【CIA試験講義】パート1 セクションA-4-e: アシュアランスとアドバイザリーの適切な選択
テーマ:「審判」として吹くか、「コーチ」として教えるか?
これまで、アシュアランス(保証)とアドバイザリー(助言)の定義と違いを学んできました。 試験の本番で問われるのは、知識そのものではなく、「具体的なシナリオ(状況)において、どちらの帽子をかぶるのが適切かを判断する能力」です。
GIAS(グローバル内部監査基準)は、内部監査部門が状況に応じて柔軟に役割を使い分けることで、組織に最大の価値を提供することを求めています。 このセクションでは、その判断基準となる「分岐点」を整理します。
1. 判断のための「3つの質問」
目の前の依頼やリスクに対して、どちらの業務を提供すべきか迷ったときは、以下の3つの質問を自分に投げかけてください。
質問①:目的は「評価」か「改善・構築」か?
- 「現状が正しいか確認したい」 → アシュアランス
- 例:財務報告の正確性、コンプライアンス遵守、稼働中のシステムの安全性。
- 「どうすれば良くなるか知りたい」 → アドバイザリー
- 例:業務フローの効率化、新システムの要件定義、リスク管理手法の導入支援。
質問②:対象は「過去・現在」か「未来」か?
- 過去・現在の事象(完了した取引、運用中の統制) → アシュアランス向き。
- 証拠が存在するため、客観的な評価が可能です。
- 未来の事象(これから作るシステム、新しい戦略) → アドバイザリー向き。
- まだ「物」がないため評価はできず、設計への助言が求められます。
質問③:誰のための業務か?(報告先)
- *第三者(取締役会、規制当局、外部監査人)への報告が必要 → アシュアランス
- 「独立した客観的なお墨付き(保証)」が必要です。
- *依頼者(経営陣、現場部門長)のための業務 → アドバイザリー
- 彼らの問題解決を支援する「パートナーシップ」が求められます。
2. 典型的なシナリオ別・推奨アプローチ
試験によく出るシチュエーションごとの「正解」パターンです。
| シチュエーション | 推奨業務 | 理由 |
|---|---|---|
| 新システムの導入前 (設計段階) | アドバイザリー | 運用開始前に統制の不備を防ぐため、設計段階で助言を行うのが最も効果的(予防的)。 |
| 新システムの稼働後 (運用段階) | アシュアランス | システムが意図通り動いているか、独立した立場で評価・保証する(発見的)。 |
| 法令違反や不正の疑い | アシュアランス (または調査) | 事実関係を客観的に確定し、取締役会等へ報告する必要があるため。 |
| 業務プロセスが非効率で困っている | アドバイザリー | 悪い箇所を指摘するだけでなく、具体的な改善案(ベストプラクティス)の提示が求められているため。 |
| 法規制による監査義務 | アシュアランス | 規制当局は「準拠していることの証明」を求めているため。 |
3. 独立性のジレンマと回避策
「以前アドバイザリー業務で助言した領域を、後にアシュアランス業務で監査してもよいか?」という問題は頻出です。
- 原則: 可能。ただし、客観性が損なわれないよう注意が必要です。
- 条件:
- アドバイザリー業務の際に、経営責任(決定・実行)を負っていないこと。
- もし同じ監査人が担当する場合、客観性に懸念があるなら、別の監査人を割り当てるか、外部リソースを利用する。
- GIASでは、以前に経営責任に近い関与をした領域のアシュアランス業務を行う場合、少なくとも1年以上期間を空けるなどのセーフガードが推奨されることがあります(以前の基準の規定ですが、概念として重要)。
4. 複合的なアプローチ(ブレンド)
実務では、一つの監査プロジェクトの中に両方の要素が入ることがあります。 例えば、「在庫管理の実査(アシュアランス)」を行いながら、発見された非効率性について「改善の助言(アドバイザリー)」を行う場合です。
この場合、報告書の中で「事実に基く評価(保証)」と「監査人の意見・提案(助言)」を明確に区別して記述することが求められます。
まとめ
セクションA-4-eのポイントは、「ニーズとタイミング」です。
- Before(事前) & Build(構築): アドバイザリーで助ける。
- After(事後) & Verify(検証): アシュアランスで確かめる。
「監査人は警察官(アシュアランス)でもあり、医師(アドバイザリー)でもある」。 患者の状態に合わせて、メスを握るべきか、処方箋を書くべきかを判断してください。
【練習問題】パート1 セクションA-4-e
