【CIA試験講義】パート3 セクションB-2-c: 動的な監査計画の維持と更新
テーマ:コースが変わるマラソン ~「動的(Dynamic)」な計画管理~
セクションB-2-cは、一度作った監査計画を「石に刻まれた動かせないもの」として扱うのではなく、状況の変化に合わせて柔軟に書き換える「動的(Dynamic)な計画」の重要性と、そのトリガー(きっかけ)について学ぶセクションです。
試験では、「計画を守ること」よりも、「現在のリスクに対応すること」を優先できるかという柔軟性と判断力が問われます。
1. 導入:なぜ「動的」でなければならないのか?
かつて、内部監査計画は「年1回作成し、それを1年間かけて遂行する」という静的なものが主流でした。 しかし、現代のビジネススピードにおいて、1年前の計画はすぐに陳腐化します。
GIASの視点: リスクは常に変化します。リスクが変われば、それに対応する監査計画も変わらなければなりません。 CAE(内部監査部門長)には、監査計画を「生きた文書(Living Document)」として維持し、適時に更新する責任があります。
2. 更新が必要となる「トリガー(状況)」
どのような時に計画を見直すべきでしょうか? 試験で頻出のシナリオは以下の通りです。
① ビジネス環境や業務の急激な変化
- M&Aや事業売却: 新しい子会社が増えたり、監査対象だった部門がなくなったりした場合。
- 新規事業・新製品: 未知のリスクが発生した場合。
- 大規模なシステム変更(DX): 業務プロセスが根本から変わる場合。
② 外部環境の変化
- 新たな法規制の施行: コンプライアンス監査の優先順位が急上昇する場合。
- 経済危機やパンデミック: リモート監査への切り替えや、財務リスクの重点監査が必要になる場合。
- サイバー攻撃の流行: 業界内で攻撃が多発している場合、セキュリティ監査を前倒しする必要があります。
③ 内部監査部門のリソースの変化
- スタッフの退職・休職: 予定していた工数が確保できなくなった場合。
- 予算の削減: 外部委託(コソーシング)ができなくなった場合。
- 突発的な特命調査: 不正の内部通報があり、調査に多大な時間を割く必要が出た場合。
3. 更新時の「トレードオフ」の考え方
ここが試験の最重要ポイントです。 新しい高リスク案件(例:突発的な不正調査)を計画に追加する場合、リソースが無限でない限り、「何かを諦める(延期・中止する)」必要があります。
CAEの対応プロセス:
- 追加案件のリスク評価: その新しい案件は、既存の計画にある案件よりもリスクが高いか?
- 入れ替え(スワップ): 高い場合、既存の計画の中で「最もリスクが低い案件」を特定し、それを延期または中止します。
- 影響の伝達: 「新しい案件に対応するため、当初予定していた〇〇監査を延期します」とステークホルダーに伝えます。
4. 承認プロセスのルール
計画を変更した場合、誰の許可が必要でしょうか?
- 重要な変更(Significant Changes): 監査対象の追加・削除など、資源配分や保証範囲に大きな影響を与える変更は、上級経営陣と協議し、取締役会の承認を得る必要があります。
- 軽微な変更: 日程の微調整や担当者の変更などは、CAEの権限で行い、事後報告で済ませることが一般的です(内部監査憲章の定めに従う)。
5. 試験で狙われる「ひっかけ」ポイント
- ×「承認された年間監査計画は、いかなる理由があっても変更してはならない」
- 解説: 完全な誤りです。リスクの変化に対応できない計画は無意味です。GIASは「動的な計画」を求めています。
- ×「突発的な要請に対応して監査計画を変更する場合、予算内であれば取締役会への報告は不要である」
- 解説: 予算内であっても、「当初約束していた監査(保証)が行われなくなる」という変更(削除・延期)が含まれる場合、それは重要な変更であり、取締役会の承認が必要です。
- ×「スタッフが退職してリソースが不足したが、計画を変更するのは評価に関わるため、残りのメンバーに残業を強制して計画を完遂すべきである」
- 解説: 持続可能ではなく、監査品質の低下を招きます。リソース不足は計画変更の正当な理由であり、正直に報告して計画を縮小(調整)するのがプロフェッショナルな対応です。
まとめ
セクションB-2-cのポイントは、「硬直性を捨てる」ことです。
- Monitor: 常に変化(トリガー)を監視する。
- Adjust: リスク・ベースで計画を書き換える。
- Approve: 変更内容とその影響(トレードオフ)について承認を得る。
