Contents
  1. テーマ:バックミラーではなく「ハイビーム」で運転せよ ~見え始めた脅威への備え~
  2. 【練習問題】パート2 セクションA-5-c

テーマ:バックミラーではなく「ハイビーム」で運転せよ ~見え始めた脅威への備え~

セクションA-5-cは、個々の監査業務を計画する際、過去のデータや既知のリスクだけでなく、「新たに発生するリスク(Emerging Risks)」を識別し、それが組織にどのような打撃を与えるか(影響)を認識するプロセスです。

試験では、「まだ顕在化していないが、足音(予兆)が聞こえるリスク」に対して、監査人がどうアンテナを張り、計画に反映させるかが問われます。

1. 導入:「新たに発生するリスク」とは?

リスクには2種類あります。

  1. 既知のリスク(Current Risks): 過去に何度も起きており、データがあるもの。
    • 例:現金の盗難、入力ミス、在庫の不整合。
  2. 新たに発生するリスク(Emerging Risks): 外部環境の変化により急速に現れた、前例の少ない、不確実性が高いリスク。
    • 例:生成AI(ChatGPT等)によるデータ流出、地政学的対立によるサプライチェーン断絶、新しい感染症、急激な法改正。

もし監査人が「去年と同じ監査計画(前年踏襲)」を使っていたら、これらの新しいリスクには対応できません。それはバックミラーだけを見て運転しているのと同じです。

2. 具体例:AIと監査計画

例えば、あなたが「マーケティング部門」の監査を計画しているとします。

  • 従来のリスク評価: 「広告費の使い込みはないか?」「契約書は揃っているか?」
  • 新たに発生するリスクの認識(2025年的視点): 「社員が勝手に生成AIを使って、顧客データを学習させていないか?(Shadow AI)」 「AIが生成した著作権侵害のある画像を広告に使っていないか?」

このように、「世の中で今何が起きているか」を監査計画に落とし込むことが、このセクションの要件です。

3. リスク評価における「影響(Impact)」の認識

単に「AIが流行っているね」と知っているだけでは不十分です。それが監査対象にどういう悪さをするか(Impact)を翻訳する必要があります。

新たなリスクの兆候監査対象への影響の認識(翻訳)監査計画への反映
地政学的緊張の高まり「海外の部品工場からの供給が突然止まるかもしれない(サプライチェーン途絶)」調達監査において、「代替調達先の確保状況(BCP)」を重点項目にする。
サステナビリティ規制の強化「環境データを誤って報告すると、グリーンウォッシュとして訴訟されるかもしれない」環境データ集計プロセスの「正確性」と「根拠資料」の確認を追加する。
リモートワークの定着「自宅のWi-Fiから社内システムへの不正アクセスが増えるかもしれない」エンドポイント(PC端末)のセキュリティ設定確認を強化する。

4. 監査人の「アジリティ(機敏性)」

新たに発生するリスクの特徴は、「動きが速い」ことです。 監査計画を作った時点では存在しなかったリスクが、実査中に発生することもあります。

GIASは監査人に対し、動的なリスク評価(Dynamic Risk Assessment)を求めています。 「計画書に書いてないから見ない」のではなく、「新しい脅威が出てきたから、計画を変更してでも見る」という柔軟性が、組織を守ることにつながります。

まとめ

セクションA-5-cのポイントは、「ニュースを読め、そして計画に入れろ」です。

  • 過去の監査調書(内部情報)だけでなく、ニュースや業界動向(外部情報)に目を向ける。
  • 「この新しい波が、今回の監査対象(船)を転覆させる可能性があるか?」を常に自問する。

「想定外でした」という言葉は、プロフェッショナルの監査人には許されない言い訳になりつつあります。

【練習問題】パート2 セクションA-5-c

Q1. 内部監査人は人事部門の採用プロセスの監査を計画している。昨今、生成AI(Generative AI)技術が急速に普及し、応募者がAIを使って職務経歴書を作成したり、採用担当者がAIを使って候補者をスクリーニングしたりする事例が増えている。この「新たに発生するリスク」に対する監査人のアプローチとして、最も適切なものはどれか。

