment)とは、監査対象領域(ユニバース)の各項目について、その危険度を測定することです。 最も基本的な測定手法は、以下の2つの軸を用いることです。
- 影響度(Impact / Significance): もしそのリスクが顕在化した場合、組織にどれだけのダメージを与えるか? (例:金銭的損失、評判の低下、法令違反、人命への影響)
- 発生可能性(Likelihood / Probability): そのリスクが実際に起きる確率はどれくらいか?
基本公式:リスクの大きさ = 影響度 × 発生可能性
2. 「定量的」と「定性的」の両立
試験で非常に重要なポイントは、リスク評価には「数字(金銭)」だけでなく「質(評判など)」も含まれるという点です。
- 定量的要因(Quantitative): 金額、取引件数、資産規模など、数値で測れるもの。
- 例:現金5億円を扱う支店は、100万円の支店よりリスクが高い。
- 定性的要因(Qualitative): 評判、倫理、組織文化、複雑さ、担当者の経験年数、変更の有無など、数値化しにくいもの。
- 例:最近、システムを入れ替えたばかりの部署は、安定している部署よりミスが起きやすい(リスクが高い)。
★CAEへの要求: 監査計画を立てる際、財務データ(定量的)だけに頼ってはいけません。 「最近、あの部署は離職率が高い(定性的)」といった情報もリスク指標として組み込む必要があります。
3. リスク要因(Risk Factors)の具体例
リスク評価モデルを作成する際、CAEは以下のような「リスク要因(加点ポイント)」を設定します。
- 金銭的規模: 予算が大きいほど高リスク。
- 資産の流動性: 現金や宝石など、盗まれやすいものは高リスク。
- システムの複雑さ: 複雑なプロセスほどエラーが起きやすい。
- 変更の度合い: 組織変更、新システム、法改正があった領域は高リスク。
- 前回の監査結果: 前回「不備多数」だった領域は、依然として高リスク。
- 経営陣の関心: 取締役会が懸念している領域は、監査上の重要性が高い。
4. 優先順位付け(Prioritization)とヒートマップ
リスク評価が終わったら、各監査対象をランキング化します。 視覚的によく使われるツールが「ヒートマップ」です。
- レッドゾーン(優先度・高): 影響度が大きく、発生可能性も高い。 → 「必須」の監査対象。最優先で資源を配分する。
- イエローゾーン(優先度・中): どちらかが高い、または両方そこそこ。 → 資源に余裕があれば実施、または周期を空けて実施。
- グリーンゾーン(優先度・低): 影響度も発生可能性も低い。 → 基本的に監査しない、または簡易的なモニタリングのみ。
資源の配分(カットオフライン):
CAEは、上から順に監査リソースを割り当てていきます。リソースが尽きたところが、その年の「監査範囲の限界(カットオフ)」となります。 ※カットオフによって実施できなくなった高リスク領域については、取締役会に報告する義務があります(セクションA-4-b参照)。
5. 試験で狙われる「ひっかけ」ポイント
- ×「リスク評価は客観性を保つため、過去のデータ(財務数値)のみに基づいて行うべきである」
- 解説: 間違いです。過去のデータは重要ですが、将来のリスク(戦略変更や新技術導入など)や定性的な要因(人の入れ替わりなど)も考慮しなければ、適切な計画は作れません。
- ×「各部門のリスク評価は、その部門の管理者(マネジメント)の自己評価と完全に一致させなければならない」
- 解説: 誤りです。マネジメントの意見(インプット)は考慮すべきですが、CAEは独立した立場から独自のリスク評価を行う必要があります。マネジメントが「問題ない」と言っていても、客観的に見てリスクが高い場合もあります。
- ×「すべての監査対象領域は、少なくとも3年に1回は監査されるよう、リスク評価に関わらずローテーションを組むべきである」
- 解説: GIASは「リスク・ベース」を推奨しています。機械的な周期(サイクル)で計画を立てると、低リスク領域に時間を使い、高リスク領域がおろそかになる可能性があるため、推奨されません。
まとめ
セクションB-2-aのポイントは、「論理的な選別」です。
- Measure: 影響度と発生可能性で測る。
- Combine: 数字(定量)と状況(定性)を組み合わせる。
