CIAパート2：変更管理（チェンジマネジメント）とリスクへの影響

Contents

テーマ：引っ越しの最中に「モノ」はなくなる～変化の瞬間に潜む罠～

テーマ：引っ越しの最中に「モノ」はなくなる～変化の瞬間に潜む罠～

セクションA-5-eは、詳細なリスク評価を完了する際、組織内の3大要素である「人（People）」「プロセス（Process）」「システム（Systems）」に変更（Change）があった場合、それがリスクプロファイルにどのような影響を与えるかを認識しなければならないという要件です。

試験では、「安定している状態」よりも「変化している状態」の方がリスクが高いという鉄則に基づき、具体的な変化のシナリオ（リストラ、システム入替、業務フロー変更など）において、どこに危険が潜んでいるかを見抜く力が問われます。

1. 導入：リスク管理の「PPTフレームワーク」

ビジネスを構成する要素は、People（人）、Process（プロセス）、Technology/System（システム）の3つ（PPT）です。これらが安定して噛み合っているときは、リスクはコントロールされています。しかし、どれか1つでも「変更」されると、歯車がズレて隙間（リスク）が生まれます。

イメージ：
あなたはジャグリングをしています。慣れたボール（いつもの業務）なら落としません。しかし、途中で「ボールの重さが変わる（システム変更）」、「投げる手順が変わる（プロセス変更）」、「パートナーが変わる（人の変更）」といった変化が起きた瞬間、ボールを落とす（失敗する）確率は跳ね上がります。

2. 各要素の「変更」がもたらす影響

監査人は計画段階で、「前期の監査から何か変わりましたか？」と必ず質問します。その回答に応じて、以下のようなリスクを連想（認識）します。

① 人（People）の変更

シナリオ： リストラによる人員削減、熟練社員の退職、新任マネージャーの着任。
リスクへの影響：
- 知識の喪失： 「あの人にしか分からない」業務がブラックボックス化する。
- 職務分掌の崩壊： 人が減ったため、1人が「入力」と「承認」を兼務するようになる（不正リスクの増大）。
- 士気の低下： ミスや意図的なサボタージュが増える。

② プロセス（Process）の変更

シナリオ： コスト削減のための業務フロー簡素化、組織再編による承認ルートの変更、新しい規制への対応。
リスクへの影響：
- コントロールの欠落： 新しい手順において、チェック機能が設計されていない。
- 不慣れによるミス： マニュアルが変わったのに、現場が古いやり方を続けている（コンプライアンス違反）。

③ システム（Systems）の変更

シナリオ： 新しい会計ソフトの導入、クラウドへの移行、サーバーの入替。
リスクへの影響：
- データ移行ミス： 旧システムから新システムへデータを移す際に、数字が化けたり消えたりする。
- セキュリティ設定の不備： デフォルト設定のまま運用を開始し、穴が開いている。
- 一時的な混乱： 本番稼働（Go-live）直後のトラブル対応で、通常業務が疎かになる。

3. 「変更管理（Change Management）」の監査

このセクションのもう一つの側面は、「変更そのものを管理するプロセス」が機能しているかの評価です。

無許可の変更： 担当者が勝手にプログラムを書き換えていないか？
テスト不足： 新しいシステムを導入する前に、十分なテスト（UAT：ユーザー受入テスト）を行ったか？

4. 監査計画への反映（ダイナミック・プランニング）

「前回は問題なかったから、今年も大丈夫」という思考停止は致命的です。

重要な変更があった場合： その領域のリスク評価を「高」に引き上げ、監査の優先順位を上げます。
変更直後の監査： 安定稼働するまでの「移行期間」を狙って監査を行い、初期消火（早期発見）を支援します。

まとめ

セクションA-5-eのポイントは、「Change = Chance for Risk（変化はリスクの好機）」です。

人が代われば、ルールが忘れられる。
プロセスが変われば、穴ができる。
システムが変われば、データが壊れる。

監査人は、組織内の「変わり目」に敏感なセンサーを持ち、そこにリソースを集中させることで、事故を未然に防ぐことができます。

【練習問題】パート2 セクションA-5-e

Q1. 内部監査人は経理部門の監査を計画している。予備調査の結果、経理部門では最近、大規模な早期退職プログラムが実施され、人員が30%削減されたことが判明した。残ったスタッフへの業務割り当てが見直されている最中である。この「人の変更」に関連して、監査人がリスク評価において最も警戒すべき影響はどれか。

