【CIA試験講義】パート2 セクションB-6-c: 発見事項の重大性を判断する要因を評価する

Contents

テーマ：「かすり傷」か「骨折」か？～発見事項のトリアージ診断～
【練習問題】パート2 セクションB-6-c

テーマ：「かすり傷」か「骨折」か？～発見事項のトリアージ診断～

セクションB-6-cは、監査で見つけた「問題（発見事項）」が、組織にとってどの程度ヤバイのかを判定するプロセスです。

試験では、単に「ミスがあった」という事実だけでなく、それが「組織の目標達成を阻害するレベルかどうか」を論理的に判断する力が問われます。

1. 導入：「So What?（だから何？）」の壁

監査人が「基準（あるべき姿）」と「現状（実際の姿）」の差異を見つけたとき、それは「発見事項（Observation/Finding）」となります。しかし、すべての発見事項が報告書に太字で書かれるべき重大な問題とは限りません。

ケースA： 100万件のデータ処理で、1件だけ入力ミスがあった（100円の誤差）。
ケースB： 経理部長が承認なしで会社資金を私的流用できる状態にあった（被害額はまだ0円）。

★ポイント： 金額的な実害（ケースA）があっても「軽微」と判断されることもあれば、実害がゼロ（ケースB）でも「極めて重大」と判断されることもあります。この判断を行うために評価すべき「要因（Factors）」を学ぶのが本セクションです。

2. 重大性を決定する「4つの主要因」

GIAS（グローバル内部監査基準）や実務慣行において、発見事項の重大性を評価する際は、以下の掛け算で考えます。

① 影響度（Magnitude / Impact）

その問題が発生した結果、どのような損害が生じるか？

財務的影響： 金額の大きさ。
非財務的影響： 法令違反、人命の安全、評判（レピュテーション）の失墜、業務停止期間など。

試験対策：金額が小さくても「評判」や「法令」に関わるものは重大性が跳ね上がります。

② 発生可能性（Likelihood / Frequency）

それは「たまたま」起きたのか、「頻繁に」起きているのか？

単発的（Isolated）： 人的ミスなど、偶発的なもの。
体系的・構造的（Systemic）： システムのバグや、手順書の不備など、放っておくと何度も繰り返されるもの。

③ 性質（Nature）

その問題の本質は何か？

エラー（過誤）： 意図しないミス。
不正（Fraud）： 意図的な悪用。

重要：「不正の兆候」は、たとえ金額が少額でも、組織の統制環境（倫理観）が崩壊していることを示すため、自動的に「重大」とみなされます。

④ 代替統制・補完統制（Compensating Controls）の有無

ここが試験の合否を分けるポイントです。あるコントロールが機能していなくても、別のコントロールがそのリスクをカバー（補完）しているなら、発見事項の重大性は下がります。

イメージ：メインのブレーキが壊れていても、サイドブレーキと自動停止システムが生きていれば、事故のリスク（重大性）は下がる。

3. 発見事項のランク付け（グレーディング）

評価した結果、発見事項は通常、以下のような階層に分類されます（組織により呼称は異なります）。

ランク	特徴	報告の宛先
軽微（Insignificant）	目標達成に影響を与えない些細な逸脱。単発的なエラー。	現場の管理者に口頭またはメモで伝え、修正を促す。（公式報告書には載せないことも多い）
重大（Significant）	修正されない場合、業務単位の目標達成に悪影響を及ぼす可能性がある。	上級管理職および担当部門長に報告し、是正措置を求める。
極めて重大（Material / Critical）	組織全体の目標、評判、存続に関わるリスク。または、取締役会が知るべき重大な不正。	取締役会（監査委員会）および最高経営責任者（CEO）に直ちに報告する。

4. 試験で狙われる「ひっかけ」ポイント

×「金額が小さい発見事項は、常に軽微である」
- 解説： 間違いです。例えば「コンプライアンス違反」や「経営陣による統制の無効化（承認無視）」は、金額がゼロでも組織を揺るがす重大な問題です。
×「発見事項の重大性は、監査人の主観だけで決定する」
- 解説： 監査人の専門的判断は重要ですが、それは「組織のリスク選好（Risk Appetite）」や「評価規準」と照らし合わせた客観的な根拠に基づく必要があります。
×「代替統制が機能していても、メインの統制が失敗していれば『重大』と報告すべきだ」
- 解説： 「コントロールの不備」としては記録しますが、代替統制によってリスクが軽減（Mitigate）されているなら、発見事項としての「残余リスクの重大性」は低く評価すべきです。リスクの実態を見ることが重要です。

