Contents
  1. テーマ:オーダーメイドの家と「建築基準法」 ~最低限守るべきスペック~
  2. 【練習問題】パート2 セクションA-3-a

テーマ:オーダーメイドの家と「建築基準法」 ~最低限守るべきスペック~

セクションA-3-aは、具体的な内部監査業務(例えば「サイバーセキュリティ監査」や「外部委託管理監査」など)を計画する際、GIASの「トピック別要求事項(Topical Requirements)」をどのようにリスク評価やコントロール評価に組み込むか、という実践的なプロセスです。

試験では、「監査人の自由な判断」と「基準が定める必須要件」の融合が問われます。

1. 導入:なぜ計画段階で「認識」が必要か?

監査計画を立てる際、通常は「リスク評価」を行い、ゼロベースでテスト項目を考えます。 しかし、トピック別要求事項が存在する分野(例:情報セキュリティ、プライバシーなど)では、ゼロから考える必要はありません。むしろ、ゼロから考えてはいけません。

GIASは、特定のトピックについて「世界標準として、最低限ここまでは見なさい」というベースライン(最低基準)を設けています。計画段階でこれを認識し、組み込まないと、「基準不適合」の監査になってしまいます。

イメージ:
あなたが「家」を設計(監査計画)するとします。 デザインや間取り(監査の独自性)は自由ですが、「耐震基準(トピック別要求事項)」は絶対に守らなければなりません。
設計図が完成した後に「あ、耐震基準忘れてた」では手遅れです。
設計(計画)の最初に認識する必要があります。

2. 具体的な適用ステップ(3段階)

個々の監査計画において、トピック別要求事項をどう「適用」するか。GIASが求めるフローは以下の通りです。

ステップ①:マッピング(Mapping)

これから行う監査対象に関連するトピック別要求事項がある場合、その中の「必須要件」を、今回の監査の「リスク・コントロール・マトリックス(RCM)」にマッピングします。

  • 要求事項: 「多要素認証(MFA)を導入すること」
  • 監査計画: 「MFAの設定状況をテストする手続きを追加」
ステップ②:ギャップ分析(Gap Analysis)

監査対象の現状が、トピック別要求事項の要件を満たしているかを確認します。 もし、組織のルールが要求事項より緩い場合、それは「リスク」として識別し、重点的な監査項目とします。

ステップ③:調整と除外(Customization)

ここが試験のポイントです。トピック別要求事項は「必須」ですが、「ロボットのように全部やれ」という意味ではありません。

  • 「適用不可(Not Applicable)」の判断: もし、その組織のビジネスモデルやシステム環境において、特定の要求事項が物理的・論理的に関係ない場合(例:クラウドを使っていないのにクラウドセキュリティの要件など)、その項目は除外できます。
  • 【重要】 ただし、勝手に除外してはいけません。「なぜ適用しないのか」という理由を文書化する必要があります。

3. リスク及びコントロール評価への影響

通常の監査では「リスクが高いところ」を重点的に見ます。 しかし、トピック別要求事項がある分野では、「基準が求めているコントロール」が存在し、機能しているかを評価することが義務付けられます。

  • 従来: 「監査人が重要だと思うコントロール」を評価する。
  • GIAS適用: 「監査人が重要だと思うコントロール」 「トピック別要求事項が指定する必須コントロール」を評価する。

4. 試験で狙われる「ひっかけ」

  1. ×「トピック別要求事項はすべてテストしなければならない」
    • 解説: 文脈によります。関連性がない(Not Relevant)項目までテストするのは非効率です。「関連性を評価し、該当するものを適用する」が正解です。
  2. ×「独自のチェックリストがあるから、トピック別要求事項は見なくてよい」
    • 解説: ダメです。独自のリストがGIASの要求事項を網羅しているか確認(ギャップ分析)し、不足があればGIAS側を補う必要があります。

まとめ

セクションA-3-aの要点は、「車輪の再発明をするな、基準を使え」です。

  • トピック別要求事項は、監査計画の「背骨」になります。
  • 計画策定時には、まず「該当するトピック別要求事項」を開き、そこにある要件を監査プログラムに転記することから始めます。
  • その上で、組織固有のリスクに合わせて肉付けを行うのが、効率的かつ高品質な監査計画の作り方です。

【練習問題】パート2 セクションA-3-a

Q1. 内部監査人は「IT外部委託先管理」の監査計画を策定している。GIASにはこの分野に関するトピック別要求事項が存在する。監査人がリスク評価およびコントロールのテスト計画を作成する際のアプローチとして、最も適切なものはどれか。

