【CIA試験講義】パート2 セクションA-6-e: 領域別テスト手法の識別
テーマ:名医は聴診器とMRIを使い分ける ~領域に合わせた最適な検査ツール~
セクションA-6-eは、監査対象が「会計・財務」なのか、「ITシステム」なのか、「ビジネスオペレーション(現場業務)」なのかによって、最も効果的かつ効率的なテスト手法(Testing Methodology)を使い分ける能力に関するトピックです。
全ての監査を「書類チェック」だけで済ませようとしてはいけません。 システムにはシステムの、現場には現場の、サイバー空間にはサイバー空間の「調べ方」があります。
1. 導入:監査手法の「適材適所」
監査人は「万能な道具」を持っていません。代わりに、多種多様な道具が入ったツールボックスを持っています。 計画段階で、対象領域の特性に合わせてツールを選びます。
| 領域 | 特性 | 主なテスト手法(道具) |
|---|---|---|
| 会計・財務 | 数字、履歴、トレンド | 分析的手続、証憑突合、確認状 |
| ビジネスオペレーション | 効率、流れ、物理的実体 | 観察、インタビュー、ベンチマーク |
| ITシステム | ロジック、大量データ | CAATs(データ分析)、テストデータ法 |
| サイバーセキュリティ | 脆弱性、侵入耐性 | 脆弱性スキャン、ペネトレーションテスト |
2. 領域別・主要テクニックの深掘り
試験で頻出する、各領域特有のテスト手法を解説します。
① 会計・財務:分析的手続(Analytical Procedures)
数字の「異常」を見つけるための手法です。
- 比率分析(Ratio Analysis): 流動比率や利益率を計算し、業界平均や過去と比較する。
- 傾向分析(Trend Analysis): 売上の月次推移を見て、「なぜ3月だけ急増しているのか?」といった異常点を検出する。
- 使い所: 詳細なテストに入る前の「当たり」をつける段階や、全体的な整合性を確かめる時。
② ITシステム:CAATs(コンピューター利用監査技法)
手作業では不可能な「全数調査」を可能にする強力な武器です。
- GAS(汎用監査ソフト): ACLやIDEAなどのツールを使い、100万件のデータから「重複払い」「休日の入力」「規定外の数値」を瞬時に抽出する。
- テストデータ法(Test Data): 監査人が作った「架空のデータ(わざとエラーになるデータなど)」をシステムに入力し、正しくエラーと判定されるか(ロジック)を確認する。
③ ビジネスオペレーション:ベンチマークと観察
数字に表れない「プロセス」を見ます。
- ベンチマーク: 自社の製造工程のスピードを、競合他社や業界標準と比較し、効率性を評価する。
- 実地棚卸の立会(Observation): 在庫が本当に存在するか、整理整頓されているかを目で見て確認する。
④ サイバーセキュリティ:侵入テスト(Penetration Testing)
システムを守る「壁」の強度を試します。
- 脆弱性スキャン: ツールを使って、既知のセキュリティホール(パッチ未適用など)がないか自動診断する。
- ペネトレーションテスト(ペンテスト): 専門家がホワイトハッカーとなり、実際にシステムへの侵入を試みて、どこまで深く入れるかを検証する。
- 注意: これはシステムに負荷をかけるため、実施には慎重な計画と承認が必要です。
3. 「手作業」か「自動化」かの判断基準
テスト手法を選ぶ際、「サンプリング(手作業)」にするか「全数調査(自動化/CAATs)」にするかの判断も重要です。
- 取引量が膨大(数万件以上) → CAATs(人間が見るのは無理)。
- 複雑な判断が必要(契約書の解釈など) → 手作業(AIでも難しい文脈理解が必要)。
- 紙の証憑しかない → 手作業(サンプリング)。
まとめ
セクションA-6-eのポイントは、「相手に合わせた武器を選べ」です。
- ITのロジックを調べるのに、電卓(手計算)で挑むのは非効率です。
- 現場の雰囲気を知るのに、データ分析(CAATs)は無力です。
- 監査計画書(プログラム)には、「なぜその手法を選んだのか」という合理的な理由が必要です。
【練習問題】パート2 セクションA-6-e
