Contents
  1. テーマ:オーダーメイドのスーツを仕立てる ~「合意」がすべての出発点~
  2. 【練習問題】パート1 セクションA-4-d

テーマ:オーダーメイドのスーツを仕立てる ~「合意」がすべての出発点~

アシュアランス(保証)業務では、監査人がリスク評価に基づき、「ここを検査します」と主導的に範囲を決定しました(既製服の品質チェックのようなもの)。 対して、アドバイザリー(助言)業務は、顧客(クライアント)の悩み解決が目的です。

したがって、勝手に決めるのではなく、顧客と話し合って作る「オーダーメイド」のアプローチが必要になります。

このセクションでは、アドバイザリー業務において、「何を(内容)」「どこまで(範囲)」実施するかを決めるプロセスと、その際の監査人の留意点について学びます。

1. 決定の原則:「相互の合意(Mutual Agreement)」

GIAS(グローバル内部監査基準)において、アドバイザリー業務の計画策定に関する最大の特徴は、以下の点です。

原則: アドバイザリー業務の目的、範囲、それぞれの責任、およびその他の期待事項は、内部監査人と顧客(依頼者)との間の合意によって決定されなければならない。

★ポイント: 「監査人が勝手に決める」のでも、「顧客の言いなりになる」のでもありません。対話を通じた「合意形成」が必須です。

2. 内容と範囲を決定するステップ

実務的には、以下の流れで業務の仕様(スペック)を固めていきます。

ステップ①:顧客からの依頼(Request)

きっかけは通常、経営陣や部門長からの相談です。「新しいシステムを入れるから見てほしい」「業務フローを効率化したい」など。

ステップ②:予備的協議(Preliminary Discussion)

監査人は、顧客のニーズをヒアリングし、以下の点を確認します。

  • 実現可能性: 期限内にできるか?スキルはあるか?
  • 価値の提供: それは組織にとって有益か?
  • 独立性の確認: 「経営判断」を押し付けられていないか?

ステップ③:範囲(Scope)の定義

ここが重要です。「システムを見る」だけでは曖昧すぎます。

  • 「セキュリティ設定に限定するのか、コスト対効果も含めるのか?」
  • 「本社だけか、海外支店も含めるのか?」 これらを明確にし、「やること」と「やらないこと」の境界線を引きます。

ステップ④:文書化(Documentation)

合意した内容(目的、範囲、責任、成果物、期限)を文書に残します。これは後のトラブル(「もっとやってくれると思った」等)を防ぐためです。

3. 監査人が「NO」と言うべき時

顧客と合意して決めるとはいえ、何でも引き受けて良いわけではありません。以下のような場合、監査人は依頼を断るか、範囲の修正を提案する義務があります。

  1. 独立性・客観性が損なわれる場合:
    • 例:「選定したベンダーとの契約書にサインしてほしい」(経営責任の受託)。
  2. 専門能力(Proficiency)が不足している場合:
    • 例:「最新のAIアルゴリズムを検証してほしい」と言われたが、監査チームに知識がなく、外部リソースも確保できない場合。
  3. 監査の範囲が不当に制限されている場合:
    • 例:「業務改善の助言は欲しいが、根本原因となるデータは見せられない」と言われた場合。これでは適切な助言ができません。

4. 業務中の変更(Scope Creep)への対応

アドバイザリー業務を行っていると、顧客から「ついでにこれも見てほしい」と追加の要望が出ることがよくあります(スコープ・クリープ)。

対応: 柔軟に対応することは可能ですが、「合意の更新」が必要です。

追加作業によってリソースや期限に影響が出る場合、それを顧客に説明し、改めて範囲を変更する合意形成を行います。なし崩し的に拡大してはいけません。

まとめ

セクションA-4-dのポイントは、「握手(合意)の前の確認」です。

  • アシュアランスは「リスク評価」で範囲が決まる。
  • アドバイザリーは「顧客との合意」で範囲が決まる。
  • ただし、監査人は「御用聞き」ではないため、独立性を守れない依頼や、価値のない依頼には「NO」と言うプロフェッショナリズムが必要。