CAEは、変化の激しい海で舵を取る船長です。嵐(リスク)が来たら、当初の航路(計画)を変更する決断力が求められます。
【練習問題】パート3 セクションB-2-c
Q1. 期中において、業界全体を標的とした大規模なサイバー攻撃が発生し、同業他社で情報漏洩事故が相次いだ。当初の内部監査計画にはサイバーセキュリティ監査は含まれていない。動的な監査計画の観点から、CAEがとるべき行動として最も適切なものはどれか。
A. 当初の計画は取締役会の承認を得た正式なものであるため、期中は変更せず、次年度の計画にサイバーセキュリティ監査を最優先で組み込む。
B. 状況の緊急性を鑑み、リスク評価を見直す。サイバーセキュリティのリスクが高まったと判断される場合、計画を変更して直ちに監査を実施するよう、取締役会の承認を求める。
C. 予定されている財務監査の一部を、監査人の独断でサイバーセキュリティ監査に差し替え、事後報告もしない。
D. サイバー攻撃への対応はIT部門の責任であるため、内部監査部門は関与せず、IT部門からの報告を待つ。
【解答・解説】
正解と解説を表示
正解(B): 外部環境の急激な変化(サイバー攻撃の多発)は、リスク評価を見直し、監査計画を更新すべき典型的な「トリガー」です。計画は動的であるべきですが、重要な変更を行う際は、取締役会の承認を得るプロセスが必要です。
不正解(A): 目前の危機的リスクを放置することは、内部監査の価値を損ないます。
不正解(C): 重要な計画変更を独断で行い、報告もしないのはガバナンス違反です。
不正解(D): 高リスク領域に関与しないことは、組織を守る責任を果たしていません。
Q2. 内部監査部門の経験豊富なスタッフ2名が急遽退職し、補充の採用には数ヶ月かかる見込みとなった。このリソース不足により、承認された年間監査計画のすべてを実施することが不可能となった。CAEの対応として、GIASに基づき最も適切なものはどれか。
A. 残ったスタッフに休日出勤と長時間労働を命じ、品質を多少犠牲にしてでも、計画された件数をすべて消化する。
B. 監査の手続きを大幅に省略し、形式的なレビューのみを行うことで時間を短縮し、全案件完了の体裁を整える。
C. 監査対象領域のリスク優先順位を再評価し、相対的にリスクの低い監査案件の延期または中止を決定する。その変更内容と影響を取締役会に報告し、承認を得る。
D. 外部の監査法人にすべての未消化案件を丸投げし、予算超過については事後承認を求める。
【解答・解説】
正解と解説を表示
正解(C): リソースの変動(スタッフの減少)は、計画更新の正当な理由です。物理的に無理な場合は、リスク・ベースで優先順位をつけ直し、低リスク案件を切り捨てる(トレードオフ)判断を行い、その変更について取締役会の承認を得るのが正解です。
不正解(A): スタッフの疲弊と監査品質の低下を招き、長期的には組織のリスクとなります。
不正解(B): 監査品質を下げて形式だけ整えることは、誤った保証(False Assurance)を与える最悪の行為です。
不正解(D): 予算権限を超える外部委託を独断で行うことは不適切です。まずは相談と承認が必要です。
Q3. 内部監査計画の「動的な更新(Dynamic Updating)」において、取締役会の承認が必要となる「重要な変更(Significant Changes)」に該当する可能性が最も低いものはどれか。
A. 組織の戦略的リスクに関わる「新規事業の監査」を、リソース不足を理由に中止すること。
B. 監査委員会からの特命調査に対応するため、予定されていた「コンプライアンス監査」を次年度に延期すること。
C. 当初の計画にあった「A支店の実査」の日程を、支店側の繁忙期を避けるために2週間後ろ倒しにすること。
D. 買収したばかりの海外子会社に重大な不正リスクが発覚したため、他の監査を中止して緊急監査を追加すること。
【解答・解説】
正解と解説を表示
正解(C): 日程の微調整(2週間の変更など)は、監査の範囲や保証の総量に影響を与えないため、通常は「重要な変更」とはみなされず、CAEの裁量(または上級経営陣への通知のみ)で処理可能です。
不正解(A): 戦略的リスクに関わる監査の中止は、取締役会の監視機能に関わるため「重要な変更」です。
不正解(B): 予定された保証を提供しない(延期する)ことは、リスク受容の判断に関わるため「重要な変更」です。
不正解(D): 監査対象の追加と削除(トレードオフ)を伴う緊急対応は、資源配分とリスク対応の観点から「重要な変更」です。
