【CIA試験講義】パート2 セクションA-7-d: 監査資源の制約がもたらす影響を評価する
テーマ:「限られたスーツケース」と旅の目的 ~資源制約とスコープ調整~
セクションA-7-dは、理想的な監査計画と、現実の「資源(リソース)」とのギャップをどう埋めるか、という実務的かつ重要なトピックです。
試験では、単に「人が足りないから監査を減らす」という短絡的な思考ではなく、「制約が監査の品質や目標達成にどのような影響を与えるかを論理的に評価し、適切にコミュニケーションできるか」が問われます。
1. 導入:監査資源の「3つのT」と制約
内部監査における「資源(Resources)」とは、主に以下の3要素を指します。
- Time(時間): 監査完了までの期間、割り当てられた時間数(マンアワー)。
- Talent(人材・スキル): 監査人の人数、および特定の専門知識(IT、不正調査、語学など)。
- Tools/Technology(ツール・予算): データ分析ソフト、旅費交通費、外部専門家の雇用予算など。
- 「資源の制約」とは、監査対象のリスクを十分に評価するために必要なこれら3要素が不足している状態を指します。
2. 制約の評価プロセス(If~Thenの思考)
個々の監査業務を計画する際、監査人は「やりたいこと(リスク対応)」と「できること(資源)」を天秤にかけます。ここで制約が見つかった場合、以下のプロセスで評価を行います。
ステップ①:制約の特定
「この領域のデータ分析をするには、現在のツールでは機能不足だ」 「この海外拠点を往査するには、予算と時間が足りない」
ステップ②:影響(Impact)の評価 ★試験のポイント
制約があること自体は問題ではありません。重要なのは、「その制約によって、監査の目標達成にどのような支障が出るか」を具体的に評価することです。
- 目標への影響: 「セキュリティ評価」という目標に対し、専門家がいないため「一般的なパスワード設定の確認」しかできない。
- 保証のレベルへの影響: 本来は全件テストすべきだが、時間不足でサンプリング数を減らさざるを得ないため、見落としのリスクが高まる。
3. 制約への対処:監査人の取るべきアクション
影響を評価した後、監査人は以下のいずれかのアクションを取る必要があります。
| アクション | 具体的な内容 | 注意点 |
|---|---|---|
| A. 資源の追加要請 | CAE(内部監査部門長)や経営陣に対し、追加の人員、予算、期間を要求する。 | 正当な理由(リスクの大きさ)の説明が必要。 |
| B. スコープの調整(縮小) | 利用可能な資源に合わせて、監査範囲を狭める (例:全支店監査→主要3支店のみ)。 | 勝手に減らしてはならない。 スコープ縮小により「監査できないリスク(残存リスク)」が生じることをステークホルダーに伝え、承認を得る必要がある。 |
| C. 専門家の活用 | 内部にスキルがない場合、外部の専門家 (ゲスト監査人や外部委託)を利用する。 | 独立性と客観性の管理が必要。 |
4. 試験で問われる「スコープの制限(Scope Limitation)」
監査資源の制約が解消されず、かつ重要な領域を監査できない場合、それは「スコープの制限」となります。
試験で最も狙われるのは、「制約があるからといって、黙って手続きを省略することの是非」です。
NGな対応:
「時間が足りないから、重要なテストをこっそり省こう」 「ITに詳しくないけど、適当にチェックリストだけで済ませよう」
OKな対応(GIAS準拠):
「時間が足りないため、このテストを省略せざるを得ません。その結果、〇〇に関する不正リスクは見逃される可能性がありますが、この制約を受け入れますか?」と依頼者(経営陣等)と合意形成する。
5. まとめ
セクションA-7-dの核心は、「透明性」です。
- 資源不足は、監査人の責任ではありません(組織の配分の問題)。
- しかし、「資源不足によって生じるリスク(監査の限界)」を伝えないことは、監査人の責任です。
監査人は「何ができて、何ができないか(そして、できないことによる影響は何か)」を明確に評価し、計画書に反映させる必要があります。
【練習問題】パート2 セクションA-7-d
