Contents
  1. テーマ:巨大な象をどう食べるか? ~業務プロセスの「解剖図」を作る~
  2. 【練習問題】パート2 セクションB-4-a

テーマ:巨大な象をどう食べるか? ~業務プロセスの「解剖図」を作る~

「購買プロセスを監査してください」と言われたとき、あなたはいきなり個々の伝票をチェックし始めますか? それは、地図を持たずにジャングルに入るようなものです。

まずは、その業務が「どこから始まって、どこで終わり、途中で何が起きているのか」という全体像を把握する必要があります。これを視覚化する技法が「プロセスマッピング」であり、その地図を意味のある区間に切り分けたものが「ワークフロー・セグメント」です。

試験では、文章や口頭の説明だけでなく、業務の流れを図式化してリスクやコントロールの欠陥(穴)を見つけ出す能力が問われます。

1. 導入:なぜ「マッピング」が必要なのか?

業務プロセスは、口頭やマニュアル(文章)だけでは見えにくいものです。 「Aさんが承認してBさんに渡す」という文章では問題なさそうに見えても、図にしてみると「Aさんが自分で申請して自分で承認している(職務分掌の不備)」ことが一発で分かったりします。

GIASでは、情報の分析手法として、プロセスの流れを視覚的に整理することを推奨しています。これにより、以下の「3つのムダ・ムラ・リスク」を発見できます。

  1. ボトルネック(Bottlenecks): 業務が滞留し、遅延が発生している場所。
  2. 重複(Redundancies): 別の部署で同じようなチェックを繰り返している無駄。
  3. コントロールの欠落(Control Gaps): リスクがあるのに、チェック機能が存在しない空白地帯。

2. 「ワークフロー・セグメント」の定義方法

巨大な業務プロセス(例:購買から支払まで)を一枚の図にしようとすると、複雑すぎて訳が分からなくなります。 そこで、監査人はプロセスを意味のある小さな塊(セグメント)に分割します。

分割のコツ:

  • 入力(Input)と出力(Output)で切る: ある活動の結果が、次の活動の開始条件になるところで区切ります。
  • 責任範囲で切る: 担当部署が変わるタイミング(ハンドオフ)は、情報伝達ミスや責任の所在が曖昧になりやすい重要な区切り目です。

例:購買プロセスのセグメント化

  1. 発注セグメント: 現場の「欲しい」から「注文書発行」まで。
  2. 受入セグメント: 「モノが届く」から「検収完了」まで。
  3. 支払セグメント: 「請求書到着」から「送金完了」まで。

このように分割することで、「受入セグメントにおける検品漏れリスク」のように、ターゲットを絞った監査が可能になります。

3. プロセスマップの構成要素

試験で出題されるフローチャート記号や要素の意味を理解しておきましょう。

  • 活動(Activity): 誰が何をするか(長方形で表されることが多い)。
  • 決定(Decision): Yes/Noで分岐する判断ポイント(ひし形で表される)。ここはリスクが高い場所です。もし「No」の場合のルートが定義されていないと、そこが抜け道になります。
  • 文書・データ(Document/Database): 証拠となる記録。
  • スイムレーン(Swimlane): 誰(どの部署)が担当しているかを縦または横のレーンで区切ったもの。職務分掌を確認するのに最適です。

4. マッピングによる「分析」の視点

セグメントを定義し、地図を描いたら、監査人はそこから「物語」を読み解きます。

  • 「承認」は適切な場所にあるか?
    • × 作業が終わった後に承認している(事後承諾では手遅れ)。
    • ○ 作業の前に承認がある(予防的コントロール)。
  • 「ループ」して戻るパスはあるか?
    • エラーや却下されたデータが、修正されずに放置されるルートになっていないか?
  • 「例外処理」はどうなっているか?
    • システムがダウンした時の手作業フロー(マニュアル対応)は定義されているか?

