Contents
  1. テーマ:設計図を描く前の「地盤調査」 ~何を考慮して目標を決めるか~
  2. 【練習問題】パート2 セクションA-1-b

テーマ:設計図を描く前の「地盤調査」 ~何を考慮して目標を決めるか~

セクションA-1-bは、個々の監査業務の「目標(Objectives)」を決めるために、監査人が事前に集め、分析しなければならない「インプット情報」に関する学習です。

GIAS(グローバル内部監査基準)では、内部監査は組織の価値を高めることが使命です。そのためには、単に「ルール通りか」を見るだけでなく、「組織の戦略やリスク」とリンクした目標設定が不可欠です。

1. 目標策定の「3つの視点」

監査目標(「今回の監査で何を達成するか」)を決める際、監査人は以下の要素をブレンドして考えなければなりません。

① 組織の「方向性」との整合性(戦略・目標・リスク)

最も重要なインプットです。

  • 組織体の戦略及び目標: 監査対象部署は何を達成しようとしているのか?(例:市場シェア拡大? コスト削減?)
  • リスク選好(Appetite)及び許容度(Tolerance): 経営陣はどの程度のリスクなら「取ってもよい」と考えているか?
  • リスク・マネジメント: その部署の最大のリスクは何か?(これを知らずに監査目標は立てられません)

★ポイント: 監査目標は、ビジネス目標を阻害する要因(リスク)を評価するように設定します。

② 内部・外部の「ルールと現状」

  • 規制の要求事項: 法律やコンプライアンス要件。
  • 内部の方針: 社内規程や手順書。
  • ガバナンス・コントロールのプロセス: 現在、どのような管理体制が敷かれているか。

③ 過去と他者の「知見」(効率性)

  • 過去の監査報告書: 以前、同じ場所で何が問題になったか?(再発していないか?)
  • 他のアシュアランス・プロバイダの業務: 外部会計監査人、品質管理部門(QC)、セキュリティ専門業者などが最近チェックしていないか?

★重要(統合的保証): もし「1ヶ月前に専門業者がセキュリティ診断をした」なら、内部監査で同じことをするのは無駄です。その結果を「考慮」し、範囲を調整するのがGIASの求める効率的な監査です。

2. 最大の分岐点:「アシュアランス」か「アドバイザリー」か

試験で頻出するのが、「業務の性質(Nature of Service)」による目標の違いです。 依頼の性質によって、考慮すべき要素と目標の書き方がガラリと変わります。

区分アシュアランス業務 (保証)アドバイザリー業務 (助言)
主語監査人が主導して決める。依頼者(経営陣)との合意で決まる。
目的コントロールの有効性を評価し、保証を与えること。経営陣の問題解決を支援・助言すること。
考慮要素客観的な基準、リスク、独立性の確保。顧客(経営陣)のニーズ、付加価値、将来の改善。
目標の例「購買プロセスのコントロールが有効に機能しているか評価する「購買プロセスの効率化に向けた改善策を提案する

試験対策: 問題文で「助言を求められた」「コンサルティングを依頼された」とあれば、目標は「評価(Assess/Audit)」ではなく「支援・改善(Assist/Improve)」の視点で設定されている選択肢を選びます。

3. 具体的な思考プロセス(試験での解法)

監査計画を立てる際、監査人の頭の中は以下のようになっています。

  1. 戦略を見る: 「この部署は今期、急激な売上拡大を目指しているな」
  2. リスクを見る: 「ということは、与信審査を甘くして焦げ付くリスク(信用リスク)が高いぞ」
  3. 許容度を見る: 「経営陣は『多少のリスクは取ってでも攻めろ』と言っている(リスク選好が高い)」
  4. 過去を見る: 「でも3年前の監査では、不正会計があったな」
  5. ⇒ 目標決定: 「目標は『売上拡大戦略の中で、最低限のコンプライアンスと与信管理が機能しているか』を評価することにしよう」

このように、全ての要素を繋ぎ合わせて「目標」を導き出します。

まとめ

セクションA-1-bのポイントは、「孤立した監査目標を作らない」ことです。

  • 組織の戦略を無視した監査 = 「ピント外れ」
  • 他の監査結果(他者)を無視した監査 = 「二度手間(非効率)」
  • 業務の性質(保証か助言か)を間違えた監査 = 「期待不一致」

