【CIA試験講義】パート2 セクションB-2-b: 証拠の信頼性の決定要因
テーマ:その情報は「誰」が「どこ」から持ってきたのか? ~証拠の強さを決める4つの要因~
セクションB-2-bは、収集した証拠が「信用に足るものか(Reliability)」を判断するための詳細なルールです。 監査人は探偵のようなものです。犯人(=監査における発見事項)を特定するために、より説得力のある証拠を集めなければなりません。
試験では、複数の証拠の選択肢から「最も信頼性が高いものを選べ」あるいは「なぜこの証拠は信頼できないのか」を問う問題が頻出します。
1. 証拠の信頼性を高める「4つの最強要因」
GIASおよび監査の理論において、以下の条件を満たす証拠は信頼性が高いと判断されます。 試験では、この優先順位(ヒエラルキー)を瞬時に判断できるようにしてください。
① 独立した情報源(Independent Sources)
「身内」より「他人」の情報が強い。 組織内の人間(経営陣や被監査部署)は、自分たちに有利なように情報を歪める可能性があります。利害関係のない外部の第三者からの情報は、バイアスがかかっていないため信頼性が高くなります。
- 例:営業部長が作った「売掛金リスト」< 顧客から直接返信された「残高確認状」
② 直接的な入手(Direct Evidence)
「又聞き」より「目撃」が強い。 誰かが作った書類をレビューするよりも、監査人自身が自分の五感(視覚・聴覚など)を使って確かめた事実が最も強力です。
- 例:在庫管理表の閲覧 < 監査人による実地棚卸(実査)
③ 裏付け(Corroboration)
「一本足」より「二本足」が強い。 単独の証拠だけでなく、別の独立した情報源や別の方法で入手した証拠と突き合わせて、内容が一致している(裏付けが取れている)場合、その信頼性は飛躍的に高まります。
- 例:インタビュー証言のみ < インタビュー証言 + 防犯カメラの映像 + 入退室ログ
④ 有効なGRCプロセスを持つシステム(Effective GRC Systems)
「泥沼」より「清流」から汲んだ水がきれい。 これはGIASで特に強調される点です。証拠となるデータが抽出された「システム」や「プロセス」自体が信頼できるかどうかが問われます。 ガバナンス、リスク管理、コントロール(GRC)が有効に機能しているシステムから生成された情報は、統制が不備だらけのシステムから出た情報より信頼できます。
- 例:全員がパスワードを共有し、自由に修正可能なExcelの表 < アクセス制限と変更ログが完備された会計システムからの出力レポート
2. 試験における「信頼性の不等式」
試験問題を解く際は、以下の不等式をイメージしてください。
| 強い証拠(High Reliability) | > | 弱い証拠(Low Reliability) |
|---|---|---|
| 外部の証拠(銀行、弁護士、顧客) | > | 内部の証拠(従業員、管理者) |
| 監査人の直接知見(観察、実査) | > | 間接的な情報(質問への回答、文書閲覧) |
| 原本(オリジナル) | > | コピー、FAX、PDFスキャン |
| 文書化されたもの | > | 口頭での説明 |
| 統制が有効な環境下のデータ | > | 統制が不備な環境下のデータ |
3. 注意すべき「デジタル証拠」の落とし穴
現代の監査では、紙の書類よりも電子データを確認することが増えています。 ここで重要になるのが、先述の「④ 有効なシステム」の視点です。
「コンピュータから出力されたデータだから正しい」という思い込みは危険です。 試験では以下のような状況が出題されます。
シナリオ: 監査人は売上データを入手した。
ケースA: そのシステムは、入力時にエラーチェック機能があり、承認者以外はデータを書き換えられない。 → 信頼できる。
ケースB: そのシステムは、誰でもバックエンドでデータを修正でき、ログも残らない。 → 信頼できない。(たとえ見かけが綺麗なレポートでも、改ざんリスクがあるため)
つまり、「IT全般統制(ITGC)」が有効であることが、電子証拠の信頼性を保証する前提条件となります。
まとめ
セクションB-2-bのポイントは、「証拠の出生証明書」を確認することです。
- Who?(誰が作った? → 外部か、監査人本人なら最強)
- How?(どうやって入手した? → 直接か、裏付けはあるか)
