CIA試験パート3:内部監査部門|出題範囲と重要度が一目でわかる学習マップ
このページは、CIA(公認内部監査人)試験パート3:内部監査部門の全範囲を網羅した学習マップです。 2025年の新シラバスおよびGIAS(グローバル内部監査基準)に対応しています。
パート3 全体構成と出題比率
パート3は、「監査業務(パート2)」の上位レイヤーにあたる「内部監査部門の運営(マネジメント)」と、監査の最終工程である「報告とフォローアップ」を扱います。
現場の監査人というよりは、「内部監査部門長(CAE)」の視点で判断する問題が多くなります。特にセクションDは全体の半分近くを占めるため、ここを重点的に押さえることが合格への近道です。
| セクション | 出題比率 | コメント |
|---|---|---|
| セクションA: 内部監査部門の運営 | 25% | 予算・採用・人材育成などの「ヒト・モノ・カネ」の管理と、経営陣との関係構築。 CAEの管理能力が問われます。 |
| セクションB: 内部監査の計画 | 15% | 個別の計画ではなく、組織全体を見渡した「年間監査計画(リスクベース計画)」の策定プロセス。 |
| セクションC: 内部監査部門の品質 | 15% | 監査品質を保証するプログラム(QAIP)。 外部評価やKPIを用いたパフォーマンス測定など。 |
| セクションD: 結果とモニタリング | 45% | 【最重要】 監査報告書の作成、最終報告、改善状況の追跡、そしてリスク受容への対応。ここが合否を分けます。 |
🔰 このページの使い方(学習ガイド)
- 【S】 → 最重要(CAEとして絶対に間違えてはいけない判断業務)
- 【A】 → 頻出(基準や手順の暗記が必要なエリア)
- 【B】 → 標準(一般的な管理知識や常識で対応できる部分)
- 【C】 → 基礎(用語の意味を押さえておけばOK)
まずは配点の高いセクションD(報告・モニタリング)と、CAEの責任を問うセクションAから固めていきましょう。
セクション A:内部監査部門の運営(25%)
💡 このセクションで学ぶこと
内部監査部門を一つの「組織」としてどう運営するかを学びます。予算や人材の確保、外部リソース(コソーシング)の活用、そして経営陣(CEO/取締役会)とどのように信頼関係を築くか、CAEとしての手腕が問われる領域です。
1. 運営管理と戦略的指揮 (A-1)
内部監査部門の基本的な運営方針や、外部業者を使う際の管理、アドバイザリー業務とのバランス感覚を学びます。
- 【B】 a. 外部サービスプロバイダー(コソーシング等)の管理
- 【B】 b. 内部監査業務全体のモニタリング手法
- 【A】 c. アシュアランスとアドバイザリーのバランス調整
- 【B】 d. 内部監査手法のレビューと改訂が必要なタイミング
2. 資源の管理(ヒト・モノ・カネ・IT) (A-2)
予算の獲得、スタッフの採用・育成、そして監査ツールの導入など、リソース管理の実務です。
- 【B】 a. 予算プロセスの手順と考慮事項
- 【B】 b. 採用プロセスと必要なスキルセット
- 【C】 c. チームメンバーの役割と責任(職務記述書)
- 【A】 d. 人材育成・維持(リテンション)戦略
- 【B】 e. 内部監査部門および内部監査業務全体のパフォーマンス管理
- 【A】 f. テクノロジー資源(監査ツール等)の導入と管理
- 【C】 g. メンタリング・コーチングとフィードバック
3. 戦略的整合性 (A-3)
内部監査部門の活動が、会社の目標や戦略とズレないように調整する「整合性(アライメント)」について学びます。
4. 取締役会・経営陣とのコミュニケーション (A-4)
CAEの最も重要な仕事の一つである、トップ層への報告と関係構築です。
- 【A】 a. 公式・非公式コミュニケーションの使い分け
- 【S】 b. 監査計画の伝達と変更報告
- 【S】 c. 独立性の侵害・重大なリスクの報告手順
- 【A】 d. リスク・コントロールの全体評価の報告
- 【S】 e. 品質評価(QAIP)結果と改善計画の報告
セクション B:内部監査の計画(15%)
💡 このセクションで学ぶこと
個別の監査(パート2の範囲)ではなく、組織全体のリスクを見渡して「どの部署を、いつ監査するか」を決める**「監査ユニバース(対象領域)」と「年間計画」**の策定プロセスを学びます。
1. 監査対象領域(ユニバース)の識別 (B-1)
監査の対象となる全ての業務やシステムを洗い出し、最新の技術動向(AI等)も含めて検討します。
- 【B】 a. 監査ユニバース(対象領域)の定義プロセス