まとめ

セクションB-6-cのポイントは、「文脈（Context）を読む」ことです。

ただのミスか、仕組みの欠陥か？（発生可能性）
お金の問題か、信頼の問題か？（影響度・性質）
命綱（代替統制）はあるか？

これらを総合的に評価し、「これは今すぐ取締役会に言うべきか、現場に直させるだけでいいか」を仕分けるトリアージ能力が求められます。

【練習問題】パート2 セクションB-6-c

Q1. 内部監査人は、支店の小口現金の監査において、500円の使途不明金を発見した。金額は組織の財務諸表における重要性（マテリアリティ）の基準値を大きく下回っている。しかし、調査の結果、この不明金は支店長が個人的な飲食費を隠蔽するために意図的に操作したものであることが判明した。この発見事項の重大性評価に関する記述として、最も適切なものはどれか。

A. 金額が財務的な重要性基準を下回っているため、「軽微な発見事項」として評価し、支店長に口頭で注意を行うに留める。

B. 財務的影響は軽微であるが、「不正」の性質を持つため、統制環境の欠陥を示す「重大な発見事項」として評価する。

C. 金額が小さいため発見事項としては扱わず、監査調書への記録も省略する。

D. 支店長のプライバシーに関わるため、重大性の評価を行わず、監査部門長（CAE）の個人的なメモとして保管する。

【解答・解説】

正解と解説を表示

正解（B）： 発見事項の重大性は金額だけで決まりません。「性質（Nature）」が重要です。経営管理者による不正（マネジメント・オーバーライド）は、金額が僅少であっても、組織の倫理観や統制環境に深刻な欠陥があることを示唆するため、重大性は高く評価されます。

不正解（A）： 不正の兆候を口頭注意だけで済ませることは、内部監査人の適正な専門的配慮（Due Professional Care）に欠けます。

不正解（C）： 不正の事実は必ず文書化する必要があります。

不正解（D）： 監査業務で発見した不正を個人的なメモとして隠匿することは、IIA倫理要綱に違反します。

Q2. 内部監査人は、購買プロセスにおいて「発注書への承認漏れ」というコントロールの欠陥を発見した。しかし、さらなるテストの結果、後工程である「検収（商品の受入）」の段階で、発注内容と納品物の照合が厳格に行われており、未承認の発注に基づく支払いは発生していないことが確認された。この状況における発見事項の評価として、最も適切なものはどれか。

A. 代替統制（補完統制）が有効に機能しリスクが軽減されているため、発見事項の重大性を引き下げて評価する。

B. 発注段階のコントロールが機能していない事実のみに基づき、「極めて重大な欠陥」として取締役会に報告する。

C. 最終的な支払ミスが発生していないため、このコントロールの欠陥は監査報告書から除外する。

D. 承認漏れの件数が全取引の50%を超えない限り、重大性の評価を行う必要はない。

【解答・解説】

正解と解説を表示

正解（A）： 発見事項の重大性を評価する際は、「代替統制（Compensating Controls）」の存在と有効性を考慮します。検収プロセスが防御壁となり、実質的な損失（誤った支払い）のリスクを防いでいるため、欠陥自体の重大性は低くなります。

不正解（B）： リスクがカバーされているにもかかわらず「極めて重大」と報告するのは、リスクの実態を誇張しており不適切です。

不正解（C）： 欠陥自体は存在するため、報告書から完全に除外するのではなく、リスクが軽減されている旨を付記した上で、適切なレベル（例：業務改善提案）で報告すべきです。

不正解（D）： 発生頻度（%）だけでなく、質的な評価が必要です。

Q3. GIAS（グローバル内部監査基準）に基づき、発見事項の重大性を判断する際に、内部監査人が考慮すべき要素として適切でないものはどれか。

A. 発見された事象が、組織の戦略的目標の達成に及ぼす潜在的な影響。