Contents
  1. テーマ:「手作業」から「自動化」へ ~監査人の新しい武器庫~
  2. 【練習問題】パート2 セクションB-3-a

テーマ:「手作業」から「自動化」へ ~監査人の新しい武器庫~

かつての内部監査は、山積みの書類からランダムに数枚を抜き出してチェックする(サンプリング)のが主流でした。しかし、デジタル化が進んだ現代において、その手法だけではリスクを見逃す可能性があります。

セクションB-3-aでは、監査の効率(スピード・コスト)と有効性(発見能力・カバー率)を劇的に高めるためのテクノロジーツールについて学びます。

試験では、具体的な監査課題(例:大量データの照合、不正の予兆検知)に対して、「どのテクノロジーを使うのが最適解か?」をマッチングさせる問題が出題されます。

1. 監査ツール「4種の神器」とその使い分け

主要なテクノロジーを用途別に整理します。これらを混同しないことが試験攻略の鍵です。

① ロボティック・プロセス・オートメーション (RPA)
  • 役割: 「手」の代わり(定型作業の自動化)。
  • 特徴: ルールが決まっている単純な繰り返し作業を、24時間365日高速で処理します。
  • 監査での活用例:
    • 異なるシステム間でのデータ転記。
    • 全従業員の給与データの照合(計算間違いのチェック)。
    • 標準的な監査手続(チェックリスト消化)の自動実行。
  • 限界: 判断力はありません。「例外」が起きると止まります。
② 人工知能 (AI) / 機械学習 (Machine Learning)
  • 役割: 「脳」の拡張(パターン認識と予測)。
  • 特徴: 大量のデータから人間では気づかない「パターン」や「異常値(アノマリー)」を学習し、発見します。
  • 監査での活用例:
    • 経費精算データから「不正な兆候」がある申請を自動抽出する。
    • 契約書の山から「通常と異なる特約」が含まれるものを特定する。
    • センチメント分析(メール等の文面から従業員の不満や圧力のリスクを検知)。
③ 継続的モニタリング (Continuous Monitoring)
  • 役割: 「監視カメラ」(リアルタイムの異常検知)。
  • 特徴: 年に1回の監査ではなく、常にデータを監視し、リスクが顕在化した瞬間にアラートを出します。
  • 監査での活用例:
    • 重複支払いや限度額超過の取引が発生した瞬間に担当者に通知する。
    • システムのアクセスログを常時監視し、時間外の不正アクセスを検知する。
④ 埋込型監査モジュール (Embedded Audit Modules: EAM)
  • 役割: 「潜入捜査官」(システム内部での常駐監視)。
  • 特徴: アプリケーションプログラムの中に、監査用のプログラムコードを直接組み込みます。
  • 監査での活用例:
    • 取引が処理されるプロセスの中で、特定の条件(例:100万円以上の送金)に合致したデータを即座に別ファイルにコピー(SCARF手法など)して監査人が確認できるようにする。
    • 注意点: システム稼働中に常駐するため、システムパフォーマンスへの影響や、メンテナンスの難易度が高いという欠点があります。

2. ダッシュボードによる「可視化」

データを分析しただけでは意味がありません。それを経営陣や被監査部門にわかりやすく伝える必要があります。

  • ダッシュボード: KPI(重要業績評価指標)やKRI(重要リスク指標)をグラフやチャートで一覧表示するツール。 監査人はこれを見ることで、「今、どこが赤い(危険な)のか」を一目で把握し、監査リソースを重点配分できます。

3. 「効率的」かつ「効果的」とは?

GIASでは、テクノロジーの導入により以下の2点を達成することを求めています。

概念意味テクノロジーの効果
効率性 (Efficiency)少ない資源で成果を出す時間短縮、コスト削減、サンプリング作業の排除。
有効性 (Effectiveness)目的を達成する全件監査による網羅性、ヒューマンエラーの防止、より深い洞察。

4. 試験で狙われる「ひっかけ」ポイント

  1. ×「AIを導入すれば、監査人の専門的判断は不要になる」
    • 解説: 間違いです。AIは異常値を知らせてくれますが、「それがなぜ起きたか」「どう対処すべきか」を判断するのは人間の監査人です。テクノロジーは監査人を補完するものであり、代替するものではありません。
  2. ×「埋込型監査モジュール(EAM)は、あらゆるシステムに導入すべきベストプラクティスである」
    • 解説: EAMは開発コストが高く、システム動作に負荷をかけます。費用対効果を考慮し、リスクが高い重要なシステムに限定して適用すべきです。
  3. ×「RPAは、未知の不正パターンを発見するのに適している」
    • 解説: RPAは「言われたこと(プログラムされたルール)」しかできません。未知のパターンを見つけるのは「機械学習(AI)」の仕事です。

