Contents
  1. テーマ:天気(文化)が引き起こす交通事故(リスク) ~現場レベルでの定義~
  2. 【練習問題】パート1 セクションC-2-b

テーマ:天気(文化)が引き起こす交通事故(リスク) ~現場レベルでの定義~

セクションC-2-bは、組織文化という「空気感」が、個々の監査対象(例:購買業務、営業プロセス)において、具体的にどのような「リスク」となり、どのような「コントロール」を必要とするかを定義するプロセスです。

CIA試験では、単に「マニュアル通りか」を確認するだけでなく、「なぜそのミスが起きたのか?(根本原因)」を文化的な背景から分析できるかが問われます。

1. 導入:マクロ(文化)からミクロ(現場)へ

前セクションで「組織文化」を学びました。ここでは、その文化が個別の業務にどう影響するかを考えます。

  • 文化(全体): 「結果さえ出せば何をしてもいい」という攻撃的な社風。
  • リスク(個別): 営業部門の監査において、「架空売上の計上」や「顧客への押し売り」という具体的なリスクが高まる。
  • コントロール(個別): 通常の「上長の承認」だけでは不十分で、「異常値のモニタリング」や「内部通報制度」といった、文化リスクに対応したコントロールが必要になる。

★ポイント: 内部監査人は、個々の業務を計画する際、「この部門の文化(サブカルチャー)は、コントロールの有効性にどう影響するか?」を定義・評価しなければなりません。

2. 「リスク」の定義(文化的視点)

個々の業務におけるリスクとは、「目的の達成を阻害する不確実性」です。文化的な視点を入れると、リスクの定義はより深くなります。

  • 通常のリスク定義: 手順書の手順を間違えるリスク。
  • 文化的背景を含むリスク定義:
    • 経営者による無視(Management Override): 上司が部下にルール違反を強要するリスク。
    • 同調圧力(Groupthink): チーム全員が「これはおかしい」と思っていても、誰も言い出せないリスク。
    • 隠蔽体質: 不都合なデータが監査人に提出されないリスク。

監査人は、リスク評価において「ヒューマンエラー」だけでなく、こうした「行動特性によるリスク(Behavioral Risk)」を識別する必要があります。

3. 「コントロール」の定義(文化的視点)

コントロールとは、「リスクを管理するためのあらゆる措置」です。 文化が良い組織では、コントロールは「助け」ですが、文化が悪い組織では、コントロールは「障害物」とみなされます。

有効なコントロールの条件

個々の業務においてコントロールを定義する際、以下の視点が不可欠です。

  1. 設計(Design): ルールが存在するか?
  2. 運用(Operation): 実際に守られているか?
  3. 意識(Attitude):「なぜ守っているか?」
    • 「怒られるから仕方なく」守っているコントロールは、監視の目がなくなるとすぐに無効化します。
    • 「重要だと理解して」守っているコントロールは、強固です。

4. 根本原因分析(Root Cause Analysis)との関連

監査で発見事項(不備)が見つかったとき、監査人は「根本原因」を特定します。ここで文化の視点が役立ちます。

事例: 経費精算の領収書チェックが漏れていた。

表層的な原因: 担当者の不注意。

根本原因(文化): 「営業は外回りが仕事であり、事務作業は軽視してもよい」という部門文化が蔓延している。

監査人は、個別の不備(コントロールの欠陥)を定義する際、それを単なるミスとして片付けず、背後にある文化的な要因と結びつけて報告することがGIASでは求められます。

まとめ

セクションC-2-bのポイントは、「点(現場)と面(文化)をつなぐ」ことです。

  • 個々の監査業務における「リスク」は、組織文化によって増幅されたり、抑制されたりします。
  • 「コントロール」が機能するかどうかは、それを運用する人々の意識(ソフト・コントロール)に依存します。
  • 試験では、「ミスの指摘」で終わらせず、「文化的な背景」まで踏み込んでリスクとコントロールを定義している選択肢が正解となります。