- From Where?(どこから来た? → 堅牢なシステムからか、管理不在の場所からか)
このフィルターを通すことで、どの証拠を採用して監査報告書を書くべきかが見えてきます。
【練習問題】パート2 セクションB-2-b
Q1. 内部監査人が売掛金の評価(回収可能性)について監査を行っている。以下の証拠のうち、信頼性の観点から最も優先順位が低い(弱い)ものはどれか。
A. 顧客から内部監査人に直接郵送された、債務残高を確認する回答書。
B. 過去の入金履歴に基づき、システムが自動生成した売掛金年齢調べ表(エイジング・レポート)。なお、当該システムのIT全般統制は有効であると評価されている。
C. 経理担当者が口頭で説明した、特定の支払遅延顧客に関する回収見込みの状況。
D. 信用調査会社(外部機関)から入手した、主要顧客の信用格付けレポート。
【解答・解説】
正解と解説を表示
正解(C): 証拠の信頼性の原則において、「口頭による証拠」は「文書化された証拠」よりも信頼性が劣ります。また、経理担当者は内部の人間であり、事実を希望的観測で語る可能性があるため、客観的な外部証拠やシステム証拠に比べて信頼性は低くなります。
不正解(A): 外部の独立した第三者(顧客)から、監査人が直接入手した証拠であり、非常に信頼性が高いです。
不正解(B): 統制(コントロール)が有効なシステムから生成された文書証拠であり、信頼性は高いです。
不正解(D): 独立した第三者機関(外部)によって作成された文書であり、信頼性は高いです。
Q2. 建設プロジェクトの進捗状況を監査する際、監査人は「工事が報告通りに50%完了しているか」を検証しようとしている。最も信頼性が高い証拠となる手続はどれか。
A. 建設業者が毎月提出する進捗報告書(請求書添付)を閲覧し、数値を確認する。
B. プロジェクト・マネージャーにインタビューを行い、進捗状況と遅延の有無について聴取する。
C. 監査人が自ら建設現場に赴き、完了した工程を目視で確認し、現場の写真を撮影する。
D. 経理部門にある支払記録を確認し、契約総額の50%が支払済みであることを確認する。
【解答・解説】
正解と解説を表示
正解(C): 監査人の「直接的な個人的知見(観察)」は、他者が作成した文書や証言よりも信頼性が高いとされます。現場を自分の目で見ることは、報告書上の数字が真実かを確かめる最強の手段です。
不正解(A): 外部業者からの報告書であっても、過大請求のために虚偽報告がなされているリスクがあり、直接観察よりは信頼性が劣ります。
不正解(B): インタビュー(口頭証拠)は、裏付けがない限り信頼性は限定的です。
不正解(D): 支払いの事実は「お金が動いたこと」を証明するだけであり、「実際の工事が進んでいること」の直接的な証明にはなりません(前払い等の可能性があるため、関連性も低いです)。
Q3. 内部監査人は、在庫データの分析を行うために基幹システムからデータを抽出しようとしている。GIASに基づき、このデータ(証拠)の信頼性を評価する際に、監査人が考慮すべき要因として最も適切なものはどれか。
A. データ量が十分に多いかどうか(ビッグデータであるか)のみを確認する。
B. データの抽出元となるシステムにおいて、ガバナンス、リスク管理、およびコントロール(GRC)のプロセスが有効に機能しているかを確認する。
C. データがExcel形式で提供されているかを確認する(加工のしやすさを優先する)。
D. 経営陣がそのデータを「信頼できる」と断言しているかを確認する。
【解答・解説】
正解と解説を表示
正解(B): GIASでは、証拠の信頼性に影響を及ぼす要因として、「有効なガバナンス、リスク・マネジメント及びコントロールの各プロセスを有するシステムから収集すること」を明示しています。システムの統制(入力統制、アクセス管理、変更管理など)が有効であって初めて、出力されたデータの正確性が担保されます。
不正解(A): データの量は「十分性」には関係しますが、「信頼性(質)」を保証するものではありません。ゴミデータが大量にあっても意味がありません。
不正解(C): 形式(フォーマット)は使いやすさの問題であり、データの正確性や信頼性とは直接関係しません。むしろ加工しやすい形式は改ざんリスクを考慮する必要があります。
不正解(D): 経営陣の断言(内部者の主張)だけでは十分な証拠とはなりません。客観的なシステム統制の評価が必要です。
