Contents
  1. テーマ:採点者ではなく、家庭教師として ~「自分たちで守る」を支援する~
  2. 【練習問題】パート1 セクションA-6-f

テーマ:採点者ではなく、家庭教師として ~「自分たちで守る」を支援する~

内部監査人が「内部統制(コントロール)を評価する」と言うと、通常は「アシュアランス業務(監査)」を指します。監査人がテストを行い、「合格・不合格」を判定するプロセスです。

しかし、このセクションで学ぶのは「アドバイザリー業務としての内部統制評価」です。 これは、監査人が判定を下すのではなく、現場(経営陣やプロセスオーナー)が「自分たちの統制が有効かどうかを、自分たちで評価する」プロセスを支援する活動です。

1. アシュアランスとアドバイザリーのアプローチの違い

同じ「内部統制の評価」でも、立場と目的が異なります。

項目アシュアランス(監査)アドバイザリー(助言・支援)
主役(評価者)内部監査人経営陣・現場担当者
監査人の役割独立した評価者(検査官)ファシリテーター(進行役)、助言者
目的客観的な保証の提供現場の当事者意識(オーナーシップ)の向上、改善点の共同発見
成果物監査報告書(意見表明)自己評価結果のまとめ、改善アクションプラン

2. 代表的な手法:CSA(統制自己評価)

アドバイザリー業務としての統制評価で最も頻出の手法が「CSA(Control Self-Assessment:統制自己評価)」です。

CSAのプロセス

  1. ワークショップの開催: 現場のマネジャーや担当者が集まり、自分たちの業務について議論します。
  2. 監査人の役割(ファシリテーション):
    • 監査人は議論をリードしますが、意見は押し付けません。
    • 「この業務で一番心配な失敗は何ですか?(リスク)」
    • 「それを防ぐために今は何をしていますか?(コントロール)」
    • といった問いかけを行い、参加者自身に気づきを促します。
  3. 評価と改善: 参加者が自ら「今の対策では不十分だ」と結論付け、改善策を立案します。

★ポイント: 「監査人に指摘されたから直す」のではなく、「自分たちで危ないと思ったから直す」ことになるため、改善の実効性と納得感が高まります(ソフト・コントロールの強化)。

3. ギャップ分析(Gap Analysis)の支援

組織が新しい枠組み(例:COSOフレームワークやISO規格)を導入しようとする際、現状との乖離を評価する支援を行います。

監査人の役割:

  • あるべき姿(基準)と現状(As-Is)を比較し、どこに「統制の穴(ギャップ)」があるかを特定する手助けをします。
  • ただし、穴を埋める作業(コントロールの実装)は経営陣が行います。

4. 根本原因分析(Root Cause Analysis)への助言

トラブルが発生した際、経営陣が行う原因究明プロジェクトに参加し、助言を行うこともあります。

  • 表面的な原因: 「担当者が確認を忘れた」
  • 根本的な原因: 「確認手順が複雑すぎて形骸化していた」「人員不足で確認する時間がなかった」

監査人は、「誰が悪いか」ではなく「何の仕組みが悪いか」に焦点を当てるよう助言し、再発防止策(コントロールの改善)の策定を支援します。

5. 独立性の維持(おさらい)

アドバイザリー業務として統制評価を支援する場合でも、以下の「越えてはならない一線」があります。

  • × 評価結果を監査人が決める:
    • CSAワークショップで、現場が「問題なし」と言っているのに、監査人が独断で「いや、問題ありだ」と評価を変えてはいけません(それはアシュアランスになります)。
  • × 改善策の実行責任を負う:
    • 「改善策を実施しておきました」というのはNGです。

まとめ

セクションA-6-fのポイントは、「オーナーシップの尊重」です。

  • 内部統制の構築・維持・評価の最終責任は経営陣にあります。
  • 監査人は、経営陣がその責任を全うできるように、「鏡(現状を映す)」や「ガイド(手法を教える)」として寄り添います。
  • 特にCSA(統制自己評価)における「ファシリテーター」としての役割は試験の超頻出項目です。

【練習問題】パート1 セクションA-6-f

Q1. 内部監査人が、購買部門において「統制自己評価(CSA)」のワークショップを開催し、ファシリテーターを務めている。議論の中で、現場スタッフから「実は承認プロセスが形骸化しており、誰もチェックしていない」という重大な発言があった。この時の監査人の対応として、CSAの原則に基づき最も適切なものはどれか。

