【CIA試験講義】パート2 セクションB-1-b: 適切な文書・ツールの決定
テーマ:監査の「地図」と「コンパス」 ~方針、質問書、CSAの使い分け~
セクションB-1-bは、情報を入手するために、どのような文書(ドキュメント)を参照し、どのようなツールを使って現状を把握すべきかを決定するプロセスです。
試験では、「方針・手続書(あるべき姿)」と「質問書・アンケート(現状の姿)」の性質を理解し、状況に応じて適切なツールを選択できるかが問われます。
1. 導入:なぜ「文書」から始めるのか?
監査現場(フィールドワーク)に行く前に、監査人はまず「文書」を確認します。なぜなら、GIAS(グローバル内部監査基準)において、監査所見を出すためには「基準(Criteria)=あるべき姿」の確立が不可欠だからです。
- ルール(方針)を知らなければ、違反(例外)を見つけることはできません。
2. 主要な4つの文書・ツールとその役割
ここでは、試験で頻出の4つのツールについて解説します。
① 方針および手続書(Policies and Procedures)
- 役割: 「基準(Criteria)」そのもの。組織が定めた「ルール」と「やり方」。
- 監査での使用: これを読み込むことで、監査人は「何が正しい状態か」を理解します。
- 注意点: 文書が存在しない、あるいは古すぎて実態と合っていない場合、それ自体が「コントロールの不備」という発見事項になります。
② チェックリスト(Checklist)
- 役割: 定型的な作業の「漏れ」を防ぐための確認一覧表(Yes/No形式が多い)。
- メリット:
- 誰がやっても同じ品質を保てる(均質化)。
- 確認漏れ(完全性の欠如)を防ぐ。
- デメリット:
- 「思考停止」を招く。 リストにあることしかしなくなり、リスト外の異常に気づけなくなる(トンネル視)。
- 創造的な監査の阻害要因になることがある。
③ 内部統制質問書(ICQ: Internal Control Questionnaires)
- 役割: 監査人が被監査部門に対し、「コントロールが存在するか」を問う質問集。
- 形式: 「現金の照合は毎日行われていますか?(Yes/No)」
- Noという回答は、即座にコントロールの欠陥(弱点)を示唆します。
- 特徴: 監査の初期段階で、コントロールのデザイン(設計)上の不備を見つけるのに有効です。
④ 統制自己評価(CSA: Control Self-Assessment)
- 役割: 監査人が一方的にチェックするのではなく、現場のスタッフ自身がリスクとコントロールを評価する手法。
- 形式: ワークショップ(ファシリテーション付きの会議)やアンケート調査。
- メリット:
- ソフト・コントロール(組織風土、倫理観)の評価に最適。
- 現場の「当事者意識(オーナーシップ)」が高まる。
- 監査人が気づかない現場特有のリスクを吸い上げられる。
- 監査人の役割: 検査官ではなく、「ファシリテーター(促進者)」として振る舞うことが求められます。
3. 「質問書」と「CSA」の決定的な違い
試験では、伝統的な「ICQ」と、現代的な「CSA」の比較がよく問われます。
| 特徴 | ICQ(内部統制質問書) | CSA(統制自己評価) |
|---|---|---|
| 主語 | 監査人が聞く | 現場が自ら語る |
| アプローチ | ハード・コントロール寄り (手続き、ルールの有無) | ソフト・コントロール寄り (意識、文化、動機) |
| 発見できること | 形式的な不備、デザインの欠陥 | 非公式なプロセス、現場の悩み、根本原因 |
| 監査人の立ち位置 | 評価者(Evaluator) | 促進者(Facilitator) |
4. 試験の「ひっかけ」ポイント
- ×「チェックリストを使用すれば、経験の浅い監査人でも完璧な監査ができる」
- 解説: 間違いです。チェックリストは「確認漏れ」は防げますが、「判断」はできません。リストにない異常な取引を見逃すリスク(いわゆる「木を見て森を見ず」)があります。
- ×「ICQの回答ですべて『Yes』が得られたため、コントロールは有効であると結論付けた」
- 解説: 典型的なNG行動です。質問への回答はあくまで「主張」であり、裏付け(検証テスト)なしに証拠として採用してはいけません。
- ×「CSAを実施すれば、実証性テスト(詳細テスト)は不要になる」
- 解説: CSAはリスク評価や課題抽出には有効ですが、それだけで「財務数値が正確である」といった客観的な保証を与えることはできません。監査人は依然として検証を行う必要があります。
5. まとめ
