【CIA試験講義】パート2 セクションB-1-a: 情報入手手法の決定
テーマ:名探偵の「七つ道具」 ~適切な証拠収集ツールの選び方~
次は、セクションB「情報の収集、分析及び評価」に入ります。
このセクションは、計画を実行に移し、実際に証拠を集める「現場の実務(フィールドワーク)」に関する部分です。
CIA試験では、「どの場面で、どのツール(手法)を使うのが最も効率的かつ効果的か?」という状況判断が頻出です。
セクションB-1-aは、監査人が現場(フィールドワーク)で証拠を集めるための「武器(手法)」の選択に関するトピックです。
計画段階で特定したリスクに対し、「インタビュー」「観察」「ウォークスルー」「データ分析」などの手法を、いつ、どのように使い分けるか。試験では、各手法の「強み」と「限界(弱点)」を正確に理解しているかが問われます。
1. 情報収集の全体像(証拠の信頼性)
監査人は、発見事項(所見)を裏付けるために「十分かつ信頼性の高い情報」を入手しなければなりません。 一般的に、証拠の信頼性は以下の順で高いとされています。
- 監査人の直接的知見(観察、実地棚卸、再計算など)
- 外部からの情報(銀行残高確認書など)
- 内部の文書情報(請求書、システムログなど)
- 口頭証拠(インタビュー回答)
しかし、常に「信頼性が高い手法」が良いわけではありません。「コスト対効果」や「リスクの性質」に応じて、最適なツールを選ぶ必要があります。
2. 主要な4つの手法とその特徴
試験で問われる代表的な4つの手法について整理します。
① インタビュー(Interview)
- 概要: 担当者や管理者に質問し、回答を得る。
- 強み: 監査の初期段階で「プロセス全体の理解」や「潜在的な懸念」を素早く把握できる。また、文書には現れない「組織文化」を感じ取れる。
- 弱点: 信頼性が低い(証言証拠)。 人は嘘をついたり、忘れたり、自分の都合の良いように話す可能性があるため、必ず他の手法(文書閲覧など)で裏付け(Corroboration)が必要。
② 観察(Observation)
- 概要: 業務が行われている現場を直接見る(例:工場での作業、現金の取り扱い、職務分掌の状況)。
- 強み: 実際にコントロールが機能しているかを「監査人の目」で確認できるため、信頼性が高い。
- 弱点:「その瞬間しか保証できない」。
- また、見られていると人が普段より良く振る舞う現象(ホーソン効果)が生じ、実態と異なる可能性がある。
③ ウォークスルー(Walk-through)
- 概要: ある取引(例:注文書の受領)の開始から終了(会計記録への計上)までを、一筆書きで追跡する。
- 強み: プロセスの流れ、コントロールの設置場所(デザイン)を理解するのに最適(Best)な手法。
- 弱点: あくまで「流れの確認」であり、コントロールが「一年を通じて常に有効に機能していたか(運用状況の有効性)」を証明するには、サンプル数を増やしてテストする必要がある。
④ データ分析(Data Analytics / CAATs)
- 概要: コンピュータを使って全データを解析する。
- 強み:
- 全件監査が可能: サンプリングリスク(見落とし)をゼロにできる。
- 異常値の発見: 「重複払い」「週末の不正入力」などのパターンを瞬時に検出できる。
- 弱点: データの品質(正確性・完全性)が悪ければ、分析結果も間違ったものになる(GIGO: Garbage In, Garbage Out)。
3. 目的別「ベストな手法」の選び方
試験では、「監査人は〇〇を確認したい。どの手法が適切か?」という形式で出題されます。
| 確認したいこと | 推奨される手法 | 理由 |
|---|---|---|
| 「プロセスの仕組み」や「リスクの所在」を知りたい | ウォークスルー | 全体像を把握し、どこにコントロールが必要かを見極めるのに最適だから。 |
| 「不正の兆候」や「特定の異常」を見つけたい | データ分析 | 大量のデータから特定のパターンや例外を抽出できるから。 |
| 「物理的なセキュリティ」や「職務分掌」を確認したい | 観察 | 書類上は正しくても、現場ではパスワードをメモしていたり、鍵が開けっ放しだったりするため。 |
| 「背景」や「意図」を知りたい | インタビュー | なぜその処理をしたのか、どのような方針なのかは、人に聞くのが早い(ただし裏付け必須)。 |
4. 試験の「ひっかけ」ポイント
- ×「インタビューだけで十分な証拠とした」
- 解説: 絶対にNGです。口頭証拠は最も信頼性が低いため、必ず文書確認や観察と組み合わせる(トライアングレーション)必要があります。