Q1. 内部監査人は、購買プロセスの監査を計画している。リスク評価の結果、サプライヤー選定における癒着リスクが高いと判断したが、監査チームには不正調査の専門知識を持つメンバーがおらず、外部専門家を雇う予算もない。この「資源の制約」に対する監査人の対応として、GIASに基づき最も適切なものはどれか。
A. 不正調査は法務部門の責任であるため、このリスク領域を監査範囲から除外し、その旨を誰にも報告せずに通常の業務監査のみを行う。
B. 現在のチームメンバーで可能な範囲のテストを行い、専門知識不足による監査の限界(発見できないリスク)については、監査計画書に記載し、関係者と共有する。
C. 専門知識がないまま不正調査を実施し、結果として何も発見されなかった場合は「不正なし」と報告する。
D. 予算不足は経営陣の責任であるため、監査業務自体をキャンセルし、次年度に予算が確保されるまで延期する。
【解答・解説】
正解と解説を表示
正解(B): 資源(スキル)の制約がある場合、その影響(どこまで保証できて、どこから保証できないか)を評価し、文書化してステークホルダーに伝える必要があります。
不正解(A): 重要なリスク領域を除外する場合、その理由と影響を報告・承認なしに行うことは不適切です。
不正解(C): 必要なスキル(適性能力)なしに業務を行うことは、GIASの一般要求事項(適性能力)違反となります。また、誤った保証を与えることになります。
不正解(D): 業務全体をキャンセルするのではなく、利用可能な資源で最大限のリスク対応を行うか、スコープ調整を行うべきです。
Q2. ある内部監査人が、当初2週間で計画されていた支店監査を担当することになった。しかし、急なシステムトラブルの対応で監査開始が3日遅れ、残り時間での完了が困難になった。この「時間の制約」が監査業務に与える影響を評価する際、最初に行うべきアクションはどれか。
A. 残業時間を増やして遅れを取り戻すよう、チームメンバーに指示する。
B. 監査手続き(テスト項目)を一律で30%削減し、期間内に終わるよう調整する。
C. 残りの時間で達成可能な目標と、達成できなくなる目標を再評価し、優先順位の高いリスク領域に資源を集中させる案を作成する。
D. 監査報告書において、監査意見の表明を拒否する準備をする。
【解答・解説】
正解と解説を表示
正解(C): 時間制約が発生した場合、まずはその影響を評価する必要があります。すべての手続きを均等に減らすのではなく、リスクベースで優先順位をつけ直し、重要な目標(リスクが高い領域)への影響を最小限にする再評価が先決です。
不正解(A): 単なる長時間労働による解決は、監査品質の低下や疲労によるミスを招く恐れがあり、根本的な解決策の検討(再評価)としては不十分です。
不正解(B): 一律削減はリスクベースのアプローチではありません。重要なリスクが見過ごされる可能性があります。
不正解(D): 意見表明の拒否は最終手段であり、まずは計画の修正やスコープ調整を検討すべきです。
Q3. 個々の監査業務の計画段階において、利用可能な監査資源が、希望する監査範囲(スコープ)をカバーするのに不十分であると判明した。内部監査部門長(CAE)および監査業務の責任者が取るべき行動として、誤っているものはどれか。
A. 資源の不足が、監査業務の目標達成に与える影響を評価する。
B. 監査依頼者(経営陣や監査委員会等)に対し、スコープを縮小することによる影響(確認できないリスク)を説明する。
C. 予算や時間の制約に合わせて監査計画を修正することは、監査の独立性を損なうため、不足があっても当初の計画通りに強行しなければならない。
D. 必要な専門知識が内部に不足している場合、外部のサービスプロバイダーの利用(コ・ソーシング)を検討する。
【解答・解説】
正解と解説を表示
正解(C): これは誤った記述です。資源の制約に合わせて計画を修正することは現実的な対応であり、独立性の侵害ではありません。むしろ、資源がないのに無理に計画を強行することで監査品質が低下する方が問題です。重要なのは、修正(縮小)によるリスクを透明にすることです。
不正解(A): 正しい行動です。まず影響評価が必要です。
不正解(B): 正しい行動です。スコープの制限(Limitation)についてのコミュニケーションは必須です。
不正解(D): 正しい行動です。資源(スキル)不足の解決策として外部リソースの活用は推奨されます。