【練習問題】パート1 セクションA-4-d

Q1. 内部監査人が営業部門長から「販売プロセスの効率化」に関するアドバイザリー業務を依頼された。GIASに基づき、この業務の「内容」と「範囲」を最終的に決定するプロセスとして、最も適切なものはどれか。

A. 内部監査人が独自にリスク評価を行い、営業部門長に通知することなく範囲を決定する。

B. 営業部門長が要望するすべての項目を無条件に受け入れ、範囲とする。

C. 内部監査人と営業部門長が協議を行い、目的、範囲、それぞれの責任、および成果物について相互に合意する。

D. 組織全体への影響を考慮し、取締役会が範囲を決定し、営業部門長に通達する。

【解答・解説】

正解と解説を表示

正解(C): アドバイザリー業務の本質は「顧客とのパートナーシップ」です。業務の目的や範囲は、一方的に決めるのではなく、監査人と依頼者(顧客)との協議と合意によって決定されます。

不正解(A): 独自の決定はアシュアランス業務のアプローチです。アドバイザリーでは顧客のニーズが起点となります。

不正解(B): 監査人は専門職として、実現可能性や独立性の観点から依頼内容をスクリーニングする必要があります。言いなりになることではありません。

不正解(D): 通常、個別のアドバイザリー業務の範囲決定に取締役会が直接介入することはありません(結果の報告は別として)。

Q2. 内部監査部門長(CAE)は、IT部門から「新システム導入プロジェクトへの助言」を依頼された。協議の結果、IT部門は「プロジェクトの遅延を防ぐため、監査人にはリスク評価だけでなく、システム設定の承認作業も担当してほしい」と要望してきた。この範囲設定に対するCAEの対応として、最も適切なものはどれか。

A. 顧客(IT部門)のニーズを満たすことがアドバイザリー業務の目的であるため、承認作業も含めて合意する。

B. 「承認作業」は経営責任(運用責任)に該当し、内部監査の独立性を損なうため、その部分の依頼は断り、助言のみに範囲を限定するよう交渉する。

C. 承認作業を行う代わりに、このプロジェクトに関する将来のアシュアランス業務(監査)を行わないことを条件に引き受ける。

D. 承認作業は技術的な専門知識が必要であるため、外部の専門家を雇って代行させる。

【解答・解説】

正解と解説を表示

正解(B): アドバイザリー業務の範囲を決定する際、監査人は「経営責任(Management Responsibility)」を引き受けていないか厳重に注意する必要があります。承認、決定、実行は経営陣の役割であり、これを行うと客観性が失われるため、範囲から除外しなければなりません。

不正解(A): 顧客満足は重要ですが、独立性の侵害は許されません。

不正解(C): 将来の監査を放棄したとしても、現時点で経営責任を負うことはGIAS違反となります。

不正解(D): 誰がやるかではなく、内部監査部門としての責任範囲の問題です。

Q3. アドバイザリー業務の実施中に、依頼者である部門長から「当初の計画にはなかったが、関連する子会社のプロセスについても調査してほしい」と追加の要望があった。内部監査人の対応として、GIASの観点から最も適切なものはどれか。

A. 顧客の要望には迅速に応えるべきであるため、手続きなしで直ちに調査対象に追加する。

B. 当初の合意文書(契約)絶対主義であるため、いかなる理由があっても追加の要望は拒否する。

C. 追加要望によるリソース、時間、および監査計画全体への影響を検討し、部門長と協議した上で、修正された範囲について改めて合意・文書化する。

D. 子会社の調査はアシュアランス業務に該当するため、アドバイザリー業務としては実施できないと回答する。

【解答・解説】

正解と解説を表示

正解(C): アドバイザリー業務の範囲は変更可能ですが、それは管理されたプロセスである必要があります。スコープの拡大(変更)が業務全体に与える影響を評価し、顧客と再合意(リ・アグリーメント)形成することが求められます。

不正解(A): 影響を考慮せずに安請け合いすると、品質低下や他の業務への支障を招きます。

不正解(B): 柔軟性はアドバイザリー業務の利点の一つです。合理的な変更であれば拒否する必要はありません。

不正解(D): 子会社の調査も、目的によってはアドバイザリー業務として実施可能です。