Contents
  1. テーマ:「監査人」から「参謀」へ ~顧客主導のサービス~

テーマ:「監査人」から「参謀」へ ~顧客主導のサービス~

前回のアシュアランス(保証)業務は、監査人が主導権を持って「診断」を下す、いわば「医師」のような役割でした。

一方、今回学ぶ「アドバイザリー(助言)業務(Advisory Services)」は、監査人が経営陣のパートナーとして問題解決を支援する、「コンサルタント」や「コーチ」のような役割です。

GIAS(グローバル内部監査基準)において、アドバイザリー業務はアシュアランスと並ぶ重要な柱です。試験では、両者の決定的な違い(誰が決めるのか、誰が責任を持つのか)が問われます。

1. アドバイザリー業務の定義

GIASでは、アドバイザリー業務を以下のように位置づけています。

定義:
内部監査人が経営責任(Management Responsibility)を負うことなく、組織のガバナンス、リスク管理、およびコントロール(GRC)のプロセスを改善し、価値を付加するために実施される、顧客との合意に基づくサービス。

★キーワード:

  • 顧客との合意: 一方的な監査ではなく、依頼主(クライアント)の要望に基づいて行われます。
  • 経営責任の回避: 助言はしますが、最終決定や実行はしません。

2. 「二者間関係(Two-Party Relationship)」の構造

アシュアランス業務が「三者間(監査人・オーナー・利用者)」であったのに対し、アドバイザリー業務は通常、以下の二者間で成立します。

  1. 内部監査人(Internal Auditor): 助言を提供する側。
  2. 顧客/依頼者(Engagement Customer): 助言を求め、受け取る側(通常は経営陣や部門長)。

イメージ:
経理部長(顧客)が「新しい会計システムを入れたいんだけど、リスクがないか相談に乗ってくれない?」と監査人(私)に依頼する。 ここには、第三者(取締役会など)への報告義務は必ずしも伴いません(重大なリスクが見つかった場合を除く)。

3. 性質と範囲(Nature and Scope)の決定権

ここがアシュアランスとの最大の違いであり、試験の頻出ポイントです。

  • 決定者:顧客(依頼者)と内部監査人の「合意」による。

アシュアランスでは監査人が独自に範囲を決めましたが、アドバイザリーでは「顧客が何を知りたいか」が起点となります。 「ここだけ見てほしい」「この観点でアドバイスがほしい」という顧客のニーズに対し、監査人が「わかりました、ではここまでやりましょう」と合意することで、業務の性質(手続)と範囲が決まります。

4. 具体的な業務例と「やってはいけないこと」

アドバイザリー業務は柔軟性が高いですが、越えてはならない「一線」があります。

〇 典型的なアドバイザリー業務

  • トレーニング: 従業員向けに「内部統制とは何か」を研修する。
  • ファシリテーション: リスク評価(CSA)のワークショップの司会進行役を務める。
  • システム導入支援: 設計段階でセキュリティ要件について助言する。
  • 調査(Investigation): 特定のトラブルの原因究明を手伝う。

× やってはいけないこと(経営責任の受託)

  • 決定する: ベンダーの選定を監査人が決める。
  • 承認する: 規定の制定を監査人が承認する。
  • 実行する: 監査人が新しいシステムの設定作業を行う。

これらを行うと、監査人は客観性を失い、将来その業務を監査できなくなります(自己監査の禁止)。

5. アシュアランスとアドバイザリーの比較まとめ

試験では、この表の内容が頭に入っているかが勝負です。

項目アシュアランス業務(保証)アドバイザリー業務(助言)
主な目的独立した評価の提供価値付加、改善、助言の提供
関係性三者間
(監査人・被監査部門・利用者)		二者間(監査人・顧客)
範囲の決定内部監査人が決定する顧客と監査人の合意で決定する
成果物監査報告書
(意見・結論を含む)		助言、提案、トレーニングなど
リスク期待ギャップ
(監査人の意図が伝わらない)		独立性の侵害
(経営に取り込まれる)