- 【B】 b. 監査対象の主要構成要素
- 【B】 c. トピック別要求事項(Topic-specific Requirements)の適用検討
- 【A】 d. 取締役会・経営陣からの要請への対応
- 【A】 e. 法的・規制上の義務(コンプライアンス要件)
- 【A】 f. 新技術(AI、ブロックチェーン、RPA等)と市場動向の識別
- 【B】 g. 監査周期(ローテーション)の決定理由
2. リスク・ベース監査計画の策定 (B-2)
リスクの高い領域を優先して監査するための、計画策定の核心部分です。
3. 他のアシュアランス・プロバイダとの連携 (B-3)
外部監査人や社内の品質管理部門など、他の監査機能とどう協力し、作業の重複を防ぐかを学びます。
セクション C:内部監査部門の品質(15%)
💡 このセクションで学ぶこと
「内部監査部門自体がちゃんと仕事をしているか?」をチェックする仕組みである「QAIP(品質のアシュアランスと改善のプログラム)」について学びます。5年に1度の外部評価などが頻出です。
1. QAIPの要件と構成要素 (C-1)
品質プログラムの全体像と、内部評価・外部評価の具体的なルールです。
- 【S】 a. QAIPの構成要素(内部評価+外部評価)
- 【C】 b. 適用されるトピック別要求事項
- 【B】 c. プログラムの目的(価値付加と業務改善)
- 【S】 d. 取締役会への結果報告義務
- 【S】 e. 内部評価(継続的+定期的) vs 外部評価(5年に1回)
- 【A】 f. 外部評価者の適格性(独立性・専門性)
- 【A】 g. 継続的モニタリングの仕組み
2. 不適合の開示 (C-2)
もし監査基準に従えなかった場合、正直にそれを報告(開示)するルールを学びます。
- 【A】 a. 開示すべき情報(理由・影響・対応策)
- 【A】 b. 取締役会への報告手順
3. パフォーマンス指標(KPI) (C-3)
内部監査部門の成績表(スコアカード)をどう作るか。定量的・定性的な指標の設定方法です。
- 【B】 a. KPI(重要業績評価指標)の目的
- 【B】 b. 目標設定と考慮事項
- 【B】 c. 定性的指標(満足度等)と定量的指標(完了率等)の併用
- 【B】 d. 具体的な指標分析(生産性・効率性・有効性)
セクション D:個々の内部監査業務の結果とモニタリング(45%)
💡 このセクションで学ぶこと
パート3の最大の山場です。監査報告書の作成から、経営陣への報告会(イグジット・カンファレンス)、そして指摘事項が改善されるまでの追跡(フォローアップ)を徹底的に学びます。「リスクの受容」という難しい局面での対応もここに含まれます。
1. コミュニケーションの品質特性 (D-1)
良い報告書に必須の7つの条件(正確、客観的など)を定義します。IIAの基準でも繰り返し登場する、定番の重要テーマです。
2. 効果的な結果の伝達(報告書作成) (D-2)
報告書に何を書くべきか、そして「基準に準拠している」と書くための条件を学びます。
3. 提言と改善措置計画 (D-3)
「こう直すべき」という提言と、現場が作る「改善計画(アクションプラン)」の妥当性評価です。
4. 終了時の報告プロセス (D-4)
監査の締めくくりである「講評会」や、ステークホルダーへの最終報告手順です。
- 【A】 a. 終了会議(イグジット・カンファレンス)の目的
- 【S】 b. 最終報告の配布責任(CAEの役割)
- 【A】 c. ステークホルダーごとの報告内容の調整
- 【B】 d. 監査中に解決済みの発見事項の取り扱い
- 【A】 e. 報告後の誤り(誤謬・脱漏)訂正と再発行
5. 残余リスクの評価 (D-5)
コントロール導入後も残るリスク(残余リスク)をCAEがどう評価・集計するかを学びます。
- 【S】 a. 残余リスクレベルの測定手法
- 【A】 b. 発見事項の優先順位付けと集約
- 【B】 c. 評定尺度(レーティング)の使用
6. リスクの受容(Risk Acceptance)への対応 (D-6)
経営陣が「リスク対策をしない(受容する)」と決めた時、それが許容範囲を超えている場合にCAEが取るべき行動(エスカレーション)です。特にパート3でよく問われるテーマです。
7. フォローアップ(モニタリング)プロセス (D-7)
改善計画が「やりっぱなし」にならないよう、実施状況と有効性を継続的に確認するプロセスです。
8. 改善不備の報告 (D-8)
約束通りに改善が行われない場合、誰にどう報告するかを学びます。
- 【A】 a. 報告対象者(取締役会等)の特定
- 【A】 b. 未実施報告のプロセス
