【CIA試験講義】パート3 セクションD-2-a: 監査報告書の主要な構成要素
テーマ:ただの「不備リスト」ではない ~監査報告書の解剖学~
セクションD-2-aは、内部監査の最終成果物である「監査報告書(最終報告)」に必ず含めなければならない要素についての理解です。
監査報告書は、単に「悪いところ(発見事項)」を列挙したメモではありません。それは「なぜ行ったか」「どこを見たか」「結局どうだったか」「これからどうするか」という論理的なストーリーを持った公式文書です。
GIAS(グローバル内部監査基準)では、ステークホルダーが正しい意思決定を行うために不可欠な要素として、いくつかの項目を必須としています。
1. 導入:報告書の「5大要素」
GIASおよび実務慣行において、最終監査報告書には通常、以下の要素が含まれている必要があります。試験では、それぞれの定義と役割が問われます。
- 業務の目標(Objectives): なぜこの監査を行ったのか?(例:コンプライアンスの確認、プロセスの効率化など)
- 業務の範囲(Scope): どこまで見て、どこを見なかったのか?(期間、対象部署、システムなど)
- 結論(Conclusions): 監査人の専門的判断(意見)。全体として合格か不合格か?
- 改善のための提言(Recommendations): 問題をどう解決すべきか?
- 改善措置の計画(Action Plans): 経営陣(被監査部門)はどう対応すると約束したか?
2. 各要素の詳細と試験対策
① 業務の目標と範囲(Objectives & Scope)
読者が「この報告書は何を保証しているのか」を理解するための前提条件です。
- 範囲の制限(Scope Limitation): 試験で重要です。もし、時間の制約やデータのアクセス不可により「見ることができなかった領域」がある場合、それを必ず範囲のセクションに明記しなければなりません。これを隠すと、読者は「すべて問題ない」と誤解してしまいます。
② 結論(Conclusions)
個々の発見事項(Findings)の集大成です。 発見事項が「個別の木」なら、結論は「森全体の状態」です。
- 格付け(Rating/Grading): 多くの組織では、「満足」「要改善」「不満足」などのランク付けを行いますが、これは結論の一部に含まれます。
- ポイント: 結論は客観的な事実に基づいた「監査人の専門的意見」です。
③ 提言と改善措置(Recommendations & Action Plans)
ここが「改善」のスタート地点です。
- 提言(Recommendations): 監査人が提案する解決策。「根本原因」に対処するものでなければなりません。
- 改善措置の計画(Action Plans):これは「経営陣(被監査側)」が作成します。 監査人が勝手に決めるものではありません。
- 誰が(Who)
- 何を(What)
- いつまでに(When) 行うかを具体的に記載します。
3. 発見事項(Findings)の構成要素(「5つのC」)
報告書の中心となる「個々の問題点」を記述する際、以下の要素(通称 5C)が揃っている必要があります。これは記述問題や構成要素を問う問題で頻出です。
- 基準(Criteria): あるべき姿(ルール、標準)。
- 現状(Condition): 実際の姿(事実)。
- 原因(Cause): なぜギャップが生じたか?
- 影響(Consequence/Effect): その結果、どんなリスクがあるか?