セクションB-1-bのポイントは、「道具の特性理解」です。
- ルールを知りたい → 方針・手続書を見る
- 漏れなく確認したい → チェックリストを使う
- コントロールの設計不備を知りたい → ICQを送る
- 現場の意識や隠れたリスクを知りたい → CSAを行う
監査人は、これらをパズルのように組み合わせ、最も効率的に真実にたどり着く方法を選ばなければなりません。
【練習問題】パート2 セクションB-1-b
Q1. 内部監査人は、支店監査において、支店長および主要なスタッフを集めてワークショップを開催し、業務上のリスクやコントロールの現状について議論してもらう手法を採用した。この「統制自己評価(CSA)」アプローチを採用する主な利点として、最も適切なものはどれか。
A. 監査人が詳細なテストを行う必要がなくなり、監査時間を大幅に短縮できる。
B. 参加者(現場スタッフ)が自らの業務におけるリスクと責任を再認識し、コントロールへの当事者意識(オーナーシップ)が向上する。
C. 監査人が作成した厳格なチェックリストに基づき、すべての違反事項を網羅的に摘発できる。
D. 外部監査人に対して、内部統制報告書の作成を委託することができる。
【解答・解説】
正解と解説を表示
正解(B): CSA(統制自己評価)の最大のメリットは、「教育効果」と「意識向上」です。現場の人々が自らリスクについて話し合うことで、押し付けられたルールではなく「自分たちの問題」として捉えるようになります(ソフト・コントロールの強化)。
不正解(A): CSAはリスク評価の手法であり、客観的な裏付けを取るための監査テスト(検証)を完全に代替するものではありません。
不正解(C): CSAは「厳格なチェックリストによる摘発」ではなく、「対話による改善」を重視します。
不正解(D): CSAは内部監査の手法であり、外部報告書の作成委託とは無関係です。
Q2. 経験の浅い内部監査人が、複雑なデリバティブ取引の監査を担当することになった。監査マネージャーは、この監査人に詳細な「チェックリスト」を使用して監査を行うよう指示した。この状況におけるチェックリスト使用の最大の欠点は何か。
A. チェックリストの項目に従うことで、監査の手順が一貫性を持ち、文書化が容易になる。
B. チェックリストに記載されていない予期せぬリスクや異常な取引パターンに対して、監査人が注意を払わなくなる可能性がある。
C. チェックリストを使用すると、被監査部門に対する威圧感が増し、協力が得られなくなる。
D. デリバティブ取引のような高度な業務には、チェックリストは物理的に作成不可能である。
【解答・解説】
正解と解説を表示
正解(B): チェックリストの最大の弊害は、機械的な作業に陥り、リスト外の事項に対する批判的思考(クリティカル・シンキング)が失われることです。特に複雑な業務では、リスト外にこそ大きなリスクが潜んでいる可能性があります。
不正解(A): これは欠点ではなく「利点」の説明です。
不正解(C): 一般的にチェックリストの使用自体が威圧感を与えるわけではありません。
不正解(D): 複雑な業務であってもチェックリストを作成することは可能であり、基本的な確認事項を網羅するためには有用です。
Q3. 内部監査人は、購買業務の予備調査段階において「内部統制質問書(ICQ)」を購買部長に送付し、回答を入手した。回答には「すべての発注書は、システム入力前に上長によって承認されている」と記載されていた。この情報に対する監査人の適切な対応はどれか。
A. 購買部長の回答を信頼し、承認プロセスに関するコントロールは有効であると結論付けて、次の監査領域に進む。
B. 回答はあくまで自己申告であるため、実際の取引記録を抽出し、システム入力前に承認の痕跡(サインや電子承認)があるかをテストする。
C. 質問書の回答は証拠能力がないため破棄し、最初から観察のみで監査を行う。
D. 回答内容が真実であることを宣誓する署名を購買部長に求め、署名が得られれば検証テストを省略する。
【解答・解説】
正解と解説を表示
正解(B): 質問書(ICQ)やインタビューで得られた情報は「証言証拠」であり、信頼性は低いです。監査人は必ず、文書閲覧や再実施などの手法を用いて、その回答が事実かどうかを「裏付け(Corroboration)」しなければなりません。
不正解(A): 裏付けなしに結論を出すことは、監査基準違反(十分な情報の入手不足)となります。
不正解(C): 破棄する必要はありません。ICQは「どこを重点的にテストすべきか」を決める手がかりとして有用です。
不正解(D): 署名をもらっても、監査人が直接検証する義務(テスト)は免除されません。