まとめ

セクションB-3-aの攻略法は、「適材適所」です。

  • ルーチンワークを爆速で処理したいなら → RPA
  • データの大海原から怪しい兆候を見つけたいなら → AI/機械学習
  • リアルタイムで監視し続けたいなら → 継続的モニタリング
  • システムの中から直接データを抜き取りたいなら → 埋込型監査モジュール
  • 状況を一目で把握したいなら → ダッシュボード

監査人は、これらツールの特性を理解し、監査の現場で「どのカードを切るか」を選択できなければなりません。

【練習問題】パート2 セクションB-3-a

Q1. 内部監査人は、数千件に及ぶ月次の銀行照合プロセス(帳簿残高と銀行残高の突合)において、単純な計算ミスや転記ミスがないかを確認する業務の効率化を検討している。この目的に対して最も「効率的かつ効果的」なテクノロジー・ソリューションはどれか。

A. 機械学習(Machine Learning)を用いて、照合データの傾向分析を行う。

B. ロボティック・プロセス・オートメーション(RPA)を導入し、照合作業と差異の抽出を自動化する。

C. ブロックチェーン技術を導入し、銀行取引の改ざん防止を強化する。

D. 埋込型監査モジュール(EAM)を銀行のシステムにインストールする。

【解答・解説】

正解と解説を表示

正解(B): RPA(Robotic Process Automation)は、ルールが明確で反復的なタスク(照合、計算、転記など)の自動化に最適です。人間が行うよりも高速かつ正確に処理でき、監査の効率性を劇的に向上させます。

不正解(A): 機械学習は「未知のパターン」や「予測」に適していますが、ルールベースの単純照合にはオーバースペック(過剰機能)であり、RPAの方が適しています。

不正解(C): ブロックチェーンはデータの「信頼性・改ざん防止」には役立ちますが、照合作業自体の効率化(自動化)の直接的なソリューションではありません。

不正解(D): 銀行のシステム(外部)に監査人がモジュールを埋め込むことは、セキュリティおよび権限上、現実的ではありません。

Q2. 内部監査部門は、全社的な経費精算データの中から、不正の疑いがある「異常な取引パターン」を検出したいと考えている。不正の手口は多様であり、事前に明確なルール(閾値など)を設定することは困難である。この場合、最も適切なテクノロジーはどれか。

A. 継続的モニタリング(Continuous Monitoring)による閾値アラート

B. スプレッドシートマクロによるデータ集計

C. 人工知能(AI)および機械学習によるアノマリー(異常)検知

D. ダッシュボードによる経費総額の推移表示

【解答・解説】

正解と解説を表示

正解(C): AIや機械学習は、大量のデータセットから学習し、人間が事前にルール定義できないような複雑なパターンや、通常とは異なる異常値(アノマリー)を特定するのに優れています。

不正解(A): 継続的モニタリングは有効ですが、閾値(例:10万円以上)を設定する必要があるため、「事前にルール設定が困難」な未知の不正パターンの発見にはAIに劣ります。

不正解(B): マクロはRPAの前身のようなもので、定型処理には向きますが、複雑なパターンの発見には不向きです。

不正解(D): ダッシュボードは「全体像の可視化」には役立ちますが、個々の異常な取引パターンを自動的に検出する機能(分析・推論)は持ちません。

Q3. 埋込型監査モジュール(Embedded Audit Modules: EAM)の使用に関する記述として、最も適切なものはどれか。

A. EAMは、システム開発完了後に、外部からアドオンソフトとして簡単に追加することができるため、コスト効率が良い。

B. EAMは、監査人が対象システムのプログラムコード内に監査用のコードを組み込み、トランザクション処理と同時にリアルタイムでデータをモニタリングまたは抽出する手法である。

C. EAMを使用すれば、サンプリング監査を行う必要がなくなるため、データ分析スキルを持たない監査人でも容易に運用できる。

D. EAMは、主にオフラインのバックアップデータを分析するために使用され、本番稼働中のシステムには影響を与えない。

【解答・解説】

正解と解説を表示

正解(B): これがEAMの正確な定義です。システム内部(アプリケーションコード)に常駐し、処理の瞬間に監視を行うため、極めて即時性の高い監査証拠を入手できます。

不正解(A): EAMは通常、システム設計・開発段階で組み込む必要があり、稼働後の追加は困難かつ高コストになりがちです。

不正解(C): 全件監査が可能になる点はメリットですが、EAMの設計や維持管理には高度なIT知識が必要であり、運用は容易ではありません。

不正解(D): EAMは「本番稼働中のシステム(オンライン)」の中で動くものであり、それゆえにシステムパフォーマンスへの影響(負荷)を考慮する必要があります。