まとめ

セクションA-4-cのポイントは、「Customer Driven(顧客主導)」です。

  • 「何をお手伝いしましょうか?」から始まるのがアドバイザリー。
  • 「あなたの仕事をチェックします」から始まるのがアシュアランス。

ただし、どんなに親身に手伝っても、「ハンドル(経営責任)」だけは決して握ってはいけないというルールを忘れないでください。

【練習問題】パート1 セクションA-4-c

Q1. グローバル内部監査基準(GIAS)における「アドバイザリー(助言)業務」の特徴に関する記述として、最も適切なものはどれか。

A. 内部監査人が監査対象のリスクを独自に評価し、その結果を取締役会等の第三者に報告する三者間の業務である。

B. 業務の性質(Nature)と範囲(Scope)は、内部監査人と顧客(依頼者)との間の合意に基づいて決定される二者間の業務である。

C. 経営陣に代わって業務プロセスを設計・導入し、運用責任を負うことによって組織の価値を高める業務である。

D. 過去の財務データの正確性を証明するために、厳格なテスト手続きを実施する業務である。

【解答・解説】

正解と解説を表示

正解(B): アドバイザリー業務の最大の特徴は、顧客(クライアント)のニーズに基づき、顧客と監査人の「合意」によって範囲等が決まる点、および原則として「二者間」のサービスである点です。

不正解(A): これは「アシュアランス(保証)業務」の定義です。

不正解(C): 経営責任(運用責任)を負うことは、内部監査の独立性を損なうため禁止されています。

不正解(D): これは「財務監査(アシュアランス)」の典型的な例です。

Q2. 内部監査部門が実施する以下の活動のうち、「アドバイザリー業務」に分類されるものはどれか。

A. 購買部門のコンプライアンス遵守状況をテストし、「不適合なし」という結論の報告書を取締役会に提出した。

B. 次年度の全社的リスク評価を行い、重点監査項目を選定して年間監査計画を作成した。

C. 新しい在庫管理システムの導入プロジェクトにおいて、コントロールの設計に関する助言を求められ、プロジェクトチームに参加してセキュリティ要件のレビューを行った。

D. 経理部門における現金の不正流用疑惑について、証拠を収集し、犯人を特定して懲戒解雇の手続きを進めた。

【解答・解説】

正解と解説を表示

正解(C): システム導入時のレビューや助言は、典型的なコンサルティング(アドバイザリー)活動です。ここでは「決定」ではなく「レビュー(助言)」を行っているため、経営責任の侵害には当たりません。

不正解(A): 独立した評価と結論を提供しているため、アシュアランス業務です。

不正解(B): これは内部監査部門の管理業務(計画策定)です。

不正解(D): 不正調査はアシュアランスに近い性質を持ちますが、「懲戒解雇の手続きを進める(処分の決定・実行)」ことは経営責任(人事権)の行使であり、監査人の役割を逸脱しています。

Q3. 内部監査人が営業部門からの依頼で「顧客満足度向上のためのプロセス改善」に関するアドバイザリー業務を行うことになった。業務の実施中に、監査人が留意すべき事項として、GIASに基づき最も重要なものはどれか。

A. アドバイザリー業務であっても、独立性と客観性を維持するため、改善策の「実行」や「意思決定」といった経営責任を引き受けてはならない。

B. 顧客(営業部門)の満足を最優先するため、発見された重大なコンプライアンス違反については報告書に記載せず、口頭でのみ伝えるべきである。

C. アドバイザリー業務の成果物は顧客専用であるため、いかなる場合もCAE(内部監査部門長)や上級管理職に報告してはならない。

D. 監査人は営業部門の業務に精通していないため、外部コンサルタントに業務を丸投げし、自らは関与すべきではない。

【解答・解説】

正解と解説を表示

正解(A): アドバイザリー業務における最大のリスクは、顧客と親密になりすぎて「経営責任」を取り込んでしまうことです。監査人はあくまで助言者に徹し、最終的な決定権は経営陣に残す必要があります。

不正解(B): 重大なリスクや違法行為が発見された場合は、アドバイザリー業務であっても、適切な上級管理職や取締役会に報告する義務があります。

不正解(C): 原則は顧客向けですが、組織全体に影響する重要な事項については報告が必要です。

不正解(D): 専門的能力(Proficiency)が不足している場合は辞退するか、適切な監督下で外部リソースを活用すべきですが、丸投げ(責任放棄)は不適切です。