Contents
  1. テーマ:カーナビの地図を更新せよ ~「マニュアル」は生き物である~
  2. 【練習問題】パート3 セクションA-1-d

テーマ:カーナビの地図を更新せよ ~「マニュアル」は生き物である~

セクションA-1-dは、CAE(内部監査部門長)が、内部監査部門で使用しているルール、手順、テンプレート(これらを総称して「手法(Methodologies)」と呼びます)を、いつ、なぜ見直し、更新すべきかを判断するプロセスです。

試験では、「一度作ったマニュアルを金科玉条のごとく守り続けること」は間違いであり、環境の変化に応じて柔軟に進化させる姿勢が問われます。

1. 導入:手法(Methodologies)とは何か?

内部監査の手法とは、監査業務をどのように計画し、実施し、報告するかを定めた「やり方」の体系です。具体的には以下のようなものが含まれます。

  • 内部監査マニュアル: 業務の標準手順書。
  • リスク評価モデル: どこの部署を監査するかを決める計算式。
  • テンプレート: 監査プログラム(手続書)や監査報告書のひな形。
  • 使用ツール: データ分析ソフトや監査管理システム。

これらは、監査の「品質」と「一貫性」を保つために不可欠ですが、固定的なものではありません。

2. レビューと改訂を正当化する状況(トリガー)

CAEは、以下のような変化があった場合、既存の手法がまだ有効かどうかを見直し(レビュー)、必要に応じて書き換える(改訂)責任があります。

① 基準や規制の変更(External Changes)

最もわかりやすいトリガーです。

  • GIAS(グローバル内部監査基準)の発効: まさに今起きていることです。新しい基準が出れば、マニュアルの用語、必須手続、報告様式をすべて新基準に合わせる必要があります。
  • 法律や業界規制の変更: 新しい法律ができれば、コンプライアンス監査の手法をアップデートしなければなりません。

② 組織の変化(Internal Changes)

監査対象となる組織自体が変われば、監査のやり方も変わります。

  • 新しいITシステムの導入: 全社的にクラウドに移行したのに、監査手法が「紙の証憑突合」のままでは意味がありません。
  • 事業の拡大・M&A: 海外子会社が増えたなら、リモート監査の手法や、言語・文化に対応したコミュニケーション手順が必要です。

③ QAIP(品質評価)の結果

セクションA-1-bで学んだQAIP(モニタリング)の結果、部門の弱点が見つかった場合です。

  • 例: 「監査報告書の発行が遅い」という課題が出た。 → 改訂アクション: 報告書のレビュープロセスを簡素化するか、アジャイル監査の手法を取り入れる。

3. 「適合性(Fit for Purpose)」の原則

試験で重要な概念は、手法がその組織の規模、複雑さ、性質に適しているかということです。

  • 大企業: 厳格で詳細なマニュアル、多段階の承認プロセスが必要かもしれません。
  • 小規模組織: シンプルで柔軟な手順の方が、効率的かつ効果的かもしれません。

「他社のマニュアルをそのままコピーして使う」ことは、この適合性の観点から不適切です。組織の現実に合わせてカスタマイズ(改訂)されなければなりません。

4. 改訂のプロセスと承認

手法を改訂する場合、こっそり変えるのではなく、適切なプロセスを経る必要があります。

  1. 改訂案の作成: ベテラン監査人やCAEが主導。
  2. スタッフへの周知・トレーニング: 新しいルールを作っても、現場が知らなければ意味がありません。
  3. 承認:
    • 詳細な手順(マニュアル等): 通常はCAEが承認します。
    • 基本方針(内部監査憲章): 手法の変更が部門の権限や役割に関わる根本的な変更である場合、取締役会(監査委員会)の承認が必要です。

まとめ

セクションA-1-dのポイントは、「継続的改善(Continuous Improvement)」です。

  • If(もし) 基準、組織、技術が変わった、あるいはミスが多発しているなら、
  • Then(ならば) 過去のやり方に固執せず、手法(マニュアル、ツール)を躊躇なくアップデートせよ。

