Contents
  1. テーマ:外部の目を借りる知恵 ~自前主義の限界と解決策~
  2. 【練習問題】パート1 セクションB-3-b

テーマ:外部の目を借りる知恵 ~自前主義の限界と解決策~

内部監査は「内部」で行うことが原則ですが、すべてを自前でまかなうこと(インソーシング)が常にベストとは限りません。

特に、客観性が脅かされている状況や、高度な専門知識が必要な場合、あえて「外部にアウトソース(委託)する」ことが、ガバナンスを強化する最良の手段となることがあります。

このセクションでは、どのような状況でアウトソーシングを選択すべきか、そしてアウトソースした際にCAE(内部監査部門長)が果たすべき「監督責任」について学びます。

1. アウトソーシングを選択すべき「状況」

内部監査業務の一部、または全部を外部プロバイダー(監査法人やコンサルティング会社)に委託する主な理由は以下の通りです。

① 客観性の回復(Conflict of Interestの回避)

  • 状況: CAEがリスク管理部門長を兼務しているため、リスク管理プロセスの監査ができない(自己監査になる)。
  • 解決策: その部分の監査だけを外部に委託し、第三者の目で評価してもらう。

② 専門能力の不足(Lack of Proficiency)

  • 状況: サイバーセキュリティや特殊な法規制の監査が必要だが、社内にスキルを持った監査人がいない。
  • 解決策: 外部の専門家(SME: Subject Matter Expert)を一時的にチームに加える(コソーシング)。

③ リソースの不足

  • 状況: 短期間に多数の拠点を監査する必要があるが、人員が足りない。
  • 解決策: 外部リソースを活用してマンパワーを補う。

2. アウトソーシングの種類

  1. 完全アウトソーシング(Full Outsourcing):
    • 内部監査機能のすべてを外部業者が行う。ただし、CAE機能(責任者)だけは組織内部の人間が担当しなければならないというのがIIAの推奨です(責任の所在を明確にするため)。
  2. コソーシング(Co-sourcing):
    • 内部スタッフと外部専門家がチームを組んで監査を行う。知識移転(OJT)の効果も期待できる理想的な形態です。
  3. 個別業務の委託:
    • 特定の監査(例:年金監査)だけを単発で委託する。

3. CAEの監督責任(Oversight Responsibility)

ここが試験の最重要ポイントです。 「業務を委託しても、責任は委託できない。」

外部業者が監査を行ったとしても、その品質と結果に対する最終責任はCAEにあります。したがって、CAEは以下の監督を行う必要があります。

  • 選定: 独立性・客観性・専門能力を持った業者を選ぶ。
  • 計画の承認: 業者が作成した監査計画書をレビューし、承認する。
  • 業務の監視: 監査中に適切なコミュニケーションをとり、進捗と品質を確認する。
  • 結果の所有: 外部業者の報告書をCAEが受け取り、CAEの名前で(またはCAEの承認を経て)取締役会に報告する。

4. 外部業者自身の「利益相反」に注意

外部に頼めば客観性が保証されるとは限りません。 例えば、財務諸表監査を行っている外部監査人(会計士)に、内部監査も依頼する場合、独立性の問題が生じる可能性があります(国や規制によっては禁止されています)。

CAEは、外部業者が組織内の他の業務(コンサルティング等)に関与していないか確認し、利益相反がないことを担保する必要があります。

まとめ

セクションB-3-bのポイントは、「責任の所在」です。

  • アウトソーシングは、客観性や専門性を確保するための有効な「手段」です。
  • しかし、内部監査という機能の「責任(Responsibility)」は、常に組織内部(CAEおよび取締役会)に残ります。
  • 「外部にお任せ」ではなく、「外部を使いこなす」姿勢が求められます。

【練習問題】パート1 セクションB-3-b

Q1. 小規模な組織の内部監査部門長(CAE)が、コンプライアンス部門の責任者を兼務している。来年度の監査計画に「コンプライアンス・プログラムの有効性評価」が含まれている場合、客観性を確保するための最も適切な措置はどれか。

A. CAE自身がコンプライアンス業務に精通しているため、自ら監査を実施し、コストを削減する。

B. コンプライアンス部門の部下に監査を行わせ、CAEがレビューする。

C. 当該監査業務を外部の独立したサービスプロバイダーに委託(アウトソース)し、その結果を取締役会に直接報告させるよう手配する。

D. 利益相反があるため、コンプライアンス・プログラムの監査は実施せず、監査対象から除外する。

【解答・解説】

正解と解説を表示

正解(C): CAEが業務責任(第2線)を負っている領域を監査することは「自己監査」となり、客観性が完全に欠如します。この場合、内部スタッフもCAEの部下であるため客観性を保てません。唯一の解決策は、外部の第三者に評価を委託(アウトソース)することです。

不正解(A)、(B): どちらも客観性の侵害(自己評価の脅威)に該当します。

不正解(D): 重要なリスク領域を監査しないことは、組織のガバナンス責任を果たしていないことになります。

Q2. 内部監査部門が、高度なITセキュリティ監査を実施するために外部の専門業者とコソーシング(Co-sourcing)契約を結んだ。この監査業務におけるCAE(内部監査部門長)の責任に関する記述として、GIASに基づき正しいものはどれか。

A. 専門的な監査であるため、計画から報告まですべて外部業者に任せ、CAEは関与すべきではない。

B. CAEは、外部業者の作業内容を監督し、監査の品質と結論に対して最終的な責任を負わなければならない。

C. 外部業者が作成した報告書は、CAEを通さずに直接IT部門長に提出されるべきである。

D. 外部業者の独立性を保つため、CAEは業者の選定プロセスに関与してはならない。

【解答・解説】

正解と解説を表示

正解(B): 業務を外部委託しても、内部監査機能としての責任は委託できません。CAEは、外部業者が適切な手続きを行っているか監督し、最終的な成果物(監査報告)の内容を承認・所有する責任があります。

不正解(A): 丸投げ(責任放棄)は許されません。

不正解(C): 報告プロセスはCAEが管理すべきです。

不正解(D): 適切な業者を選定することはCAEの重要な責任です。

Q3. 内部監査業務の完全アウトソーシング(Full Outsourcing)を検討している組織において、IIA(内部監査人協会)が推奨する「外部に委託すべきではない役割」はどれか。

A. 個別の監査業務の実査(テスト作業)。

B. リスク評価のファシリテーション。

C. 内部監査活動の全体的な監視と品質管理の責任(CAEとしての役割)。

D. IT監査や不正調査などの専門的な監査。

【解答・解説】

正解と解説を表示

正解(C): IIAは、内部監査部門長(CAE)の役割、すなわち内部監査活動全体を管理し、取締役会に説明責任を負う機能については、組織内部の人間が担当することを強く推奨しています。これにより、組織のリスクに対するオーナーシップと、外部業者に対する監督機能が維持されます。

不正解(A)、(B)、(D): これらは実務的なタスクや専門性が求められる分野であり、アウトソーシングに適しています。