【CIA試験講義】パート2 セクションB-7-d: 文書化における考慮事項の決定
テーマ:証拠保管庫の設計図 ~何を、なぜ、どのように残すか~
セクションB-7-dは、監査業務の結果を支える「監査調書(Workpapers)」を作成する際、どのようなルール(規制や方針)に従って記録を残すべきかを判断するプロセスです。
試験では、「単にメモを取ればよい」のではなく、「法的要件や組織のルールに適合した文書化」ができるかどうかが問われます。
1. 導入:監査調書は「私的なメモ」ではない
監査調書(ワークペーパー)は、内部監査人の個人的な備忘録ではありません。それは監査業務の全過程(計画、実施、結果)を記録した公式な証拠書類です。
GIAS(グローバル内部監査基準)では、監査調書の作成において、以下の2つの大きな枠組み(制約条件)を考慮することを求めています。
- 規制の要求事項(外部のルール): 法律、規制当局の規則、契約上の義務。
- 内部の方針(内部のルール): 内部監査部門の監査マニュアル、組織の文書管理規定。
2. 規制の要求事項(Regulatory Requirements)の考慮
監査調書を作成・保管する際、法的・規制的な要件が最優先されます。特に以下の点に注意が必要です。
- 保存期間(Retention): 法律や業界規制によって、特定の記録を何年間保存しなければならないかが決まっている場合があります(例:税務関連は7年、医療関連は5年など)。監査人は、「もう終わったから」といって勝手に削除してはいけません。
- データのプライバシーとセキュリティ: 個人情報保護法やGDPR(EU一般データ保護規則)などが適用される場合、監査調書に特定の個人情報を含めること自体が制限されたり、厳重な暗号化が求められたりします。
- アクセス権限: 誰が監査調書を見ることができるか、法的特権(弁護士・依頼者間特権など)が適用される文書はどう扱うかといった法的側面を考慮する必要があります。
★ポイント: グローバル企業や規制の厳しい業界(銀行、製薬など)では、監査調書の不備がそのまま「法令違反」とみなされるリスクがあります。
3. 内部の方針(Internal Policies)の考慮
次に、組織内部のルール、特にCAE(内部監査部門長)が定めた「内部監査マニュアル」等に従う必要があります。
- 標準化とテンプレート: すべての監査人が勝手なフォーマットで作成すると、品質にバラつきが出ます。内部方針で定められたテンプレートや記載ルール(参照番号の振り方、承認サインの場所など)に従うことは、監査品質(QAIP)維持のために必須です。
- レビューの証跡: 誰が作成し、誰がいつレビュー(査閲)したかを文書化することは、内部監査の監督責任を果たす上で重要です。
- 所有権と管理: 監査調書は組織の所有物です。内部方針により、調書の持ち出し禁止や、外部への開示プロセスが厳格に定められています。
4. 文書化の「自立性(Stand-alone)」原則
規制や方針を考慮した上で、監査調書が目指すべきゴールは「自立性」の確保です。
自立性の原則(The Stand-alone Principle): 事情を知らない「慎重な第三者(別の監査人など)」が、その調書を見ただけで、同じ結論にたどり着ける状態であること。
規制や方針は、この「第三者が見ても大丈夫な状態(完全性、正確性、法的適合性)」を保証するためのガイドラインと言えます。
5. 試験で狙われる「判断」のポイント
試験では、ルールと現場の判断のバランスが問われます。
- 保存期間の競合:
- 組織のポリシーが「3年保存」で、法律が「5年保存」の場合 → 法律(長い方)に従う。
- アクセスの要求:
- 外部監査人や規制当局から調書の提示を求められた場合 → 独断で渡さず、CAEや法務部門の承認プロセス(内部方針)に従う。
- 不必要な情報の記載:
- 関係のない個人情報や機密情報を無制限に調書に残すべきか → No。必要最小限にとどめる(データ最小化の原則)。
まとめ
セクションB-7-dの核心は、「監査調書は、法律とルールの支配下にある」という理解です。
- What(何を): 監査の結論を裏付ける十分な情報を。
- How(どのように): 内部監査マニュアル(標準化)に従って。
- Constraints(制約): 法令(保存期間、プライバシー)を遵守して。
監査人は、ペンを持つ(キーボードを叩く)前に、これらの「枠組み」を決定し、それに沿った文書化を行う必要があります。
【練習問題】パート2 セクションB-7-d