Q1. ある企業が全社的な基幹システム(ERP)の刷新プロジェクトを開始したばかりである。IT部門長から内部監査部門に対し、「プロジェクトが成功するように、セキュリティ機能の要件定義に参加してほしい」との依頼があった。この段階において、内部監査部門が提供すべき最も適切な業務タイプはどれか。
A. アシュアランス業務:プロジェクト完了後に、セキュリティ機能が有効に動作しているかを評価する。
B. アシュアランス業務:現時点での要件定義書に不備がないか、承認を与える。
C. アドバイザリー業務:プロジェクトチーム会議に参加し、セキュリティ・コントロールの設計に関する助言やリスクの指摘を行う。
D. 業務の辞退:開発中のシステムに関与することは独立性を損なうため、システムが稼働するまで関与を避ける。
【解答・解説】
正解と解説を表示
正解(C): システム開発の初期段階(要件定義・設計)においては、欠陥を作り込む前に防ぐ「予防的アプローチ」が価値を生みます。これはアドバイザリー業務(助言)として実施するのが最適です。
不正解(A): 完了後のアシュアランスも重要ですが、IT部門長の「プロジェクト成功のために(今)参加してほしい」というニーズに応えておらず、手戻りのリスクが高まります。
不正解(B): 「承認」は経営責任に当たるため、監査人が行ってはいけません。
不正解(D): 独立性を理由に関与を避けるのは、組織に価値を提供する機会の損失です。経営責任を負わずに助言することは可能です。
Q2. 取締役会は、最近の法改正に伴い、自社のハラスメント防止対策が法令に準拠しているか、また有効に機能しているかについて、客観的な確証を求めている。この状況において、内部監査部門長(CAE)が提案すべき業務として最も適切なものはどれか。
A. 人事部に対するアドバイザリー業務:ハラスメント研修のコンテンツ作成を支援する。
B. 合理的アシュアランス業務:ハラスメント相談窓口の運用記録や規程を検証し、法令準拠性と有効性について独立した評価意見を報告する。
C. 限定的アシュアランス業務:人事部長へのインタビューのみを行い、問題がないことを確認する。
D. アドバイザリー業務:他社のハラスメント対策事例を調査し、ベストプラクティスを提示する。
【解答・解説】
正解と解説を表示
正解(B): 取締役会という第三者が、法令準拠という重要なテーマについて「客観的な確証(保証)」を求めている場合、詳細な検証に基づく「合理的アシュアランス」が最も適切です。
不正解(A): コンテンツ作成支援(アドバイザリー)は役立ちますが、取締役会が求めている「準拠性の確認」には答えられません。
不正解(C): 法令順守という重要リスクに対し、インタビューのみの限定的アシュアランスでは十分な保証とは言えません。
不正解(D): ベストプラクティスの提示は改善には役立ちますが、現状が法令を守れているかの証明にはなりません。
Q3. 内部監査部門は昨年、購買プロセスの効率化プロジェクトに対して「アドバイザリー業務」を提供し、新しい発注フローの設計を支援した(決定はしていない)。今年度、取締役会から当該購買プロセスのコンプライアンス監査(アシュアランス業務)を実施するよう指示があった。この場合の対応として、GIASに基づき最も適切なものはどれか。
A. 自身が設計を支援したプロセスを監査することは利益相反となるため、内部監査部門として監査を拒否する。
B. アドバイザリー業務で経営責任(決定権)を行使していないことを確認した上で、アシュアランス業務を受諾する。ただし、客観性を担保するため、昨年のプロジェクトに関与していない別の監査人を担当にする等の配慮を行う。
C. アシュアランス業務は実施するが、自分たちが助言した内容に不備が見つかっても報告書には記載しない。
D. アドバイザリー業務からアシュアランス業務への変更は認められないため、再度アドバイザリー業務として実施する。
【解答・解説】
正解と解説を表示
正解(B): 過去にアドバイザリーを提供した領域であっても、経営責任(決定・承認)を負っていなければ、アシュアランス業務の対象とすることは可能です。ただし、客観性に対する脅威(「自分の助言は正しかった」と思いたいバイアス)を管理するため、担当者を変えるなどのセーフガードが推奨されます。
不正解(A): 経営責任を負っていない限り、監査を拒否する必要はありません。
不正解(C): 不備を隠蔽することは、誠実性と客観性の原則に対する重大な違反です。
不正解(D): 業務タイプは目的に応じて決定されるものであり、過去の経緯で固定されるものではありません。
