Contents
  1. テーマ:料理の手順で覚える「データ分析の5ステップ」
  2. 【練習問題】パート2 セクションB-4-d

テーマ:料理の手順で覚える「データ分析の5ステップ」

セクションB-4-dは、データ・アナリティクス(DA)を単なる「ツール操作」ではなく、計画から報告までの一連の「プロセス」として理解する領域です。

試験では、ソフトウェアの使い方は問われません。問われるのは、「正しい順序でアプローチできているか」「各段階で注意すべきリスクは何か」です。

1. データ・アナリティクスの5段階プロセス

データ分析は、いきなりデータをPCに読み込ませることから始まるのではありません。GIASおよび一般的な監査フレームワークでは、以下のプロセスを推奨しています。

ステップ①:目的の定義(Defining the Question)

最も重要なステップです。「何を知りたいのか?」を明確にします。 これがないと、単なる「データいじり」や「フィッシング(当てずっぽうな探索)」に終わります。

イメージ:
料理を作る際、まず「カレーを作る」と決めること。これがないと具材(データ)が選べません。

ステップ②:関連データの取得(Obtaining the Data)

目的に必要なデータがどこにあるか特定し、入手します。 ここで重要なのは「データの信頼性と完全性」の確認です。「システムから抽出したデータは、本当に改ざんされていないか?」「抽出漏れはないか?」を検証する必要があります。

ステップ③:データの正規化・クレンジング(Cleaning and Normalizing)

実務で最も時間がかかる工程(全体の約60〜80%)です。 異なるシステムからのデータを結合したり、日付の形式(YYYY/MM/DD と DD/MM/YYYYなど)を統一したり、空白や重複を除去します。

  • 正規化(Normalization): データを分析可能な標準形式に整えること。
  • GIGOの原則: “Garbage In, Garbage Out”(ゴミを入れたらゴミしか出てこない)。汚いデータを分析しても、間違った結論しか導き出せません。
ステップ④:データ分析(Analyzing the Data)

実際にデータに対してテストを行います。分析の成熟度には4つのレベルがあります。

  1. 記述的(Descriptive): 何が起きたか?(例:過去の売上合計)
  2. 診断的(Diagnostic): なぜ起きたか?(例:異常値の原因追及)
  3. 予測的(Predictive): 何が起きそうか?(例:回帰分析による将来予測)
  4. 処方的(Prescriptive): 何をすべきか?(例:最適化シミュレーション)
ステップ⑤:結果のコミュニケーション(Communicating Results)

分析結果を監査報告書やダッシュボードにまとめます。 複雑な統計結果を、経営陣が直感的に理解できる「データ・ビジュアライゼーション(視覚化)」に変換する能力が求められます。

2. なぜ「全量検査」が重要なのか?

従来の監査は「サンプリング(一部を抽出)」が主流でしたが、データ・アナリティクスを使えば「全量(100%)」をテストできます。 これにより、サンプリング・リスク(たまたま異常を見逃すリスク)をゼロにし、異常値(外れ値)をピンポイントで特定することが可能になります。

3. 試験で狙われる「ひっかけ」ポイント

  1. ×「とりあえず全てのデータをダウンロードしてから、何かおかしな点がないか探すべきだ」
    • 解説: 間違いです。ステップ①「目的の定義」が先です。目的のない探索は非効率であり、誤った相関関係を見つけてしまうリスクがあります。
  2. ×「IT部門から受け取ったデータは、システムから直接抽出されたものなので、検証なしに使用してよい」
    • 解説: 危険です。抽出条件が間違っている可能性や、転送中にデータが欠損している可能性があります。監査人は必ずデータの完全性正確性を自ら確かめる必要があります。
  3. ×「データ・アナリティクスは、IT監査人だけが使用する専門技術である」
    • 解説: 誤りです。現在は全ての内部監査人が、通常の業務監査や不正調査において活用すべきスキルとされています。

まとめ

セクションB-4-dのポイントは、「順序」「準備の重要性」です。

  • If 分析結果がおかしい、または分析できない
  • Then 原因の多くは「分析手法」ではなく、その前の「データの正規化(クレンジング)」や「目的設定」の失敗にある。

監査人は、PCを操作する時間よりも、「何を分析するか考える時間」「データを綺麗にする時間」を大切にすべきです。

【練習問題】パート2 セクションB-4-d

Q1. 内部監査人が経費精算の不正リスクを検証するためにデータ・アナリティクスを実施しようとしている。以下のプロセスのうち、最初に行うべき手順はどれか。

A. IT部門に依頼し、過去3年間の全経費データを抽出する。

B. データ内の日付フォーマットを統一し、重複データを除去する(正規化)。

C. 「どのような経費パターンが不正の兆候を示すか」という監査の問い(目的)を明確にする。

D. 記述的分析を行い、部門ごとの経費合計額を算出する。

【解答・解説】

正解と解説を表示

正解(C): データ・アナリティクスのプロセスは、まず「目的の定義(何を明らかにしたいか)」から始まります。具体的な問い(仮説)を設定することで、必要なデータや分析手法が決定されます。

不正解(A): データの取得は、目的を定義した後に行うステップです。

不正解(B): データの正規化・クレンジングは、データを取得した後、分析の前に行うステップです。

不正解(D): 分析の実行は、データが準備された後に行うステップです。

Q2. 内部監査人は、異なる2つの販売システムからデータを抽出し、顧客ごとの総購入額を分析しようとしたが、顧客名の表記揺れ(例:「ABC Corp」と「ABC Corporation」)が多く、正しく集計できなかった。この問題を解決するために、監査人がデータ分析の前に行うべきプロセスはどれか。

A. データの暗号化

B. データの正規化(クレンジング)

C. データの視覚化

D. データのアーカイブ

【解答・解説】

正解と解説を表示

正解(B): データの正規化(またはクレンジング)は、表記の揺れを統一し、重複を排除し、分析可能な状態にデータを整形するプロセスです。「GIGO(ゴミを入れたらゴミが出る)」を防ぐための不可欠な工程です。

不正解(A): 暗号化はセキュリティ対策であり、データの質を整えるものではありません。

不正解(C): 視覚化は分析結果を伝えるための最終段階のプロセスです。

不正解(D): アーカイブはデータの保存に関するプロセスです。

Q3. 複雑なデータ分析の結果を経営陣や取締役会に報告する際、監査人が留意すべき「コミュニケーション」のあり方として、最も適切なものはどれか。

A. 分析に使用したSQLコードや統計計算式をすべて添付し、結果の正確性を技術的に証明する。

B. 分析結果の解釈は受け手に委ねるため、生のデータテーブルをそのまま提示する。

C. グラフやダッシュボードなどのデータ・ビジュアライゼーション(視覚化)技法を用い、傾向や異常値を直感的に理解できるようにする。

D. データ分析はあくまで補助的な手段であるため、報告書には記載せず、口頭でのみ言及する。

【解答・解説】

正解と解説を表示

正解(C): データ・アナリティクスの最終ゴールは、洞察(インサイト)を提供し、意思決定を支援することです。専門外のステークホルダーにも理解できるよう、ビジュアライゼーションを用いて複雑なデータを「見える化」することが極めて重要です。

不正解(A): 技術的な詳細は監査調書に残すべきですが、経営陣への報告としては専門的すぎて不適切です。

不正解(B): 生データの羅列では、重要なメッセージやリスクが伝わりません。

不正解(D): 分析結果は重要な監査証拠であり、客観的な根拠として報告書に含めるべきです。