A. 直ちにワークショップを中止し、承認プロセスの不備に関する監査報告書(アシュアランス)を作成して取締役会に提出する。

B. その発言を否定し、「マニュアルには承認が必要と書いてあるので、統制は有効である」と評価を誘導する。

C. 参加者に対して「なぜ形骸化しているのか?」「それを放置するとどんなリスクがあるか?」と問いかけ、現場メンバー自身に問題の深刻さを認識させ、改善策を提案させるよう導く。

D. 発言したスタッフを個別に呼び出し、内部告発者として保護する手続きをとる。

【解答・解説】

正解と解説を表示

正解(C): CSA(アドバイザリー)の目的は、現場の当事者意識を高め、自律的な改善を促すことです。ファシリテーターである監査人は、答えを教えるのではなく、問いかけによって参加者が自らリスクと課題に「気づき」、改善策を「自分たちで決める」ようにプロセスを支援します。

不正解(A): アドバイザリーの場を突然アシュアランスに切り替えることは、参加者の信頼を損ない、今後の協力を得られなくする恐れがあります。

不正解(B): 現場の実態を無視して形式的な評価に誘導することは、CSAの目的に反します。

不正解(D): これは内部通報制度の話であり、CSAワークショップ内でのプロセス改善の議論とは文脈が異なります。

Q2. 組織が新しいITガバナンスのフレームワーク(COBIT等)を導入しようとしている。内部監査部門はアドバイザリー業務として、この導入プロジェクトにおける「内部統制評価」に関与することになった。監査人が果たすべき役割として適切なものはどれか。

A. 新しいフレームワークに基づき、組織の現状(As-Is)とあるべき姿(To-Be)を比較する「ギャップ分析」の手法を助言し、不足しているコントロールの特定を支援する。

B. 新しいフレームワークに準拠するための詳細な業務マニュアルを監査人がすべて執筆する。

C. 導入プロジェクトのリーダーに就任し、各部門への統制活動の導入を指揮・命令する。

D. フレームワークの導入は経営責任であるため、内部監査人は一切関与せず、導入が完了してから監査を行うべきである。

【解答・解説】

正解と解説を表示

正解(A): 新しい基準やフレームワーク導入時の「ギャップ分析」支援は、監査人の専門知識(コントロールの知識)が活きる典型的なアドバイザリー業務です。経営責任を負わずに、どこに手を打つべきかの判断材料を提供します。

不正解(B): マニュアル作成(運用ツールの作成)は経営責任に近く、独立性を損なうリスクがあります。

不正解(C): プロジェクトリーダー(指揮命令)は完全な経営責任であり、監査人の役割ではありません。

不正解(D): 完了後の監査(アシュアランス)も重要ですが、導入段階での助言(アドバイザリー)も組織に価値を付加する重要な役割です。

Q3. アドバイザリー業務として行われる内部統制評価(CSAなど)と、アシュアランス業務として行われる内部統制監査の決定的な違いは何か。

A. アドバイザリー業務ではリスク評価を行わないが、アシュアランス業務では行う。

B. アドバイザリー業務では内部監査人が最終的な評価結論(意見)の責任を負うが、アシュアランス業務では経営陣が負う。

C. アドバイザリー業務ではコントロールの有効性を評価する主体が「経営陣や現場担当者」であり、アシュアランス業務では「内部監査人」である。

D. アドバイザリー業務は不正発見のみを目的とし、アシュアランス業務は業務効率化のみを目的とする。

【解答・解説】

正解と解説を表示

正解(C): 誰が「評価者」であるかが最大の違いです。アドバイザリー(特にCSA)では、監査人はプロセスを支援するだけで、評価を下すのは現場(プロセスオーナー)です。一方、アシュアランスでは、独立した第三者である監査人が評価を下します。

不正解(A): どちらの業務もリスク評価は不可欠です。

不正解(B): 逆です。アシュアランス業務において監査人が意見表明の責任を負います。

不正解(D): 目的の記述が誤っています。どちらの業務も幅広い目的(不正、効率性、コンプライアンスなど)で実施され得ます。