Contents
  1. テーマ:「見えない流れ」を可視化する ~プロセス・マッピング、ウォークスルー、職務分担表~
  2. 【練習問題】パート2 セクションB-4-b

テーマ:「見えない流れ」を可視化する ~プロセス・マッピング、ウォークスルー、職務分担表~

セクションB-4-bは、収集した情報をもとに、業務プロセスが「実際にどう動いているか」を解剖し、そこに潜むリスクやコントロールの欠陥を見つけ出すテクニックに関する領域です。

試験では、「どの目的のために、どのツール(図法・手法)を使うのがベストか?」という判断力が問われます。

1. なぜ「可視化」が必要なのか?

内部監査人は、大量のマニュアルや規定書(文字情報)だけを読んで満足してはいけません。 「ルール上はこうなっている」ということと、「現場で実際に起きていること」には必ずギャップがあるからです。

このギャップを埋め、コントロールのデザイン(設計)が適切かどうかを評価するために、以下の3つの主要なツールを使用します。

2. 主要な3つの分析ツール

① プロセス・マッピング(Process Mapping)

業務の流れを記号と線で図式化したもの(フローチャートなど)。

  • 目的: 業務の全体像、情報の流れ、文書の流れを把握する。
  • 発見できること:
    • プロセスのボトルネック(滞留)
    • 不必要な重複作業
    • コントロールの欠落(あるべき場所に承認印の欄がない、など)
    • 責任の所在が不明確な箇所

★試験対策ポイント: 「複雑なプロセスを理解し、非効率やコントロールの弱点を特定するのに最も役立つ手法は?」と聞かれたら、答えは「プロセス・マッピング(フローチャート)」です。

② ウォークスルー(Walkthrough)

特定の取引(トランザクション)を1つ選び、プロセスの「入口」から「出口」まで、実際にシステムや書類を追跡して確認する作業。

  • 目的: 作成したプロセスマップ(理解)が、現実と合っているかを検証する(デザインの有効性の確認)。
  • 特徴: 通常、大量のサンプルテストを行う「前」の段階(予備調査や計画段階)で実施されます。
  • 注意点: ウォークスルーは「仕組みが存在し、機能していること」を確認できますが、長期間にわたって常に機能していたか(運用状況の有効性)を証明する証拠としては弱いです。
③ 職務分担表(Segregation of Duties Matrix / SoD Matrix)

誰がどの業務を担当しているかをマトリクス(表)形式で整理したもの。

  • 目的: 「職務分掌(SoD)の不備」を見つけること。
  • 基本ルール: 以下の機能は、同一人物が兼務してはなりません。
    1. 資産の管理(Custody):現金を預かる、在庫を管理する。承認(Authorization):支払いを承認する、発注を許可する。記録(Record keeping):帳簿をつける、システムに入力する。
    ※これらを兼務すると、エラーや不正を一人で隠蔽できてしまうからです。

3. 分析の進め方(GIASのアプローチ)

GIAS(新基準)では、監査人が専門的な懐疑心を持ってプロセスを評価することを求めています。

  1. 文書化: マニュアル等を読み、ドラフトのフローチャートを作る。
  2. 検証(ウォークスルー): 実際の担当者にヒアリングしながら、1つの取引を追いかけ、フローチャートを修正する。
  3. 分析(マッピング&SoD):
    • 「ここで承認が必要なのに抜けている」(マッピングで発見)
    • 「入力担当者が、システムの設定変更権限も持っている」(SoD表で発見)
  4. 評価: コントロールのデザイン(設計)自体に欠陥がないか結論づける。

4. 試験で狙われる「ひっかけ」ポイント

  1. ×「ウォークスルーを行えば、内部統制が一年を通じて有効に機能していたと結論付けられる」
    • 解説: 間違いです。ウォークスルーはあくまで「その時点でのスナップショット(デザインの確認)」です。「運用の有効性」を確認するには、サンプリングによる運用テストが必要です。
  2. ×「フローチャートは、ITシステム監査でのみ使用される」
    • 解説: 誤りです。購買、経理、製造など、あらゆる業務プロセス分析で有効です。
  3. ×「職務分担(SoD)ができない小規模な組織では、監査人は『統制不能』と報告すべきだ」
    • 解説: 実務的ではありません。SoDが難しい場合、「代替的なコントロール(経営者による直接監視や事後の詳細レビューなど)」が存在するかを確認するのが正解です。

