改善措置は「根本原因」を叩いているか？｜是正計画の妥当性評価【CIAパート3】

Contents

テーマ：「草むしり」の極意～根っこから抜かなければ意味がない～
【練習問題】パート3 セクションD-3-c

テーマ：「草むしり」の極意～根っこから抜かなければ意味がない～

セクションD-3-cは、内部監査の品質を決定づける最も重要なスキルの一つ、「根本原因分析（Root Cause Analysis）」と、それに基づく「改善計画の評価」です。

発見事項（Findings）に対して、経営管理者が「直します」と改善計画を持ってきたとき、監査人はハンコを押すだけの係ではありません。「その計画で、本当に再発を防げるのか？」この問いに答えるためには、現象（症状）と原因（病巣）を区別する眼力が必要です。

GIAS（グローバル内部監査基準）では、表面的な修正ではなく、根本原因に対処することで初めて「価値」が付加されると強調しています。

1. 導入：「症状」と「根本原因」の違い

監査人が発見事項を報告すると、経営管理者はしばしば「応急処置」を提案してきます。しかし、監査人が求めているのは「根治治療」です。

症状（Symptom）： 表面に見えている問題（例：床が水浸しである）。
直接原因（Direct Cause）： 症状を引き起こした直接のきっかけ（例：誰かが水をこぼした）。
根本原因（Root Cause）： その事象が発生することを許してしまった、プロセスの欠陥（例：そもそも水汲み場の蛇口が壊れやすい構造だった）。

★ポイント： 床を拭くこと（是正措置）は必要ですが、それだけでは明日もまた水浸しになります。蛇口を修理すること（根本原因への対処）が、監査人が承認すべき「改善措置の計画」です。

2. 「なぜ（Why）」を5回繰り返す

根本原因にたどり着くための有名な手法が「Why 5（なぜなぜ分析）」です。試験では、監査人が提示された改善計画が「浅すぎる（根本原因に届いていない）」ことを見抜く力が問われます。

例：経費精算の入力ミスが多発している。

なぜ？ → 担当者が間違ったコードを入力したから。

なぜ？ → コード一覧表が古く、見づらいから。

なぜ？ → コード更新が手動で、システムと連携していないから。
（ここが根本原因！）

ダメな改善計画： 「担当者に気をつけるよう指導する（精神論）」良い改善計画：「経費精算システムを改修し、コードをプルダウン選択式にする（システム的解決）」

3. 改善措置の計画を評価する基準

経営管理者が提出した「改善措置の計画（Action Plans）」を監査人がレビューする際、以下のチェックリストを用います。

論理性（Logic）： そのアクションを行えば、論理的にリスクが消滅、または低減するか？
根本的解決（Root Cause）： 「人の注意不足」を原因として片付けていないか？（ヒューマンエラーは結果であって原因ではありません）。
実行可能性（Feasibility）： 期限やリソースは現実的か？
持続可能性（Sustainability）： 担当者が変わっても、そのコントロールは機能し続けるか？

4. よくある「不適切な計画」のパターン

試験でよく出る「不合格な改善計画」の例です。これらが選択肢にあったら、監査人は「不十分である」と判断し、計画の修正を求める必要があります。

「担当者を再教育・再訓練する」
- 教育は重要ですが、プロセス自体が複雑すぎる場合、教育だけでは再発を防げません。
「担当者を懲戒処分にする／異動させる」
- 「個人の資質」に帰結させるのは、多くの場合、管理体制の欠陥から目を背けることです（トカゲの尻尾切り）。
「ダブルチェックを徹底するよう通達を出す」
- 「通達」は時間の経過とともに風化します。システム的な強制力（Check function）が必要です。

5. 試験で狙われる「ひっかけ」ポイント

×「監査人は根本原因を特定するために、改善措置の計画を自ら作成し、経営管理者に実行させるべきである」
- 解説： 何度も出てきますが、計画を作るのは「経営管理者」です。監査人は「原因の分析」を支援し、「計画の有効性」を評価する立場です。
×「発見事項が軽微な場合、根本原因の分析を行う必要はない」
- 解説： 確かにコスト対効果は考慮しますが、軽微なミスが実は氷山の一角（システム全体の不備）であることもあります。安易に分析を省略すべきではありません。
×「経営管理者が『今後は注意する』と約束した場合、監査人は信頼関係を維持するためにそれを受け入れるべきである」
- 解説： 「精神論」はコントロールではありません。具体的なプロセス変更やガードレールの設置を求めるべきです。