A. 人員削減により経費が削減されたため、財務諸表上の利益が増加し、監査の必要性が低下していること。

B. 経験豊富なスタッフが退職したことで業務効率が一時的に低下するが、長期的にはAI化が進むためリスクはないこと。

C. 限られた人数で業務を回すために「職務分掌（Segregation of Duties）」が崩れ、同一人物が取引の実行と記録・承認を行う状況が発生し、不正や誤謬のリスクが高まっていること。

D. 退職した従業員のPCが適切に廃棄されているかどうかという環境リスク。

【解答・解説】

正解と解説を表示

正解（C）： 急激な人員削減（人の変更）における最大のリスクは、内部統制の要である「職務分掌」の崩壊です。リソース不足を補うために、一人の担当者に権限が集中しやすくなり、牽制機能が効かなくなることで、横領などの不正や重大なミスの発見遅れにつながる可能性が極めて高くなります。

不正解（A）： コスト削減は事実かもしれませんが、統制環境の悪化というリスクを見落としています。

不正解（B）： 知識の喪失（Brain Drain）や引継ぎ不足は重大なリスクであり、AIがすぐに解決してくれるものではありません。

不正解（D）： 資産管理も重要ですが、経理プロセス自体の崩壊（C）に比べれば、影響の範囲と深刻さは限定的です。

Q2. ある製造業のクライアントは、従来の「紙ベースの在庫管理」から「RFIDタグを用いた自動在庫管理システム」への移行（システムの変更）を完了したばかりである。内部監査人がこの移行直後のタイミングで監査を行う際、認識すべきリスクとして最も適切なものはどれか。

A. システム導入により人為的ミスがなくなるため、在庫管理のリスクはゼロになったと評価する。

B. 移行期間中に、旧システムのデータが新システムに正確かつ完全に移行されていない（データの整合性が失われている）リスクや、新システムの読み取り設定ミスによる在庫数量の誤表示リスクを重点的に評価する。

C. システム変更はIT部門の責任であるため、業務監査チームは在庫の実在性のみを確認し、システムの影響は考慮しない。

D. 新システムは高額な投資であるため、減価償却費の計算が正しいかどうかの財務リスクのみを評価する。

【解答・解説】

正解と解説を表示

正解（B）： システム変更（移行）時において、最も発生しやすいリスクは「データの移行（Migration）ミス」と「初期設定の不備」です。これらにより、在庫データが実態と乖離する可能性が高いため、監査人はシステムが安定稼働するまでの間、これらの正確性・完全性を重点的にテストする必要があります。

不正解（A）： 自動化されても、設定ミスや機器トラブルのリスクは残ります。リスクゼロという認識は誤りです。

不正解（C）： 在庫管理プロセスはシステムに依存しているため、システム変更の影響を考慮せずに実在性だけを確認するのは不十分です。

不正解（D）： 財務処理も重要ですが、オペレーショナルな在庫データの正確性の方が、ビジネスへの影響（欠品や過剰在庫）は直接的です。

Q3. 営業部門では、売上目標達成へのプレッシャーから、承認プロセスを簡素化する「業務フローの変更（プロセスの変更）」を行った。具体的には、課長の事前承認なしで見積書を顧客に提出できるようになった。この変更に対し、内部監査人が認識すべきリスクへの影響として、最も適切なものはどれか。

A. 承認プロセスがなくなったことで業務スピードが向上し、ビジネス・パフォーマンスが改善されるというプラスの影響のみを認識する。

B. 承認という予防的コントロールが除去されたことにより、不採算な案件の受注や、不適切な値引き販売が行われるリスクが高まったことを認識する。

C. プロセスの変更は現場の裁量であるため、内部監査人は関与せず、結果としての売上数字のみを監査する。

D. 承認印を押す手間が省けたため、課長が余った時間で不正を行うリスクが高まったと認識する。

【解答・解説】

正解と解説を表示

正解（B）： プロセスの変更、特に「効率化」を名目としたコントロールの削除は、リスク管理の観点からは危険信号です。事前承認（予防的コントロール）を廃止すると、不適切な取引を未然に防ぐフィルターがなくなり、結果として利益率の低下やトラブル案件の増加といったリスクが高まります。

不正解（A）： スピードというメリットだけでなく、コントロール欠如によるデメリット（リスク）のバランスを評価するのが監査人の役割です。