【練習問題】パート1 セクションC-2-b

Q1. 内部監査人は、購買部門の監査において、特定の発注先に対する承認プロセスが頻繁に無視されていることを発見した。担当者にヒアリングしたところ、「部長が『急ぎ案件だから後で承認する』と言って先に発注させている」との証言を得た。この状況における「リスク」と「コントロール」の評価として、GIASに基づき最も適切な記述はどれか。

A. コントロールのデザイン(承認印欄)は存在するため、コントロールは有効であるが、例外的なヒューマンエラーが発生しているリスクがある。

B. 部長の承認は後で行われているため、実質的なリスクは存在せず、効率性を重視した適切な業務運営であると評価できる。

C. 組織文化(上意下達やルールの軽視)に起因する「経営者によるコントロールの無効化(Management Override)」のリスクが顕在化しており、既存の承認コントロールが機能していない。

D. 購買システムの不具合により承認ログが記録されていない可能性があるため、IT全般統制のリスクとして定義すべきである。

【解答・解説】

正解と解説を表示

正解(C): この事例は、システムや手順の問題ではなく、組織の文化(部長の権限によるルール無視)が個別の業務統制を無効化している典型例です。監査人はこれを単なる手続きミスではなく、「Management Override(経営者・管理者による無視)」という文化的リスクとして定義する必要があります。

不正解(A): 頻繁な無視はヒューマンエラー(うっかりミス)ではなく、意図的なコントロールの回避です。

不正解(B): 事後承認が常態化することは、不正発注や癒着のリスクを高めるため、適切な運営とは言えません。

不正解(D): ヒアリング結果から人的・文化的な要因が明らかであり、システム不具合を主因とするのは不適切です。

Q2. 内部監査人が「営業支店のコンプライアンス監査」を計画している。この支店は過去に高い業績を上げてきたが、離職率が高く、従業員満足度が低いというデータがある。個々の監査業務のリスクを定義する際、監査人が最も重点を置くべき事項はどれか。

A. 支店内の備品管理台帳が正確に更新されているかどうかの資産保全リスク。

B. 従業員がタイムカードを正確に打刻しているかどうかの勤怠管理リスク。

C. 業績至上主義の文化(プレッシャー)が、不正な売上計上や顧客利益を損なう行為を引き起こす行動的リスク(Behavioral Risk)。

D. 支店で使用しているPCのOSが最新バージョンにアップデートされているかどうかのITセキュリティリスク。

【解答・解説】

正解と解説を表示

正解(C): 「高業績だが離職率が高い」という文化的指標(レッドフラグ)は、過度なプレッシャーによる不正リスクを示唆しています。個々の監査業務において、表面的な手続き(AやB)よりも、この文化が生み出す「行動的リスク」に焦点を当てることが、GIASの求めるリスクベースのアプローチです。

不正解(A, B, D): これらも監査対象にはなり得ますが、提示された状況(文化的背景)から判断すると、最も優先度が高く、重大なリスク要因はCです。

Q3. 個々の内部監査業務において、コントロールの不備(Deficiency)の根本原因を特定する際、組織文化の観点を取り入れることの利点として、最も適切なものはどれか。

A. 特定の個人の責任を追及し、懲戒処分を下すための証拠を確保しやすくなる。

B. 表面的な事象の修正(対症療法)だけでなく、再発防止に向けた行動変容や意識改革を促す本質的な改善提案(根本治療)が可能になる。

C. 監査報告書の作成時間を短縮し、監査人の業務効率を向上させることができる。

D. 定量的なデータのみに基づいて監査を行うことができるため、経営陣との対立を避けることができる。

【解答・解説】

正解と解説を表示

正解(B): 文化や行動特性を根本原因として特定することで、単に「マニュアルを修正する」だけでなく、「教育を行う」「評価制度を見直す」「トップがメッセージを発信する」といった、再発を防ぐための実効性のある改善提案が可能になります。

不正解(A): 内部監査の目的はプロセスの改善であり、個人の責任追及ではありません(文化を原因とすることで、むしろシステムや環境の問題に目を向けやすくなります)。

不正解(C): 文化の評価は時間がかかる場合が多く、短縮にはつながりませんが、品質は向上します。

不正解(D): 文化の評価は定性的・主観的になりがちで、経営陣との議論が必要になる(対立することもある)難しい領域ですが、避けて通れません。