Q1. 内部監査人は、給与支払いプロセスの監査において「架空の従業員(幽霊社員)への支払い」がないかを検証しようとしている。従業員数は数千名に及び、データはすべてシステム上にある。この場合、最も効率的かつ効果的なテスト手法はどれか。
A. 従業員名簿からランダムに30名を抽出し、人事部にある履歴書の原本と照合する(サンプリング検査)。
B. 給与支払い担当者にインタビューを行い、架空従業員を登録することが可能かどうかを質問する。
C. 汎用監査ソフト(GAS)などのCAATsを使用し、社員マスターファイルと給与支払いファイルを結合して、住所、銀行口座番号、または社会保障番号が重複しているレコードを全件抽出して分析する。
D. 過去1年間の給与総額の推移をグラフ化し、急激な変動がないか傾向分析(Trend Analysis)を行う。
【解答・解説】
正解と解説を表示
正解(C): 大量の電子データが存在する場合、CAATs(コンピューター利用監査技法)を用いた全数調査が最強の手法です。「住所や口座番号の重複」は架空社員の典型的な兆候(Red Flag)であり、これを数千件の中から瞬時に特定できるのはCAATsならではの利点です。
不正解(A): サンプリングでは、たまたま架空社員が抽出されない可能性があり(検出リスク)、全数調査に劣ります。
不正解(B): 質問だけでは実態は分かりません。
不正解(D): 傾向分析は異常の兆候(マクロ視点)を知るには良いですが、個別の架空社員(ミクロ視点)を特定する手法としてはCAATsの方が直接的です。
Q2. 内部監査人は、Webアプリケーションの「サイバーセキュリティ」監査を計画している。外部からの攻撃に対する耐性を検証するために、実際の攻撃者の手口を模倣してシステムへの侵入を試みる手法を採用したい。この手法の名称として正しいものはどれか。
A. ベンチマーク(Benchmarking)
B. ペネトレーションテスト(Penetration Testing)
C. 統合テスト施設法(ITF: Integrated Test Facility)
D. ウォークスルー(Walkthrough)
【解答・解説】
正解と解説を表示
正解(B): ペネトレーションテスト(侵入テスト)は、サイバーセキュリティ監査における代表的な実証性テストです。許可された専門家が擬似的な攻撃を行い、セキュリティ対策(ファイアウォールや設定など)が実際に機能するか、どこに脆弱性があるかを検証します。
不正解(A): ベンチマークは他社との比較手法です。
不正解(C): ITFは、通常業務の処理中にテストデータを流して処理ロジックを確認する手法であり、侵入耐性のテストではありません。
不正解(D): ウォークスルーはプロセスの流れを確認する手法であり、セキュリティ強度の検証には不向きです。
Q3. 内部監査人は、購買部門の業務効率性を評価するために「ビジネスオペレーション」の監査を行っている。購買プロセスにおいて「ボトルネック(滞留)」が発生している箇所を特定するために、最も適したテスト手法はどれか。
A. 購買規定を閲覧し、承認権限者が誰であるかを確認する。
B. 購買担当者に「仕事は忙しいですか?」と質問する。
C. 購買システム(ERP)のログデータを分析し、各承認ステップ(申請~一次承認~最終承認)ごとの平均所要時間を算出し、異常に時間がかかっている工程を特定する(プロセスマイニング等の手法)。
D. 外部監査人が作成した財務諸表監査の報告書をレビューする。
【解答・解説】
正解と解説を表示
正解(C): 業務プロセスの効率性やボトルネックを特定するには、タイムスタンプ(時刻記録)を含むログデータの分析が極めて有効です。これはIT監査の手法(データ分析)をオペレーション監査に応用した例であり、客観的な数値に基づいて「どこで時間がかかっているか」を可視化できます。
不正解(A): 規定(Design)を見ても、実際の遅れ(Operation)は分かりません。
不正解(B): 主観的な回答であり、正確なボトルネックの特定は困難です。
不正解(D): 財務諸表監査は「財務数値の正確性」に焦点を当てており、業務プロセスの「効率性」に関する情報は限定的です。
