Contents
  1. テーマ:羅針盤を合わせる ~組織と同じ方向を向く監査~
  2. 【練習問題】パート3 セクションA-3-a

テーマ:羅針盤を合わせる ~組織と同じ方向を向く監査~

セクションA-3-aは、CAE(内部監査部門長)が、内部監査部門の戦略を策定する際、それをどのように組織全体の目標やリスク管理活動とリンクさせるかというトピックです。

試験では、「内部監査の活動は、組織の目的達成を支援するために存在する」という大原則に基づき、独立性を保ちながらも経営陣と足並みを揃えるバランス感覚が問われます。

1. 導入:監査のための監査からの脱却

「うちは毎年、現金実査と旅費精算の監査をしています。今年もそれをやります」 これは、戦略的ではない内部監査の典型例です。

組織が「海外進出」や「デジタルトランスフォーメーション(DX)」という戦略を掲げているのに、内部監査が旧態依然としたチェックばかりしていては、組織の役に立ちません。 GIAS(グローバル内部監査基準)は、内部監査の戦略が「組織の事業戦略」と完全に整合(Alignment)していることを求めています。

2. 事業戦略を支援する方法

CAEは、監査計画を作る前に、まず組織のトップ(CEOや取締役会)が何を目指しているかを理解しなければなりません。

  1. インプットの入手:
    • 経営計画書を読む。
    • 上級経営陣や取締役会と対話し、「今、何が一番の懸念(リスク)ですか?」「成功のために何が必要ですか?」と聞く。
  2. 戦略的リスクへのフォーカス:
    • 組織の戦略目標(例:新製品のシェア拡大)を阻害するリスク(例:開発遅延、品質問題、競合の台頭)を優先的に監査対象とする。
  3. 柔軟性(Agility):
    • 事業環境が変化し、組織の戦略が変われば、内部監査計画も即座に変更する。

3. リスク・マネジメント業務の支援

内部監査は、組織のリスク管理(ERM)プロセスが有効に機能しているかを評価・支援する役割(第3線)を担います。

  • リスク管理プロセスの評価:
    • リスクが正しく識別され、評価されているか?
    • リスク選好(Risk Appetite)は明確か?
    • もしリスク管理部門(第2線)が未熟な場合、独立性を守りつつ、ファシリテーションや助言(アドバイザリー)を行うことでプロセス構築を支援する。
  • 重複の排除と連携:
    • コンプライアンス部門や品質管理部門など、他の保証機能(第2線)と連携し、監査疲れ(Audit Fatigue)を防ぐとともに、リスクの見落としをなくす。

4. 内部監査の戦略計画(Strategic Plan)

単年度の「監査計画(Plan)」とは別に、内部監査部門自体の長期的な「戦略計画(Strategic Plan)」を策定することが推奨されます。

  • ビジョンとミッション: 内部監査部門が3~5年後にどうありたいか。
  • 戦略的イニシアチブ: AI監査の導入、データ分析の高度化、人材育成など。
    • これらはすべて、「組織の事業目標をより良く支援するため」に設定されます。

イメージ: 組織という「船」が目的地(事業戦略)に向かって航海しています。 内部監査部門は、船底で水漏れを直すだけでなく、船長(経営陣)に対して「前方に氷山(リスク)があります」「今のスピードだと燃料が足りません」と、航海の成功に直結する情報を提供するナビゲーターの役割を果たします。

まとめ

セクションA-3-aのポイントは、「Relevant(関連性)」です。

  • 組織の戦略に関係のない監査は、価値が低い。
  • CAEは、常に「経営陣の視点」でリスクを捉え、そこから監査テーマを導き出す。
  • リスク管理プロセスそのものを監査し、強化することで、間接的にすべての事業目標を支援する。