Q1. 内部監査人が、個人顧客の機密情報(PII)を多く含む領域の監査を行っている。監査調書の作成において考慮すべき事項として、GIASおよび一般的な規制要件の観点から、最も優先順位が高いアクションはどれか。
A. 監査証跡を完全にするため、閲覧したすべての顧客データをそのまま監査調書ファイルにコピーして保存する。
B. データのプライバシーに関する法律および組織のデータセキュリティ方針を確認し、調書に含める個人情報は監査目的の達成に必要な最小限にとどめ、必要に応じて匿名化処理を行う。
C. 監査調書の作成効率を上げるため、セキュリティ制限の少ないパブリッククラウド上のストレージに一時的にデータを保存し、監査終了後に削除する。
D. 外部監査人が後で再計算できるように、個人情報を含む元データは暗号化せずに紙媒体で印刷し、鍵のかかるキャビネットに保管する。
【解答・解説】
正解と解説を表示
正解(B): 監査調書の作成において、データプライバシー規制(GDPR等)および内部方針の遵守は不可欠です。情報の機密性を考慮し、「データ最小化」の原則に従って、必要な情報のみを、適切な保護措置(匿名化など)を講じた上で記録する必要があります。
不正解(A): 「すべてをコピーする」のは過剰であり、プライバシー規制違反のリスクを高めます。関連性のある情報のみを文書化すべきです。
不正解(C): 承認されていない(特にセキュリティの低い)クラウドへの保存は、内部方針およびセキュリティ規制への重大な違反となる可能性が高いです。
不正解(D): 紙媒体であっても、機密情報を暗号化やマスキングなしに保存することはリスクが高く、現代のセキュリティ基準や方針に適合しない場合が多いです。
Q2. 内部監査部門長(CAE)は、監査調書の文書化に関する内部方針(監査マニュアル)を改訂している。GIASに準拠し、かつ監査の効率と品質を担保するために、この方針に含めるべき事項として、最も適切なものはどれか。
A. 監査人の創造性を尊重するため、調書のフォーマットや記載方法は各監査人の自由裁量に任せる旨を規定する。
B. いかなる状況であっても、作成された監査調書は監査終了後直ちに廃棄し、法的リスクを回避するよう規定する。
C. 監査調書の標準化されたテンプレート、索引付け(インデックス)の方法、およびレビューの完了を示す承認プロセスの要件を規定する。
D. 規制当局からの要請があった場合、担当監査人の個人の判断で直ちに調書を提出できるよう、アクセス権限を最大限に開放する旨を規定する。
【解答・解説】
正解と解説を表示
正解(C): 文書化に関する内部方針の主な目的は、一貫性と品質の確保です。標準化されたテンプレートや明確なレビュープロセスを定めることで、誰が作成しても一定の品質(自立性)を持つ調書が作成されるようになります。
不正解(A): フォーマットがバラバラだと、レビューが困難になり、第三者への説明責任も果たしにくくなります。
不正解(B): 監査調書には、法的または組織の規定に基づいた「保存期間(Retention Period)」があります。直ちに廃棄することは、これらの要件に違反します。
不正解(D): 外部(規制当局含む)への調書開示は、CAEや法務部門の承認を経る必要があり、担当者が独断で行うべきではありません。
Q3. ある内部監査人が、過去に実施された監査業務の調書を廃棄しようとしている。組織の内部文書管理規定では保存期間を「3年」と定めているが、当該監査領域に関連する現地の法律では「7年」の保存が義務付けられている。この場合、監査人はどのように行動すべきか。
A. 内部監査人は組織の従業員であるため、組織の内部規定である「3年」に従って廃棄する。
B. より厳しい要件である「法律の7年」に従って保存を継続し、内部規定と法令の不整合についてCAEに報告する。
C. 間を取って「5年」保存することで、組織の効率性と法令遵守のバランスをとる。
D. 監査調書の所有権は監査人個人にあるため、監査人自身の判断で保存するか廃棄するかを決定する。
【解答・解説】
正解と解説を表示
正解(B): 文書化の考慮事項において、規制の要求事項(法律)は内部の方針よりも優先されるか、あるいは「より厳格な基準」に従う必要があります。法律が7年を求めている以上、3年で廃棄することは法令違反となります。
不正解(A): 内部規定に従ったとしても、法令違反の事実は免責されません。
不正解(C): 法律の要件について妥協や「間を取る」ことは認められません。
不正解(D): 監査調書の所有権は組織にあり、監査人個人にはありません。個人の判断で廃棄することは許されません。
