【CIA試験講義】パート1 セクションC-7-b: 内部統制の種類(予防・発見・是正)
テーマ:「時系列」で守る多層防御 ~Before・During・After~
セクションC-7-bは、内部統制を「機能(いつ、何をするか)」によって分類し、そのバランスを評価するパートです。
内部監査人は、リスクが顕在化する「前」に止めるのか、「後」で見つけるのか、それとも被害が出た後に「直す」のか、という時間軸の視点でコントロールを評価します。
CIA試験では、具体的な統制活動の事例(例:銀行勘定調整)がどの種類に当てはまるかを問う問題が頻出です。
1. 導入:コントロールの「3つの防衛ライン」
リスク事象が発生するタイムラインに沿って、コントロールは主に以下の3つ(+α)に分類されます。
- 予防的コントロール(Preventive Controls): 起きる前に防ぐ。
- 発見的コントロール(Detective Controls): 起きたことに気づく。
- 是正的コントロール(Corrective Controls): 起きた影響を直す。
火災対策のアナロジー:
予防: 建物を不燃材料で作る、火気厳禁にする。(火事そのものを起こさない)
発見: 煙探知機、火災報知器。(火が出たことをすぐに知らせる)
是正: スプリンクラー、消火活動、保険金による再建。(火を消し、元に戻す)
2. 各コントロールの詳細と事例
試験対策として、具体的なアクティビティを分類できるようにしましょう。
① 予防的コントロール(Preventive)
エラーや不正が発生するのを未然に防ぎます。最もコスト効率が良い(後始末の費用がかからないため)とされています。
- キーワード: 防止、制限、承認。
- 事例:
- システムのパスワード認証(不正アクセス防止)。
- 職務分掌(Segregation of Duties)(一人が全プロセスを行えないようにする)。
- 取引の事前承認(権限規定)。
- 入力フォームの必須項目チェック(入力漏れ防止)。
② 発見的コントロール(Detective)
予防策をすり抜けて発生したエラーや不正を見つけ出します。
- キーワード: 照合、比較、確認。
- 事例:
- 銀行勘定調整(Bank Reconciliation)(帳簿と銀行残高の不一致を見つける)。
- 実地棚卸(帳簿在庫と実在庫の差異を見つける)。
- 例外レポートのレビュー(異常値のチェック)。
- 内部監査そのもの。
③ 是正的コントロール(Corrective)
発見された問題を修正し、損害を軽減または原状回復します。
- キーワード: 復旧、修正、補填。
- 事例:
- データバックアップからの復元(システム障害時の回復)。
- 誤った仕訳の修正エントリー。
- 是正処置計画の実施。
※参考:指示的コントロール(Directive Controls) 望ましい結果を引き起こすためのコントロール(例:ポリシー、トレーニング、報奨金制度)。試験では上記3つとの対比で出ることがあります。
3. コントロール・ミックスの評価
内部監査人は、これらのコントロールが「適切なバランス」で配置されているかを評価します。
- 予防偏重の弊害: ガチガチに防ぎすぎると、業務効率が落ちます(例:承認印が10個必要)。
- 発見偏重の弊害: 事後対応ばかりになり、手戻りコストや損失が膨らみます。
【黄金ルール】 一般的に、予防的コントロールの方が発見的コントロールよりもコスト効率が高いとされます。 しかし、予防は完璧ではないため、必ず発見的コントロール(バックアップとしてのセンサー)と組み合わせる必要があります。
4. 試験で狙われる「分類のひっかけ」
試験では、「あるコントロールが導入された」というシナリオに対し、それがどの種類かを判定させます。
- Q. 「エラー入力時に画面に警告が出て、先に進めない機能」は?
- A. 予防的(エラーデータの登録を阻止しているため)。
- Q. 「翌日にエラーリストが出力され、担当者が確認する機能」は?
- A. 発見的(エラーデータ自体は一度登録されてしまっているため)。
「止めているか(Prevent)」それとも「知らせているか(Detect)」の分岐点を見極めてください。
【練習問題】パート1 セクションC-7-b
Q1. 経理部門では、毎月末に補助元帳の合計額と総勘定元帳の統制勘定残高を照合し、不一致がないかを確認している。この活動は、次のどの種類の内部統制に分類されるか。
A. 予防的コントロール(Preventive Control)
B. 発見的コントロール(Detective Control)
C. 是正的コントロール(Corrective Control)
D. 指示的コントロール(Directive Control)
【解答・解説】
正解と解説を表示
正解(B): 照合(Reconciliation)や比較は、既に記録されたデータ間の不一致やエラーを見つけ出す活動であるため、発見的コントロールに分類されます。
不正解(A): 予防的コントロールは、誤った記入そのものを未然に防ぐ仕組み(例:入力制限など)です。
不正解(C): 是正的コントロールは、見つかった不一致を修正仕訳で直すような活動を指します。
不正解(D): 指示的コントロールは、経理マニュアルの整備など、正しい処理を促すためのものです。
Q2. 組織のITシステムにおいて、ランサムウェアなどのサイバー攻撃によるデータ損失リスクに備えるため、毎日夜間にデータのフルバックアップを別サーバーに取得している。この「バックアップの取得」は、主としてどの種類のコントロールとして機能するか。
A. 予防的コントロール(Preventive Control)
B. 指示的コントロール(Directive Control)
C. 発見的コントロール(Detective Control)
D. 是正的コントロール(Corrective Control)
【解答・解説】
正解と解説を表示
正解(D): バックアップは、ウイルス感染やシステム障害といった問題が発生した「後」に、データを元の状態に戻す(復旧する)ために使用されます。したがって、損害を軽減・回復させる是正的コントロールに分類されます。
不正解(A): ウイルスの侵入そのものを防ぐファイアウォールやアンチウイルスソフトは予防的コントロールです。
不正解(C): ウイルスの侵入を検知するIDS(侵入検知システム)などは発見的コントロールです。
補足: バックアップ自体は「攻撃を防ぐ(予防)」わけでも「攻撃を見つける(発見)」わけでもなく、「被害を直す(是正)」ための準備です。
Q3. 内部監査人が在庫管理プロセスを評価している。監査人は、「在庫の盗難リスク」に対して、予防的コントロールよりも発見的コントロールに過度に依存している状況を発見した。この状況が組織にもたらす可能性のある潜在的なデメリットとして、最も適切なものはどれか。
A. 盗難が発生する前に犯人を特定することが難しくなり、法的措置が取れなくなる。
B. 盗難自体を防ぐことができないため、在庫の損失が発生した後にしか対応できず、金銭的な損失や手戻りのコストが増大する。
C. 従業員のモチベーションが低下し、指示的コントロールの効果が薄れる。
D. 発見的コントロールは予防的コントロールよりも運用コストが高額になる傾向があるため、監査費用が増加する。
【解答・解説】
正解と解説を表示
正解(B): 発見的コントロール(例:棚卸、監視カメラの録画確認)は、事象が発生した「後」に機能します。したがって、盗難そのものを止めることはできず、被害が発生した後で対処することになるため、予防に比べて損失や解決コストが大きくなる傾向があります。
不正解(A): 発見的コントロール(カメラなど)は犯人特定には有効ですが、問題は「盗まれること自体を防げない」点にあります。
不正解(D): 一般的に予防的コントロール(鍵をかけるなど)の方が低コストで済む場合が多く、発見的コントロール(頻繁な棚卸など)の方が運用コストが高いこともありますが、本質的なデメリットは「損失の未然防止ができない」点です。