A. AI技術はまだ成熟しておらず、リスクデータも不足しているため、今回の監査ではAIに関連するリスクは評価対象外とし、従来通りの書類選考プロセスのみを監査する。

B. 生成AIの利用はIT部門の管轄であるため、人事部門の監査計画には含めず、次回のIT監査で対応するよう先送りする。

C. 生成AIの利用に伴うリスク(バイアスのかかった採用判断、応募者の個人情報のAIへの不適切な入力など)が、組織の評判や法的責任に及ぼす影響を認識し、人事部門におけるAI利用のガイドラインや管理状況を評価範囲に含める。

D. AIのリスクは予測不可能であるため、監査計画には含めず、もし問題が発生した後に事後調査を行うことにする。

【解答・解説】

正解と解説を表示

正解(C): 監査人は、技術革新などの環境変化に伴う「新たに発生するリスク(Emerging Risks)」をタイムリーに認識し、計画に反映させる必要があります。人事プロセスにおけるAI利用は、差別的判断(バイアス)やプライバシー侵害といった重大な影響を及ぼす可能性があるため、これを無視して従来の監査を行うことは不適切です。

不正解(A): データ不足を理由にリスクを無視することは、監査の価値を低下させます。不確実性が高くても評価すべきです。

不正解(B): ユーザー部門(人事)での利用実態(シャドーITなど)は、IT監査だけでなく業務監査でもカバーすべき「蔓延するリスク」です。

不正解(D): 内部監査の価値は「予防的」な保証と助言にあります。事後対応だけでは不十分です。

Q2. 内部監査人は、グローバルに展開するサプライチェーン部門の監査計画を策定中である。最近の国際情勢の急激な変化(地政学的リスク)により、特定の地域からの物流が寸断されるリスクが高まっている。この「新たに発生するリスク」の影響を認識した監査計画として、最も適切な視点はどれか。

A. 過去10年間の物流データを分析し、これまで遅延が発生していなかったことを確認したため、物流ルートの変更は不要であると結論付ける。

B. 地政学的リスクは政治の問題であり、一企業の内部監査人が扱う範囲を超えているため、監査計画には含めない。

C. 現在の主要ルートが使用不能になった場合の「代替サプライヤーの確保状況」や「在庫の戦略的積み増し」など、事業継続性(レジリエンス)の観点からの対応策を重点的に評価する。

D. 物流コストの削減(効率性)のみを最優先課題とし、リスク対策コストの増加を批判する観点で監査を行う。

【解答・解説】

正解と解説を表示

正解(C): 新たに発生するリスク(地政学リスク等)は、過去のデータ(A)では予測できない特徴があります。監査人は、このリスクが顕在化した際の影響(供給停止)を認識し、効率性だけでなく「回復力(レジリエンス)」や「代替案の準備状況」を評価の中心に据える必要があります。

不正解(A): 「バックミラー(過去データ)」だけで運転する危険な行為です。Emerging Riskは過去の延長線上にありません。

不正解(B): 原因が政治であっても、結果としてビジネスに影響を与える以上、内部監査の対象です。

不正解(D): 新たなリスクが高まっている局面で、コスト削減のみを追求するのは戦略的に誤りである可能性があります。

Q3. 既存の監査業務を実施中に、業界全体を揺るがす新しい規制案が突然公表され、組織のビジネスモデルに重大な影響を与える可能性が出てきた。この「新たに発生するリスク」への対応として、GIASが推奨する内部監査人の行動はどれか。

A. 監査計画は一度承認されたら変更すべきではないため、新しい規制については無視し、当初の計画通りに監査を完了させる。

B. 動的なリスク評価(Dynamic Risk Assessment)を行い、新しい規制が現在の監査対象に与える影響を評価した上で、必要に応じて監査の目標や範囲を修正し、ステークホルダーと調整する。

C. 直ちに現在の監査業務を中止し、規制対応のためのコンサルティング業務として契約を結び直す。

D. 新しい規制への対応は法務部門の責任であるため、内部監査人は関与せず、監査報告書にも記載しない。

【解答・解説】

正解と解説を表示

正解(B): 監査計画は静的なものではありません。実施中であっても、環境変化により「新たに発生するリスク」が出現した場合、監査人は機敏(アジャイル)に対応し、計画を修正することが求められます。これにより、監査の結果が最新の状況に対応した価値あるものになります。

不正解(A): 状況が変わったのに古い計画に固執するのは、監査資源の無駄遣いです。

不正解(C): 必ずしも中止や契約変更が必要なわけではありません。まずは現在のアシュアランス業務の中で範囲を調整することを検討します。

不正解(D): 組織全体に影響する規制リスクは、内部監査の重要な評価対象です。