Contents
  1. テーマ:救急救命室(ER)のトリアージ ~誰を最初に治療するか~
  2. 【練習問題】パート2 セクションA-5-d

テーマ:救急救命室(ER)のトリアージ ~誰を最初に治療するか~

セクションA-5-dは、識別された数多くのリスクやコントロールに対し、適切な「評価規準(Criteria)」と「方法(Methods)」を用いて順位付けを行い、監査資源を集中させる場所を決定するプロセスです。

内部監査のリソース(時間・人)は有限です。全てのリスクを同じ深さで監査することは不可能です。 したがって、監査人はERの医師のように、「軽傷(低リスク)」か「重体(高リスク)」かを瞬時に、かつ論理的に判断し、処置の順番(優先順位)を決めなければなりません。

1. 導入:なぜ「方法」と「規準」を決めるのか?

もし監査人が「なんとなくこれが怪しい気がする」という勘だけで監査対象を選んでいたらどうなるでしょうか? 経営陣から「なぜこの部署ばかり監査するのか?」「もっと重要なリスクがあるのではないか?」と問われたときに説明がつきません。

客観的な「ものさし(規準)」と、計算された「手順(方法)」があるからこそ、監査計画は説得力を持ちます。

2. リスク評価のための「規準(Criteria)」

リスクを測定するための主要な尺度は以下の通りです。試験では「影響度×発生可能性」以外にも、より高度な指標が問われます。

① 基本の2軸
  • 影響度(Impact/Significance): 起きたらどれくらい痛いか?(金額、評判、法規制)
  • 発生可能性(Likelihood/Probability): どれくらいの頻度で起きそうか?
② 高度な規準(GIASで重視)
  • スピード(Velocity): リスクが顕在化する速さ。
    • 例:SNSでの炎上(超高速) vs 建物の老朽化(低速)。
  • 持続性(Persistence): ダメージがどれくらい続くか。
  • 脆弱性(Vulnerability): 現在の防御策(コントロール)がどれくらい弱いか。

3. リスク評価の「方法(Methods)」

評価には大きく分けて2つのアプローチがあります。監査対象の性質に合わせて使い分けます。

方法A:定性的手法(Qualitative)
  • 内容: 「高・中・低(High/Medium/Low)」といった言葉や記述でランク付けする。
  • 適している場面:
    • 数値化が難しい領域(組織文化、倫理、評判リスク)。
    • 迅速な判断が必要な場合。
    • メリット: 直感的で分かりやすい。
    • デメリット: 主観が入りやすい。
方法B:定量的手法(Quantitative)
  • 内容: 数値データやスコアリングモデルを用いる。「影響額1億円」「スコア4.5」など。
  • 適している場面:
    • 過去のデータが豊富な領域(金融取引、製造ロス、システム稼働率)。
    • メリット: 客観性が高く、比較しやすい。
    • デメリット: データ収集に時間がかかる。無理に数字にすると実態を見誤る(偽の精度)。

4. 優先順位付け(Prioritization)のロジック

評価が終わったら、実際に監査する順位を決めます。ここで重要なのが「固有リスク」と「残余リスク」の関係です。

  1. 固有リスク(Inherent Risk): 何も対策していない状態でのリスク。
  2. コントロール(Controls): リスクを抑えるための対策。
  3. 残余リスク(Residual Risk): 対策してもなお残るリスク。

★試験のポイント: 監査計画の優先順位は、原則として「残余リスクが高い領域」に置かれます。 「固有リスクが高いが、コントロールが完璧で残余リスクが低い領域」よりも、「固有リスクは中程度だが、コントロールが全くなく残余リスクが高い領域」の方が、監査の緊急性は高いと判断されます。

まとめ

セクションA-5-dのポイントは、「説明可能なランキングを作れ」です。

  • 「なぜA部門ではなくB部門を監査するのですか?」と聞かれたとき。
  • 「B部門の方が、影響度は同じですが、脆弱性が高く(規準)、スコアリングモデルでも上位に来たため(方法)、残余リスクが最大と判断しました」と答えられるように準備すること。