まとめ

セクションD-3-cのポイントは、「再発防止の保証」です。

If 改善計画が「モグラ叩き（その場の修正）」になっている
Then 監査人は「これではまた同じことが起きます」と指摘し、プロセスの見直し（根本治療）を要請しなければならない。

監査人は、経営管理者が見落としがちな「システムとしての欠陥」に光を当てる役割を担っています。

【練習問題】パート3 セクションD-3-c

Q1. 内部監査人は、工場の在庫データと実在庫に差異があることを発見した。原因を調査したところ、特定の倉庫担当者が入庫入力を忘れる頻度が高いことが判明した。工場長は改善措置の計画として「当該担当者に対し、入力漏れがないよう厳重注意を行い、始末書を提出させる」ことを提案した。この計画に対する監査人の評価として、GIASに基づき最も適切なものはどれか。

A. 担当者の責任を明確にしており、規律を正すための強力な措置であるため、計画を承認する。

B. ヒューマンエラーを個人の不注意のみに帰結させており、なぜ入力忘れが起きやすいのかという「プロセスの根本原因」に対処していないため、不十分であると判断する。

C. 始末書の提出は法的な証拠能力を持つため、将来の不正防止に役立つ優れたコントロールである。

D. 担当者を配置転換しない限りリスクは解消されないため、人事異動を含めるよう修正を求める。

【解答・解説】

正解と解説を表示

正解（B）： 「厳重注意」や「個人の処罰」は、一時的な効果しかなく、根本的な解決策（プロセス改善）ではありません。監査人は、なぜ入力忘れが発生するのか（例：入力端末が遠い、画面が複雑、作業量が多すぎる等）を分析し、システムや手順の変更によってミスを防ぐ計画を求めるべきです。

不正解（A）： 精神論や懲罰は持続可能なコントロールではありません。

不正解（C）： 始末書は事後対応であり、予防的コントロールとして機能しません。

不正解（D）： 人を変えても、プロセスが悪ければ同じミスが再発します。

Q2. 内部監査人は、ITシステムへのアクセス権限の棚卸が、規定通り四半期ごとに行われていないことを発見した。IT部長は「業務多忙で担当者が忘れていた」と説明し、改善措置として「カレンダーにリマインダーを設定し、確実に実施するよう担当者に指示した」と回答した。根本原因への対処という観点から、監査人が次に検討すべき事項はどれか。

A. リマインダーの設定方法がOutlookかGoogleカレンダーかを確認する。

B. 担当者がリマインダーを無視した場合の罰則規定を作成するよう指示する。

C. なぜ手動での棚卸に依存しているのか、棚卸プロセス自体を自動化または簡素化できないか（プロセスの実行可能性）を検討するよう促す。

D. 担当者の業務負荷を減らすために、アクセス権限の棚卸頻度を年1回に減らすよう規程の変更を提案する。

【解答・解説】

正解と解説を表示

正解（C）： 「多忙で忘れた」という原因に対し、「思い出させる（リマインダー）」だけでは弱いです。根本原因は「手動プロセスが繁雑で負担になっていること」である可能性が高いです。したがって、監査人はプロセスの自動化や効率化といった、より確実で持続可能な解決策を検討するよう促すべきです。

不正解（A）： ツールの種類は本質的ではありません。

不正解（B）： 罰則による強制は、根本的な業務プロセスの改善にはなりません。

不正解（D）： リスク評価に基づかずに頻度を減らすことは、コントロールの弱体化につながります。

Q3. 次の記述のうち、GIASにおける「改善措置の計画」と「根本原因」の関係について、最も適切に説明しているものはどれか。

A. 改善措置の計画は、発見された誤謬（エラー）の金額的影響を修正することを最優先とし、根本原因の究明は次回の監査まで先送りしてもよい。