【CIA試験講義】パート2 セクションA-3-f: 一般的ビジネス・プロセスのリスクとコントロール
テーマ:人体の「循環器系」を診る ~ビジネスの流れと詰まり~
セクションA-3-fは、調達から支払い、在庫管理、システム利用に至るまで、企業の活動を支える主要なビジネス・プロセス(業務の流れ)を理解し、計画段階でその「急所」を認識することを求めています。
これらは個別に存在するのではなく、血管のように繋がっています。どこかで「詰まり(非効率)」や「出血(損失・不正)」があれば、全体に影響します。
1. 導入:3つの「流れ」で理解する
シラバスに列挙された多くの項目(資産、サプライチェーン、在庫、買掛金、調達、コンプライアンス、第三者、CRM、ERP、GRC…)を暗記するのは大変です。 これらを監査視点で整理するために、ビジネスを動かす3つの流れに分類して理解しましょう。
- モノとカネの流れ(Supply Chain & Finance)
- 調達、在庫、買掛金、資産管理
- 情報の流れ(Systems & Data)
- ERP、CRM、GRCシステム
- 関係性の流れ(Governance & Relationships)
- 第三者プロセス、コンプライアンス
2. ① モノとカネの流れ:P2Pサイクルの要点
「調達(Procurement)から支払い(Pay)まで」のサイクル(P2P)は、不正とミスの温床であり、CIA試験の最頻出エリアです。
| プロセス | 主要なリスク (Risks) | 必須のコントロール (Controls) |
|---|---|---|
| 調達 (Procurement) | ・癒着、キックバック(不正) ・不要な物品の購入 | ・見積合わせ(相見積もり) ・発注権限の承認ルート |
| 在庫・資産 (Inventory/Asset) | ・盗難、横領 ・陳腐化(使い物にならなくなる) | ・物理的アクセス制限(鍵、カード) ・定期的な実地棚卸 |
| 買掛金 (Accounts Payable) | ・架空請求への支払い ・二重払い | ★3点照合 (Three-Way Match) 「発注書・検収書・請求書」の3つが一致して初めて支払う。 |
| サプライチェーン | ・供給の途絶(BCPリスク) ・品質不良 | ・サプライヤーの多元化 ・SLA(サービスレベル合意書)の監視 |
監査計画のヒント: 「職務分掌(Segregation of Duties)」は機能しているか?
(例:発注する人と、検収する人は別人か? もし同じなら、架空発注して自分で受け取ったことにして着服できる。)
3. ② 情報の流れ:ERPとシステム
現代のビジネスはERP(Enterprise Resource Planning)などのシステム上で動いています。
- ERPのリスク: 「Garbage In, Garbage Out(ゴミが入ればゴミが出る)」。入力データが間違っていれば、在庫データも財務諸表もすべて間違います。
- CRM(顧客管理)のリスク: 顧客データの流出(プライバシー)や、過剰なアクセス権限。
- 監査計画のヒント: システムが自動で行うコントロール(例:与信限度額を超えたら受注できないロック機能)の設定が正しいかを確認します。
4. ③ 関係性の流れ:第三者とコンプライアンス
自社だけでなく、外部パートナー(第三者)やルールとの関係性です。
- 第三者プロセス(アウトソーシング): 外部委託先に業務を丸投げしてブラックボックス化していないか? → 「監査権限(Right to Audit)」条項が契約書にあるかを確認することが最重要です。
- コンプライアンス: 法令違反のリスク。特に贈収賄や労働法規など。 → GRC(ガバナンス・リスク・コンプライアンス)システムを使って、全社的にリスクを可視化できているか?