まとめ

セクションB-4-aのポイントは、「視覚化による理解」です。

内部監査人は、文字の羅列であるマニュアルを信じるのではなく、実際の業務の流れ(ワークフロー)をセグメントに分解し、図解することで、「ここがおかしい」という違和感を論理的に説明できるようになります。

「地図(マップ)を描くことは、監査のゴールではなく、リスクという宝物を探すためのスタート地点である」と心得てください。

【練習問題】パート2 セクションB-4-a

Q1. 内部監査人が「発注から支払(P2P)」プロセスを監査する際、最初のステップとして「プロセス・マッピング」を実施する主な目的として、最も適切なものはどれか。

A. 監査報告書に添付するための見栄えの良い図表を作成すること。

B. 業務プロセスの流れを視覚化し、リスクが存在するポイントやコントロールの欠落(ギャップ)を特定すること。

C. 監査対象部門の従業員に対して、正しい業務手順を教育・訓練すること。

D. 不正を行った特定の個人を特定し、その証拠を固めること。

【解答・解説】

正解と解説を表示

正解(B): プロセスマッピングの最大の目的は、複雑な業務の流れを視覚的に整理し、どこにリスクがあり、どこにコントロール(統制)が必要か、あるいは重複や無駄があるかを分析・特定することにあります。

不正解(A): 文書化は重要ですが、見栄えを良くすることが主目的ではありません。

不正解(C): 教育は経営陣や管理者の責任であり、内部監査人の一次的な目的ではありません。

不正解(D): プロセスマッピングはシステムや手順の欠陥を見つけるための分析手法であり、個人の不正調査(犯人特定)そのものを目的とするものではありません(結果として発見されることはありますが)。

Q2. ある製造会社では、原材料の「受入プロセス」において在庫差異が多発している。内部監査人がこのプロセスのワークフロー・セグメントを分析したところ、以下の事実が判明した。プロセスマップの分析から導き出される「根本原因」として最も可能性が高いものはどれか。

  • 事実1: トラック運転手が倉庫の入口に荷物を置く。
  • 事実2: 倉庫担当Aが荷物を受け取り、受領サインをする。
  • 事実3: その後、倉庫担当Bがシステムに数量を入力する。
  • 事実4: 担当Aから担当Bへの情報の引き継ぎ(ハンドオフ)に関する記録や照合の手順が存在しない。

A. トラック運転手が荷物を盗んでいる。

B. 倉庫担当Aと担当Bの間のセグメント境界における情報の断絶(ハンドオフの不備)。

C. 在庫管理システムの計算ロジックにバグがある。

D. 原材料の品質が悪く、破損しやすいためカウントが難しい。

【解答・解説】

正解と解説を表示

正解(B): ワークフロー・セグメント分析において最も注意すべきは、担当者や部署が変わる「境界(ハンドオフ)」です。このケースでは、物理的に受け取るAと、データ入力するBの間で「何個渡したか」という確認・記録プロセスが欠落していることが、マップ上の空白(コントロールギャップ)として特定できます。

不正解(A): 可能性の一つですが、プロセス分析から直接導かれる構造的な欠陥ではありません。

不正解(C): システムの問題である可能性もありますが、まずは目の前にある「業務フローのつながりの悪さ」が直接的な原因として疑われます。

不正解(D): これも要因の可能性はありますが、プロセス・フロー上の欠陥とは異なります。

Q3. 内部監査人は、給与支払いプロセスの監査において「スイムレーン(Swimlane)方式」のフローチャートを作成した。このタイプのマッピング技法を使用することで、監査人が最も発見しやすくなる不備はどれか。

A. 給与計算プログラムの処理速度の遅延(ボトルネック)。

B. 業界のベストプラクティスと比較した給与水準の低さ。

C. 同一の担当者が、従業員データの登録と給与支払の承認の両方を行っているという職務分掌の不備。

D. 過去3年間の給与支払い総額の変動傾向。

【解答・解説】

正解と解説を表示

正解(C): スイムレーン方式は、担当者や部署ごとにレーン(列)を分けて業務の流れを描きます。これにより、線が同じレーンの中で行ったり来たりしている場合や、本来分離されるべき権限(入力と承認など)が同じレーンにある場合、つまり「職務分掌(Segregation of Duties)」の違反を視覚的に発見するのに最適です。

不正解(A): ボトルネックの発見には役立ちますが、処理速度そのものよりは手順の流れに重点が置かれます。

不正解(B): これは外部ベンチマークとの比較分析で発見されるものであり、プロセスマップからは分かりません。

不正解(D): これは傾向分析(トレンド分析)によって発見される事項です。