- Rank: 優先順位をつけ、高いところからリソースを投下する。
「なぜA支店ではなくB支店を監査するのか?」と聞かれたとき、「B支店の方が、最近システムが変わったばかりで(発生可能性)、扱う金額も大きいから(影響度)です」と論理的に説明できる状態を作ることがゴールです。
【練習問題】パート3 セクションB-2-a
Q1. 内部監査部門長(CAE)がリスク・ベースの監査計画を策定するために、監査ユニバース内の各領域のリスクを評価している。以下の「リスク要因(Risk Factors)」のうち、通常、当該領域のリスク評価スコアを「高める(リスクが高いと判断する)」要因として、最も適切でないものはどれか。
A. 業務プロセスが最近大幅に変更された、または新しいITシステムが導入された。
B. その業務に従事する担当者の勤続年数が長く、業務プロセスが過去5年間変更されておらず安定している。
C. 取り扱っている資産が現金や有価証券など、流動性が高く換金しやすいものである。
D. 前回の内部監査において、複数の重要な内部統制の不備が指摘された。
【解答・解説】
正解と解説を表示
正解(B): 担当者の経験が豊富で、プロセスが長期間安定している(変更がない)ことは、通常、業務ミスや混乱のリスクを「低減させる」要因となります。したがって、リスク評価スコアを高める要因としては不適切です。(ただし、癒着などの不正リスクについては別途考慮が必要です)。
不正解(A): 「変更(Change)」はリスクを高める最大の要因の一つです。
不正解(C): 資産の流動性が高い(盗みやすい)ことは、固有リスクを高める要因です。
不正解(D): 過去に問題があった場所は、再発の可能性が高いためリスク評価は高くなります。
Q2. 内部監査計画の優先順位付けにおいて、CAEは「定量的(Quantitative)」要因と「定性的(Qualitative)」要因の両方を考慮する必要がある。以下のリスク評価項目のうち、「定性的要因」に該当するものはどれか。
A. 部門が管理している年間予算の総額
B. 過去1年間に発生した現金不足の合計金額
C. 部門の業務に関連する法的規制の複雑さと、コンプライアンス違反が起きた場合の評判への影響
D. 1日あたりの平均取引処理件数
【解答・解説】
正解と解説を表示
正解(C): 複雑さ、評判(レピュテーション)、倫理的環境などは、数値化しにくい「定性的要因」の代表例です。リスク・ベース監査計画では、これらを金額などの数値データと組み合わせて評価することが求められます。
不正解(A): 予算額は数値で測れる「定量的要因」です。
不正解(B): 金額的損失は「定量的要因」です。
不正解(D): 取引件数は「定量的要因」です。
Q3. 次年度の監査計画を策定する際、ある監査対象領域が「影響度は極めて高い(High Impact)」が、「発生可能性は極めて低い(Low Likelihood)」と評価された(例:大地震によるデータセンターの全壊など)。リスク・ベースのアプローチにおいて、この領域に対する監査計画上の扱いとして最も適切な考え方はどれか。
A. 発生可能性が低いため、監査対象リストから完全に除外し、リソースを配分しない。
B. 影響度が高いため、発生可能性に関わらず最優先の監査対象とし、毎年フルスコープの監査を実施する。
C. 優先順位は「中」程度とし、定期的なフル監査の代わりに、BCP(事業継続計画)や災害対策のレビューなど、焦点を絞った監査や机上訓練の評価を定期的に実施する計画とする。
D. 発生可能性が低いリスクは内部監査の対象ではなく、保険部門の管轄であるため、リスク評価スコアに関わらず無視する。
【解答・解説】
正解と解説を表示
正解(C): 「影響度:大 × 発生可能性:小」のリスクは、頻度は低いものの起きたら壊滅的であるため、無視はできません(Aは不可)。しかし、滅多に起きないため、日常業務のように毎年詳細に監査するのも非効率です(Bは不可)。したがって、BCP(事業継続計画)の準備状況などに焦点を絞って定期的に確認するアプローチが最も適切です。
不正解(A): 影響度が極大である場合、無視することは許されません。
不正解(B): リソースの無駄遣いになる可能性が高いです。高頻度・高影響の領域(Red Zone)を優先すべきです。
不正解(D): 保険はリスク転嫁の手段ですが、内部監査はコントロール(対策)の有効性を評価する責任があります。