- 是正措置(Corrective Action): どう直すか?(提言/計画)
イメージ:
お医者さんの診断書と同じです。 「健康な状態(基準)」に対し、「熱がある(現状)」。「ウイルス感染(原因)」が理由で、「肺炎になる恐れ(影響)」がある。だから「薬を飲む(是正措置)」。
4. 経営陣がリスクを受け入れた場合
監査人が提言を行っても、経営陣が「コストがかかりすぎる」などの理由で、是正措置を行わない(リスクを受容する)場合があります。 この場合、報告書には「経営陣のリスク受容の判断」を記載する必要があります。
監査人がその受容を「組織のリスク選好を超えている(危険すぎる)」と判断した場合は、上級経営陣や取締役会に報告する義務が生じますが、報告書自体には事実として経営陣の回答を記載します。
5. 試験で狙われる「ひっかけ」ポイント
- ×「監査報告書の改善措置計画(アクションプラン)は、監査人が詳細に作成し、被監査部門に実行を命令する」
- 解説: 間違いです。是正措置の所有権は経営陣にあります。監査人は「提言」を行いますが、具体的な計画の策定と実行責任は経営陣(リスク・オーナー)にあります。
- ×「肯定的な所見(良くできている点)は報告書に書く必要はない」
- 解説: バランスの取れた報告のため、良好なパフォーマンスについても言及すべきです。
- ×「範囲の記述において、監査しなかった除外事項を書くと信頼性が下がるため、省略すべきである」
- 解説: 逆に、除外事項を明記しないと信頼性が損なわれます(ミスリーディングになります)。
まとめ
セクションD-2-aのポイントは、報告書が「責任の所在」と「保証の境界線」を明確にする文書だということです。
- 範囲を書くことで、「私が保証するのはここまでです」と線を引く。
- 提言と改善計画を分けることで、「アドバイスする人」と「実行する人」を区別する。
各セクションが何のために存在するのかを意識してください。
【練習問題】パート3 セクションD-2-a
Q1. 内部監査人が販売プロセスの監査報告書を作成している。監査計画では「国内の全支店」を対象としていたが、感染症の流行による移動制限のため、北海道支店の実地棚卸が実施できなかった。この事実は報告書のどのセクションに記載すべきか。
A. 結論(Conclusions):北海道支店を除いては「良好」であるという結論の一部として記載する。
B. 業務の範囲(Scope):監査の対象外となった領域(制限事項)として明記する。
C. 改善のための提言(Recommendations):次回の監査で北海道支店を優先するよう提言する。
D. 記載する必要はない:実施できなかった手続きを記載すると、報告書全体の信頼性が損なわれるため。
【解答・解説】
正解と解説を表示
正解(B): 監査報告書の「範囲(Scope)」セクションには、監査対象期間や対象システムのほか、実施できなかった手続きや除外した領域(範囲の制限)も明記する必要があります。これにより、読者が監査人の保証の範囲を誤解することを防ぎます。
不正解(A): 結論に影響を与える可能性はありますが、まずは「範囲」として定義するのが適切です。
不正解(C): 提言はコントロールの改善に関するものであり、監査手続きの未実施に関するものではありません。
不正解(D): 重要な制限を隠すことは、倫理的にも基準的にも不適切です。
Q2. 最終監査報告書に含まれる「改善措置の計画(Action Plans)」に関する記述として、GIASに基づき最も適切なものはどれか。
A. 改善措置の計画は、監査人が発見事項に基づいて作成し、被監査部門長がそれに署名をするだけでよい。
B. 改善措置の計画には、誰が、何を、いつまでに行うかが具体的に記載されている必要があるが、その作成主体は被監査部門の経営陣である。
C. 改善措置の計画は、次回の監査までに完了していればよいため、報告書発行時点では具体的な期限を含める必要はない。
D. 被監査部門が改善措置を行わないと回答した場合、監査人は強制力を持って実行を命じる権限を持つ。
【解答・解説】
正解と解説を表示
正解(B): 監査人は是正のための「提言」を行いますが、それに対する具体的な「改善措置の計画」を策定し実行する責任は、リスク・オーナーである経営陣にあります。計画には責任者、内容、期限が含まれるべきです。
不正解(A): 監査人が計画を作成すると、経営陣の当事者意識(オーナーシップ)が欠如する恐れがあり、また監査人の独立性を損なう可能性があります(運用責任に関与することになるため)。
不正解(C): 期限のない計画は実効性がありません。
不正解(D): 内部監査人は助言者であり、業務命令権(強制力)は持ちません。リスク受容が不適切と判断した場合は、上級経営陣や取締役会へ報告します。
Q3. 監査報告書の作成において、個々の「発見事項(Findings)」を構成する5つの要素(5C)に含まれないものはどれか。
A. 基準(Criteria):本来あるべき状態や期待される標準。
B. 原因(Cause):現状と基準の差異が生じた理由。
C. 責任(Culpability):不備を引き起こした個人の特定と処分の推奨。
D. 影響(Consequence/Effect):差異が組織にもたらすリスクや結果。
【解答・解説】
正解と解説を表示
正解(C): 内部監査の目的はプロセスの改善であり、個人の責任追及(犯人探し)ではありません。「責任(Culpability)」は発見事項の必須構成要素(5C)には含まれません。必須なのは、基準、現状(Condition)、原因、影響、是正措置(Corrective Action)/提言です。
不正解(A、B、D): これらはすべて、発見事項を論理的に説明するために不可欠な要素です。