内部監査が「コストセンター」ではなく「バリューセンター」として認められる鍵は、この戦略的整合性にあります。

【練習問題】パート3 セクションA-3-a

Q1. 内部監査部門長(CAE)が、内部監査部門の戦略計画を策定する際に、最初に行うべきステップとして、GIASに基づき最も適切なものはどれか。

A. 過去5年間の監査報告書をレビューし、最も指摘事項が多かった部署を特定する。

B. 組織の事業戦略、目標、および関連するリスクを理解するために、上級経営陣および取締役会からのインプット(意見や期待)を入手する。

C. 内部監査スタッフ全員に希望する監査テーマをヒアリングし、モチベーションを高める計画を作成する。

D. 外部監査人と協議し、財務諸表監査の効率化に貢献できる領域を特定する。

【解答・解説】

正解と解説を表示

正解(B): 内部監査の戦略的整合性を確保するための出発点は、組織が何を目指しているか(事業戦略)と、ステークホルダーが何を懸念しているかを知ることです。これにより、監査リソースを組織にとって最も重要なリスク領域に集中させることができます。

不正解(A): 過去のデータは重要ですが、将来の戦略的リスクを反映していない可能性があります(バックミラーを見るようなものです)。

不正解(C): スタッフの意見も大切ですが、組織全体の戦略との整合性が最優先です。

不正解(D): 外部監査人との連携は重要ですが、内部監査の主目的は組織の目標達成支援であり、財務監査の補助ではありません。

Q2. ある急成長中のテクノロジー企業において、内部監査部門が組織の事業戦略を最も効果的に支援している例はどれか。

A. 毎年同じ詳細なチェックリストを使用して、全支店の小口現金の残高確認を徹底的に行っている。

B. 組織が「クラウドサービスへの完全移行」を戦略目標に掲げたことを受け、次年度の計画に「クラウド移行プロジェクトのガバナンス監査」と「サイバーセキュリティ・リスク評価」を最優先で組み込んだ。

C. 経営陣がリスク管理に関心を持っていないため、内部監査部門は独自に財務リスクのみに焦点を当てた監査計画を策定し、実行している。

D. 事業部門の負担を減らすため、監査の回数を極限まで減らし、書面による自己評価のみで済ませている。

【解答・解説】

正解と解説を表示

正解(B): これが「戦略的整合性」の好例です。組織の大きな変革(クラウド移行)には新たなリスクが伴います。内部監査がそのリスクにタイムリーに対応することで、戦略目標の達成を直接的に支援しています。

不正解(A): リスクベースではなく、戦略的価値の低い定型業務に固執しており、企業の成長ステージやリスクの変化に対応できていません。

不正解(C): 組織の戦略目標(成長)と乖離しており、内部監査の価値が限定的になります。

不正解(D): 負担軽減は考慮すべきですが、必要な保証(アシュアランス)を提供しないことは支援にはなりません。

Q3. 内部監査部門が組織の「リスク・マネジメント業務」を支援する方法として、適切でない(避けるべき)行動はどれか。

A. 全社的リスクマネジメント(ERM)の枠組みが効果的に機能しているかどうかについて、独立した評価(アシュアランス)を提供する。

B. リスク管理部門(第2線)と連携してリスク情報を共有し、監査計画に反映させることで、リスクの見落としを防ぐ。

C. マネジメントがリスクを識別できていない領域について、ワークショップを開催してリスクの洗い出しを支援(アドバイザリー)する。

D. リスク管理担当役員が不在のため、CAE(内部監査部門長)が全社のリスク対応方針を決定し、個々のリスクに対する責任者(リスクオーナー)を兼務する。

【解答・解説】

正解と解説を表示

正解(D): 内部監査部門はリスク管理を「評価・支援」しますが、「経営責任」を負ってはいけません。リスク対応の決定やリスクオーナーシップの引き受けは経営陣の役割であり、これを行うと内部監査の独立性と客観性が損なわれます(自己監査の禁止)。

不正解(A): 第3線としての本来の役割であり、適切です。

不正解(B): 第2線との連携は推奨される活動です。

不正解(C): 意思決定を行わない範囲でのファシリテーションや助言は、アドバイザリー業務として適切です。