A. トピック別要求事項は高度な内容を含むため、監査計画には含めず、監査終了後の「改善提案」として経営陣に提示する参考資料として使用する。

B. まずトピック別要求事項を確認し、そこに記載されている必須のコントロール要件を監査プログラムの基礎として組み込み、その上で組織固有のリスクに対応する手続きを追加する。

C. 組織の独自性を尊重するため、トピック別要求事項は無視し、過去の監査で使用したチェックリストのみに基づいて計画を策定する。

D. トピック別要求事項のすべての項目を例外なくテストしなければならないため、組織のリスク評価や重要性は考慮せず、網羅的なテスト計画を立てる。

【解答・解説】

正解と解説を表示

正解(B): トピック別要求事項は、その分野において最低限評価すべきリスクとコントロールのベースライン(基準)を提供します。効率的かつ効果的な計画策定のためには、まずこれを骨子として組み込み(基礎とし)、そこに組織固有の事情を加味するアプローチが最適です。

不正解(A): トピック別要求事項は「要求(Requirements)」であり、単なる参考資料や事後提案用ではありません。計画段階で適用する必要があります。

不正解(C): 基準を無視することは、コンプライアンス違反(基準不適合)となり、監査品質を低下させます。

不正解(D): 「例外なくすべて」は非効率です。組織に関連しない項目(適用不可な項目)は、理由を文書化した上で除外することが認められています。

Q2. 内部監査人はサイバーセキュリティ監査を計画している。関連するトピック別要求事項には「クラウドサービスのアクセス管理」に関する厳格な要件が含まれているが、当該組織はすべてのデータをオンプレミス(自社サーバー)で管理しており、クラウドサービスを一切使用していない。この場合、計画策定時の対応として最も適切なものはどれか。

A. トピック別要求事項は絶対であるため、クラウドサービスが存在しないという事実を「不適合」として報告する。

B. クラウドに関する要件は現状に適用できないため、テスト対象から除外し、その除外理由(クラウド不使用であること)を監査計画文書に明記する。

C. クラウドの項目をテストできないため、サイバーセキュリティ監査全体の実施を見送る。

D. 将来クラウドを導入する可能性に備えて、架空のシナリオに基づいてクラウドのアクセス管理のテストを行う。

【解答・解説】

正解と解説を表示

正解(B): トピック別要求事項の適用においては、関連性(Relevance)の判断が重要です。対象となる活動やリスクが存在しない場合(この場合はクラウド利用なし)、その要件は適用不可(N/A)となります。重要なのは、勝手に削除するのではなく、「なぜ適用しないか」の論拠を文書化しておくことです。

不正解(A): 基準はビジネスの実態に即して適用されるものであり、クラウドを使っていないこと自体は違反ではありません。

不正解(C): 一部の要件が非該当だからといって、監査全体を中止する理由にはなりません。

不正解(D): 架空のテストはリソースの無駄であり、現在の保証を提供するものではありません。

Q3. 内部監査人は、ある業務プロセスの主要なリスクとコントロールを評価するために監査計画を作成している。この領域には「トピック別要求事項」が存在するが、経営陣はコスト削減のために、基準が求める水準よりも簡素なコントロールを採用している。監査計画における監査人の対応として、最も適切なものはどれか。

A. 経営陣のリスク受容判断を尊重し、トピック別要求事項との差異(ギャップ)については評価せず、現状のコントロールが運用されているかだけを確認する。

B. トピック別要求事項はあくまで理想論であるため、経営陣が設定した現状のコントロールを「評価規準」として採用する。

C. トピック別要求事項が求める水準を「評価規準」として設定し、現状のコントロールとのギャップ(差異)を識別・評価するためのテスト手続きを計画に含める。

D. コスト削減は正当なビジネス理由であるため、トピック別要求事項の適用を免除するよう内部監査協会(IIA)に申請する。

【解答・解説】

正解と解説を表示

正解(C): トピック別要求事項は、その分野における「あるべき姿(評価規準)」を示しています。組織のコントロールがそれより低い場合、それはリスク(ギャップ)です。監査人はそのギャップを識別し、その結果として「残余リスクが許容範囲内か」を評価する必要があります。最初から低い基準に合わせてはいけません。

不正解(A): 監査人の役割は、基準との差異を評価し、そのリスクを経営陣や取締役会に伝えることです。評価しないのは職務放棄です。

不正解(B): 経営陣の基準が国際的な基準(GIAS)より低い場合、GIASをベンチマークとして評価することが、客観的なアシュアランスにつながります。

不正解(D): IIAに個別の免除申請をするプロセスはありません。適用除外は監査人の判断と説明責任に基づきます。