CAEは、内部監査部門という「車」のメンテナンスを行い、常に最新のナビゲーション(手法)を搭載させておく義務があるのです。

【練習問題】パート3 セクションA-1-d

Q1. 2024年に公表されたGIAS(グローバル内部監査基準)への移行に伴い、CAE(内部監査部門長)が取るべき行動として、最も適切なものはどれか。

A. 内部監査部門の独立性を維持するため、外部の基準であるGIASの変更は無視し、これまで通り組織独自の監査マニュアルに従って業務を継続する。

B. 直ちに既存の内部監査マニュアル、監査憲章、および関連する手順書をレビューし、新基準の要求事項(必須事項)とのギャップを特定して、必要な改訂を行う。

C. 監査業務の効率性が低下する恐れがあるため、新基準の導入については現場スタッフの投票を行い、過半数の賛成が得られた場合にのみマニュアルを改訂する。

D. 新基準への対応は外部監査人の責任であるため、外部監査人からの指示があるまで何もしない。

【解答・解説】

正解と解説を表示

正解(B): 専門職基準(GIAS)の変更は、内部監査手法の改訂を正当化する(というより義務付ける)最も重要な外部要因です。CAEは、部門の運営が最新の基準に適合していることを保証するために、ギャップ分析と手法の更新を行わなければなりません。

不正解(A): GIASへの準拠は、専門職としての信頼性の基盤であり、無視することは許されません。

不正解(C): 基準への準拠は必須(Mandatory)であり、スタッフの投票で決める事項ではありません。

不正解(D): 内部監査の基準遵守責任はCAEにあります。外部監査人は関係ありません。

Q2. 内部監査部門が実施したQAIP(品質のアシュアランス及び改善プログラム)の結果、監査報告書の作成プロセスにおいて、担当者間の形式の不統一や、レビューによる手戻りが多発していることが判明した。この状況に対処するためのCAEのアクションとして、最も適切なものはどれか。

A. 手戻りが多い担当監査人を特定し、ペナルティとして減給処分にする。

B. 時間がかかっても品質を維持するため、現状のプロセスを維持し、残業で対応するよう指示する。

C. 監査報告書の標準テンプレートや作成ガイドライン(手法)をレビュー・改訂し、記載要領を明確化するとともに、スタッフへの再トレーニングを実施する。

D. 報告書作成業務をすべて外部のライターにアウトソーシングする。

【解答・解説】

正解と解説を表示

正解(C): QAIPで特定された「プロセス上の欠陥(非効率性)」は、手法の改訂を正当化する内部要因です。個人の処罰ではなく、標準化(テンプレート改訂)や教育によってシステムの欠陥を修正することが、CAEに求められる改善策です。

不正解(A): システム的な問題を個人の責任に帰結させるのは、根本的な解決になりません。

不正解(B): 非効率なプロセスを放置することは、部門のリソースを浪費します。

不正解(D): コア業務の一部である報告書作成能力を放棄することは、長期的には部門の弱体化を招きます。

Q3. 急成長しているスタートアップ企業の内部監査部門長(CAE)は、大手銀行の内部監査部門で使用されている「数百ページに及ぶ詳細な監査マニュアル」を入手した。自社の監査手法を確立するにあたり、このマニュアルをどのように扱うべきか。

A. 大手銀行のマニュアルはベストプラクティスであるため、内容を変更せずそのまま自社の公式マニュアルとして採用する。

B. 自社の規模、複雑さ、およびリスクプロファイルに合わせて、そのマニュアルを参考にしつつ、過剰な手続きを削除・簡素化して「適合(Fit for Purpose)」するように改訂する。

C. 他社のマニュアルを参考にすることはプライドが許さないため、ゼロから独自のマニュアルを作成する。

D. スタートアップ企業には監査マニュアルは不要であるため、マニュアル作成自体を行わない。

【解答・解説】

正解と解説を表示

正解(B): 監査手法は、その組織の状況(規模、業種、文化)に適合していなければなりません。大企業向けのマニュアルを小規模組織にそのまま適用すると、形式主義に陥り非効率になります。必要な要素を取り入れつつ、自社に合うようにカスタマイズ(改訂)するのが正解です。

不正解(A): 「適合性」の観点から不適切です。過剰な統制や手続きはビジネスのスピードを阻害します。

不正解(C): 既存の良質なリソースを参考にすることは効率的です。

不正解(D): どのような規模であっても、一貫性と品質を保つために最低限の文書化された手法(マニュアル)は必要です。