これがプロフェッショナルのリスク・ベース監査です。

【練習問題】パート2 セクションA-5-d

Q1. 内部監査人は、全社的なリスク評価を実施し、監査対象の優先順位を決定しようとしている。リスクを評価するための「規準(Criteria)」として、「影響度」と「発生可能性」に加えて、特にソーシャルメディアやサイバーセキュリティのリスクを評価する際に重要となる指標はどれか。

A. 過去の監査回数(Frequency of Audit)

B. リスクの顕在化スピード(Risk Velocity)

C. 被監査部門の予算規模(Budget Size)

D. 担当者の勤続年数(Tenure of Staff)

【解答・解説】

正解と解説を表示

正解(B): 現代のリスク環境、特にデジタル領域においては、リスクが発生してから影響が広がるまでの「速さ(Velocity)」が重要な評価規準となります。影響度が同じでも、数ヶ月かけて進行するリスクより、瞬時に拡散して対応時間を与えないリスク(SNS炎上やサイバー攻撃)の方が、優先順位は高くなる傾向があります。

不正解(A): 過去の回数は「いつ監査するか」の参考にはなりますが、リスクそのものの深刻さを測る規準ではありません。

不正解(C): 予算規模は重要性の指標の一つですが、スピードの概念は含まれません。

不正解(D): 勤続年数はリスク要因(属人化など)の一つですが、評価規準そのものではありません。

Q2. 内部監査人は「企業倫理と組織文化」に関する監査を計画している。このテーマに関連するリスクを評価し、優先順位を付けるための「方法(Method)」として、最も適切かつ現実的なアプローチはどれか。

A. 従業員の倫理観を正確に数値化することは不可能なため、リスク評価を行わず、ランダムにインタビュー対象を選ぶ。

B. 過去の懲戒処分件数などのデータのみを使用する「定量的手法」を採用し、数字に表れない雰囲気は無視する。

C. 従業員意識調査の結果、ホットライン通報の内容、経営陣へのインタビューなどを統合し、「高・中・低」で評価する「定性的手法」を採用する。

D. 複雑な確率統計モデル(モンテカルロ・シミュレーション)を使用して、倫理違反による損失額を1円単位で計算する。

【解答・解説】

正解と解説を表示

正解(C): 組織文化や倫理といった「ソフト・コントロール」の領域は、主観的で測定が難しいため、数値データのみに頼る定量的手法よりも、インタビューやアンケートの傾向分析に基づく「定性的手法(Qualitative Method)」が適しています。「高・中・低」といった記述的な評価が現実的です。

不正解(A): 測定が難しいからといって評価を放棄してはいけません。

不正解(B): 定量データ(顕在化した処分数)だけでは、潜在的な文化の劣化(腐敗の兆候)を見逃す恐れがあります。

不正解(D): ソフトな領域に対して過度に複雑な数理モデルを適用することは、コストに見合わず、また「偽の精度(False Precision)」を生むリスクがあります。

Q3. 内部監査人は、以下の4つの領域についてリスク評価を行った。監査資源が限られている場合、監査計画において最優先(トッププライオリティ)とすべき領域はどれか。

  • 領域A: 固有リスク=高、コントロール=極めて有効
  • 領域B: 固有リスク=低、コントロール=無し
  • 領域C: 固有リスク=高、コントロール=脆弱(不十分)
  • 領域D: 固有リスク=中、コントロール=普通

A. 領域A B. 領域B C. 領域C D. 領域D

【解答・解説】

正解と解説を表示

正解(C): 監査の優先順位は通常、「残余リスク(Net Risk)」の大きさで決定します。 領域Cは、元々のリスクが高い(高額な資金を扱うなど)にもかかわらず、それを守る盾(コントロール)が穴だらけであるため、事故が起きる可能性が最も高く、起きた時の被害も甚大です。したがって、ここが最優先監査対象となります。

不正解(A): 固有リスクが高くても、コントロールが「極めて有効」であれば、残余リスクは低く抑えられています。監査の必要性はありますが、Cよりは緊急度が下がります。

不正解(B): 元々のリスクが低い(例えば、社内報の印刷業務など)場合、コントロールがなくても残余リスクは限定的です。

不正解(D): 中程度のリスク領域であり、Cほどの緊急性はありません。