5. 試験で問われる「統合的視点」
GIASでは、単に「在庫監査」をするのではなく、「在庫システム(ERP)」「外部倉庫(第三者)」「在庫評価(会計)」を繋げて見る能力が問われます。
- 「在庫が合わない」原因は、現場の盗難(資産管理)かもしれないし、システム連携のミス(ERP)かもしれないし、委託先の不正(第三者プロセス)かもしれません。
- 計画段階で、これらの可能性(リスクシナリオ)を幅広く想定できるかが、監査人の腕の見せ所です。
まとめ
セクションA-3-fのポイントは、「基本の『型』を知る」ことです。
- 調達なら → 癒着と3点照合
- 在庫なら → 盗難と実地棚卸
- システムなら → アクセス権限と入力チェック
- 外部委託なら → 契約管理とモニタリング
この「型」を計画策定時に瞬時に引き出し、対象プロセスのリスクを評価してください。
【練習問題】パート2 セクションA-3-f
Q1. 内部監査人は、調達から支払い(Procure-to-Pay)プロセスの監査を計画している。このプロセスにおける「買掛金(Accounts Payable)」の支払いに関連するコントロールとして、架空支払いのリスクを軽減するために最も効果的かつ基本的な手法はどれか。
A. 支払い担当者が、請求書の金額が予算内に収まっているかを確認してから支払う。
B. 「発注書(Purchase Order)」、「検収書(Receiving Report)」、「請求書(Invoice)」の3つの文書の内容(品目、数量、金額)を照合する(3点照合)。
C. サプライヤーからの請求書が電子メールで届いている場合、紙に印刷して保管する。
D. 月末に買掛金残高の合計額を、前月の合計額と比較分析する。
【解答・解説】
正解と解説を表示
正解(B): 「3点照合(Three-Way Match)」は、調達・買掛金プロセスにおけるコントロールの黄金律です。 1.会社が注文したか(発注書)、2.モノが実際に届いたか(検収書)、3.業者の請求は正しいか(請求書)、の3つが一致して初めて支払うことで、「注文していないものへの支払い」や「届いていないものへの支払い(架空支払い)」を強力に防止します。
不正解(A): 予算内であっても、架空請求や不正な支払いは可能です。
不正解(C): 媒体が紙か電子かは本質的なコントロールではありません。
不正解(D): 分析的手続きは異常の発見には役立ちますが、個々の不正支払いを防止する予防的コントロールとしては3点照合の方が直接的で強力です。
Q2. 内部監査人は、物流業務を委託している外部業者(第三者プロセス)の監査を計画している。この業者は在庫管理と配送を行っている。計画策定時に認識すべきリスクと、それに対応するコントロールの組み合わせとして、最も適切なものはどれか。
A. リスク:外部業者の従業員の給与水準が低い。 コントロール:業者の人事評価制度を監査する。
B. リスク:外部業者のシステムがダウンし、配送が停止する(サプライチェーンの途絶)。 コントロール:契約書にサービスレベル合意書(SLA)や事業継続計画(BCP)の要件を含め、定期的にテスト結果の報告を求める。
C. リスク:配送トラックの交通事故。 コントロール:内部監査人がトラックに同乗して運転技能を確認する。
D. リスク:在庫データの不整合。 コントロール:すべてを自社配送に戻すよう経営陣に要求する。
【解答・解説】
正解と解説を表示
正解(B): サプライチェーン・マネジメントおよび第三者プロセスの監査において、委託先の「可用性(止まらないこと)」は極めて重要なリスクです。これに対し、契約(SLA)による縛りと、BCPの確認(モニタリング)を行うことは、最も代表的かつ適切なコントロールです。
不正解(A): 委託先の給与制度まで監査するのは過剰介入であり、通常は範囲外です。
不正解(C): 監査人が運転技能をチェックするのは専門外であり、実務的ではありません。
不正解(D): リスク対応として「リスク回避(自社に戻す)」は選択肢の一つですが、監査人がいきなり要求するものではなく、まずは原因究明と是正措置(コントロールの改善)を検討すべきです。
Q3. 企業が新たに導入した「エンタープライズ・リソース・プランニング(ERP)システム」の監査を計画する際、内部監査人が「職務分掌(Segregation of Duties: SoD)」の観点から最も警戒すべきシステム設定上の不備はどれか。
A. 同一のユーザーIDで、「取引先マスター(ベンダー)の登録」と「その取引先への支払い承認」の両方が実行可能になっている。
B. システムのログインパスワードの変更サイクルが90日ではなく180日に設定されている。
C. データのバックアップが、クラウド上ではなくオンプレミスのサーバーに保存されている。
D. ERPシステムの画面デザインが使いにくく、入力担当者の作業効率が低下している。
【解答・解説】
正解と解説を表示
正解(A): ERPシステムにおける最大のリスクの一つが、職務分掌(SoD)の欠如による内部不正です。「架空の取引先を自分で登録し、自分で支払いを承認して着服する」という行為が可能になる権限設定は、最も重大なコントロール不備(Toxic Combination)です。
不正解(B): パスワードポリシーも重要ですが、直接的な不正実行リスク(A)に比べればリスクの重大性は低くなります。
不正解(C): バックアップの場所は可用性や災害復旧の問題であり、職務分掌の問題ではありません。
不正解(D): ユーザビリティの問題はパフォーマンスには影響しますが、不正リスクや統制環境の観点からは優先度が下がります。