まとめ

このセクションの極意は、「ツールと目的のセット」を覚えることです。

  • 全体像と非効率を見たいプロセス・マッピング
  • 理解が正しいか確かめたいウォークスルー
  • 権限の重複(不正リスク)を見たい職務分担表(SoD表)

これらを駆使して、監査人は「机上の空論」ではない、実態に即した分析を行います。

【練習問題】パート2 セクションB-4-b

Q1. 内部監査人は、購買プロセスにおける「架空発注」のリスクを評価するために、プロセスの全体像を可視化しようとしている。特に、発注から支払いまでの承認ポイントと書類の流れにおいて、コントロールが欠落している箇所を特定するのに最も効果的な技法はどれか。

A. 職務分担表(SoDマトリクス)の作成

B. 過去の支払いデータに対する一般化監査ソフトウェア(GAS)の使用

C. フローチャート(プロセス・マッピング)の作成

D. 購買部門長への質問書の送付

【解答・解説】

正解と解説を表示

正解(C): フローチャート(プロセス・マッピング)は、業務の流れ、文書の移動、およびコントロール(承認など)の所在を視覚的に表現するのに最適です。「どこにコントロールがないか」という欠落(ギャップ)を発見するのに最も適したツールです。

不正解(A): 職務分担表は、権限の兼務(誰が何をしているか)の分析には最適ですが、プロセスの流れや承認ポイントの順序を確認するのには適していません。

不正解(B): GASによるデータ分析は、過去の不正の兆候を見つける実証性テストには有効ですが、プロセスの「設計上の欠陥(コントロールの欠落)」を視覚的に特定するツールではありません。

不正解(D): 質問書は主観的な回答に依存するため、客観的なプロセスの欠陥特定には弱いです。

Q2. 内部監査人は、新しい会計システムの導入に伴い、システムの自動計算ロジックや承認ルートが設計通りに実装されているかを確認したいと考えている。本格的な運用テストを行う前に、システムの設計理解が正しいことを検証するための手続きとして、最も適切なものはどれか。

A. ウォークスルー

B. 属性サンプリング

C. 統計的サンプリング

D. 回帰分析

【解答・解説】

正解と解説を表示

正解(A): ウォークスルーは、取引の開始から終了までを追跡し、プロセスやコントロールが監査人の理解通り(設計通り)に存在しているかを確認する手法です。本格的なテストの前段階として、理解の正確性を検証するのに最適です。

不正解(B・C): サンプリングは、コントロールが「一定期間、継続して有効に機能していたか(運用の有効性)」をテストする際に使用されます。設計理解の確認段階では非効率です。

不正解(D): 回帰分析は、変数間の関係性を推定する分析的手続きであり、プロセスの流れを確認するものではありません。

Q3. 小規模な支店の監査において、内部監査人は「現金受領担当者」が「売掛金台帳の消込入力」も行っていることを発見した。この状況に関連するリスクを評価するために監査人が作成すべき資料として、最も適切なものはどれか。また、この状況が示唆するリスクは何か。

A. プロセス・マップを作成し、業務処理の遅延リスクを評価する。

B. 職務分担(SoD)表を作成し、不正の隠蔽リスクを評価する。

C. 散布図を作成し、現金過不足の傾向リスクを評価する。

D. 組織図を作成し、指揮命令系統の混乱リスクを評価する。

【解答・解説】

正解と解説を表示

正解(B): 「資産の管理(現金受領)」と「記録(消込入力)」の兼務は、職務分担(SoD)の典型的な不備です。この兼務により、担当者は現金を着服し、それを隠すために台帳を不正に操作(消込)することが可能になります(隠蔽リスク)。これを可視化するにはSoD表が最適です。

不正解(A): プロセス・マップは流れを見ますが、権限の兼務によるリスクを特定するにはSoD表の方が直接的です。また、このケースの主要リスクは遅延ではなく不正です。

不正解(C): 散布図はデータの相関を見ますが、権限の問題は発見できません。

不正解(D): 組織図は形式的な上下関係を示しますが、具体的な実務レベルでの権限兼務のリスクまでは表現しきれません。