これらを避けるために、事前の情報収集(考慮要素の認識)が不可欠なのです。

【練習問題】パート2 セクションA-1-b

Q1. 内部監査人は、製造部門の監査業務の計画段階において、個々の監査業務の目標を策定している。この際、GIASに基づき監査人が考慮すべき要素として、最も適切でない(優先度が低い)ものはどれか。

A. 組織の戦略計画および製造部門の主要な業績評価指標(KPI)。

B. 直近の監査以降に、製造部門に対して実施された規制当局による検査結果。

C. 監査対象部門のマネジャーが個人的に懸念している、些末な事務処理の遅延。

D. 取締役会および経営陣が承認した、製造部門に関連するリスク選好(Risk Appetite)。

【解答・解説】

正解と解説を表示

正解(C): 監査目標はリスクベースで策定されるべきです。マネジャーの個人的懸念はヒアリングすべきですが、戦略、規制、リスク選好といった「重要なリスク・ガバナンス要素」と比較すると、戦略的影響の低い「些末な(minor)」事務処理の問題を優先して監査目標の主軸に据えることは不適切です。

不正解(A): 組織の戦略や目標との整合性は、監査目標策定の出発点です。

不正解(B): 他のアシュアランス・プロバイダ(規制当局含む)の結果は、重複を避け、リスク領域を特定するために重要な考慮事項です。

不正解(D): リスク選好(どの程度のリスクを許容するか)は、コントロールが過剰か不足かを判断する基準となるため、必須の考慮事項です。

Q2. 内部監査人は、新しいITシステムの導入プロジェクトに関して、経営陣から「アドバイザリー業務(助言業務)」の依頼を受けた。この業務の目標を策定する際、アシュアランス業務(保証業務)の場合と比較して、監査人がより重視すべき考慮事項はどれか。

A. 独立性と客観性を維持するために、経営陣の意向を排除すること。

B. 依頼者である経営陣の具体的なニーズと期待、および改善への付加価値。

C. 過去のシステム監査で発見された不備事項の改善状況確認。

D. システム開発に関する一般的な規制要件への厳格な準拠性テスト。

【解答・解説】

正解と解説を表示

正解(B): アドバイザリー業務の主な目的は、組織に付加価値を提供し、業務を改善することです。アシュアランス業務とは異なり、目標や範囲は依頼者(顧客)との合意によって決定されるため、依頼者のニーズと期待が最優先の考慮事項となります。

不正解(A): アドバイザリー業務でも客観性は重要ですが、経営陣の意向(ニーズ)を排除してはアドバイザリーとして成立しません。

不正解(C・D): これらはアシュアランス(保証)的な視点です。アドバイザリー業務では、単なる準拠性や過去の確認よりも、「どうすれば成功するか(将来の改善・支援)」に焦点が当たります。

Q3. 内部監査人は、調達プロセスの監査目標を設定するために、予備調査を行っている。その際、組織の「他のアシュアランス・プロバイダ(第2線など)」の業務を考慮することの主な利点は何か。

A. 内部監査部門の人員を削減し、全ての監査業務を外部に委託する正当性を得ることができる。

B. 他の部門が発見した問題を監査報告書にそのまま転記することで、内部監査人の責任を回避できる。

C. 監査業務の重複を避け、アシュアランスの空白領域を特定することで、監査資源を効率的に配分できる。

D. 他のプロバイダの業務手法が間違っていることを証明し、内部監査の優位性を示すことができる。

【解答・解説】

正解と解説を表示

正解(C): GIASおよび調整(Coordination)の原則において、他のアシュアランス・プロバイダの活動を考慮する主な目的は「効率性と網羅性」です。他者がすでにチェックした領域(重複)を避け、誰も見ていない高リスク領域(空白)にリソースを集中させることで、組織全体のリスク管理を最適化できます。

不正解(A): 調整は効率化のためであり、内部監査機能の放棄や人員削減の口実ではありません。

不正解(B): 他者の情報を利用する場合でも、最終的な監査結論に対する責任は内部監査人にあります。

不正解(D): 調整の目的は協力と相乗効果であり、競争やマウンティングではありません。