- ×「観察した結果、年間を通じて問題なしと結論付けた」
- 解説: 観察は「点」の証拠です。「線(期間)」の保証はできません。
- ×「ウォークスルーで運用の有効性をテストした」
- 解説: 惜しいですが間違いです。ウォークスルーは「デザイン(設計)の評価」には最適ですが、「運用(実際に守られているか)」のテストには、通常、複数サンプルの抽出やデータ分析が必要です。
【練習問題】パート2 セクションB-1-a
Q1. 内部監査人は、新たに導入された「経費精算プロセス」の監査を開始した。監査人はまず、このプロセスの流れを理解し、主要なリスクとキーコントロール(重要な統制点)がどこに存在するかを特定したいと考えている。この目的に対して、最も効果的な手法はどれか。
A. 経費精算システムから過去1年間の全データを抽出し、データ分析を行う。
B. 経費精算担当者にインタビューを行い、業務マニュアルのコピーを入手して熟読する。
C. 典型的な経費申請を1件選び、申請から承認、支払、記帳に至るまでの全工程を追跡する(ウォークスルー)。
D. 承認権限者に対する質問票を作成し、コントロールに対する意識調査を実施する。
【解答・解説】
正解と解説を表示
正解(C): ウォークスルーは、取引の開始から終了までを追跡することで、プロセスの全体像、リスクの所在、コントロールの設計(デザイン)が適切かどうかを理解するために最も適した手法です。
不正解(A): データ分析は異常値の検出には有効ですが、プロセスの「仕組み」や「流れ」を理解する最初のステップとしては不向きです。
不正解(B): インタビューやマニュアル確認も有用ですが、実態とマニュアルが乖離している場合があるため、実際に追跡するウォークスルーの方が確実です。
不正解(D): 質問票は広範囲の意見収集には向いていますが、プロセスの具体的な流れやコントロールポイントの特定には間接的すぎます。
Q2. 内部監査人は、工場の在庫管理における「職務の分離(実物管理と記録担当の分離)」が適切に行われているかをテストしようとしている。文書上は担当者が分かれているが、実態を確認するために最も信頼性の高い証拠を提供する手法はどれか。
A. 在庫管理担当者にインタビューを行い、誰が記録を行っているかを確認する。
B. 予告なしに工場を訪問し、在庫の受入・出庫作業の様子を観察する。
C. 過去の在庫受払記録を抽出し、承認者のサイン(ログ)を確認する。
D. 在庫システムのアクセス権限リストをIT部門から入手し、レビューする。
【解答・解説】
正解と解説を表示
正解(B): 「職務の分離」や「物理的なセキュリティ」など、人間の行動に依存するコントロールの実態を確認するには、監査人が直接目で見る「観察」が最も信頼性の高い証拠となります。
不正解(A): インタビューでは「正しくやっています」と嘘をつかれる可能性があります。
不正解(C): サインやログは、パスワードを共有して代行入力している場合など、実態(共謀や手抜き)を隠している可能性があります。
不正解(D): アクセス権限リストは「システム上の設定」を確認するものであり、実際の現場でPCがロックされずに共有されているような状況(運用の不備)までは発見できません。
Q3. 内部監査人は、給与支払いプロセスにおいて「架空の従業員への支払い(幽霊社員)」が存在する可能性を懸念している。数千人の従業員がいる中で、このリスクを検出するための手法として、最も効率的かつ効果的なものはどれか。
A. 給与担当者が支払い処理を行う様子を観察し、不審な点がないか確認する。
B. ランダムに30人の従業員を抽出し(サンプリング)、その従業員が実在するか人事記録と照合する。
C. 一般化監査ソフトウェア(GAS)等のデータ分析ツールを使用し、住所、銀行口座番号、または社会保障番号が重複している従業員データを全件検索する。
D. 給与部門長にインタビューを行い、架空支払い防止のためのコントロールが機能しているか質問する。
【解答・解説】
正解と解説を表示
正解(C): データ分析(CAATs)を使用すれば、母集団全体(全従業員)を対象に、「同じ銀行口座への複数振り込み」や「同じ住所」などの不正の兆候(レッドフラグ)を瞬時に抽出できます。不正発見において最も強力なツールです。
不正解(A): 観察は目に見える作業しか確認できず、システム内の架空データを発見するのは困難です。
不正解(B): サンプリングは有効な手法ですが、不正がごく少数(例:数千人中の2人)の場合、サンプルに含まれない(見逃す)リスクがあります。
不正解(D): インタビューは重要ですが、もし部門長が不正に関与している場合、真実は語られません。証拠力としては弱いです。
