戦略的資源計画｜リスクに対応するリソース配分【CIAパート3】

Contents

テーマ：目的地へ行くための「燃料」と「車両」の確保
【練習問題】パート3 セクションA-3-c

テーマ：目的地へ行くための「燃料」と「車両」の確保

セクションA-3-cは、内部監査部門が掲げた「戦略（やりたいこと・やるべきこと）」を実現するために、必要な「資源（リソース）」をどのように確保し、配分するかというテーマです。

試験では、単に「人を増やす」だけでなく、スキル、テクノロジー、予算、そして外部リソースをどう組み合わせて戦略を実現するかという「CAE（内部監査部門長）のマネジメント能力」が問われます。

1. 導入：戦略と資源の「ギャップ」を埋める

内部監査の「戦略」とは、「組織の目標達成にどう貢献するか（目的地）」です。一方、「資源」とは、そこへ向かうための「手段（人、金、物）」です。

どんなに立派な戦略（例：「全社のDXリスクを徹底的に監査する！」）を立てても、資源（例：「IT監査人がゼロ、予算もゼロ」）が伴っていなければ、その戦略は画餅に帰します。

GIAS（グローバル内部監査基準）の視点： CAE（内部監査部門長）には、監査計画や戦略を達成するために、資源が「適切（Appropriate）」かつ「十分（Sufficient）」であることを確認・確保する責任があります。

2. 「内部監査資源」の3つの要素

試験対策として、資源は「人数（Headcount）」だけではないことを理解しましょう。

人的資源（People）：
- 監査人の数だけでなく、「集団としてのスキルセット（知識・能力）」が重要です。
- 例：データ分析、サイバーセキュリティ、ESGに関する専門知識など。
財務的資源（Financial）：
- 予算（給与、トレーニング費用、出張費、外部委託費など）。
技術的資源（Technological）：
- 監査ツール、データ分析ソフト、AI、監査管理システムなど。
- 適切なテクノロジーの導入は、人的資源不足を補う（効率化する）手段となります。

3. 戦略と整合させるためのプロセス（4つのステップ）

CAEが資源計画を策定する際、以下の思考プロセスが求められます。

ステップ①：需要の把握（戦略の確認）

リスク評価に基づき作成された「内部監査計画」と「長期戦略」を見直します。 「来年はAIガバナンスの監査が最優先だ」 となれば、AIの知識が必要になります。

ステップ②：現状の棚卸し（スキル・アセスメント）

現在のチームが持っているスキルやキャパシティを評価します。 「現在、IT監査ができるのは1名のみで、手一杯だ」 という現状を把握します。

ステップ③：ギャップ分析と調達戦略

「需要」と「現状」の差（ギャップ）をどう埋めるかを決定します。ここが試験の頻出ポイントです。

ギャップの埋め方	特徴と使い分け
採用（Hiring）	長期的にそのスキルが必要な場合に適している。
育成（Training）	既存スタッフのスキルアップ。時間はかかるがモチベーション向上につながる。
コソーシング（Co-sourcing）	重要！特定の専門知識（例：税務、年金、特殊IT）が一時的または部分的に必要な場合、外部の専門家と協力する。
アウトソーシング	業務の一部または全部を外部へ委託する。

ステップ④：制約がある場合のコミュニケーション

資源には限りがあります。もし、予算や人員の制約で、重要なリスクに対応する監査ができない場合、CAEはどうすべきでしょうか？

× やってはいけないこと： 黙って監査範囲を縮小する。無理やり残業でカバーさせる。
○ 正解： その制約がもたらす「影響（どのリスクが見過ごされることになるか）」を、取締役会や上級経営陣に報告し、承認を得る。

4. 試験で狙われる「ひっかけ」ポイント

×「内部監査部門は、すべての必要なスキルを部門内の正社員だけで保有していなければならない」
- 解説： 間違いです。現代のビジネスは複雑すぎて不可能です。GIASでは、必要な知識が内部にない場合、外部のサービスプロバイダー（コソーシング等）を活用して補完することを認めており、むしろ推奨されるケースもあります。
×「予算が削減された場合、CAEは直ちに監査計画の項目を一律に削減すべきである」
- 解説： 機械的な削減はNGです。リスクベースで優先順位を見直し、削減によって生じる「リスク（監査できない領域）」について、取締役会と協議する必要があります。
×「テクノロジーの導入はコストがかかるため、資源計画の優先順位は低い」
- 解説： 誤りです。テクノロジーの活用（データ分析など）は、監査の範囲を広げ、効率を高めるための重要な「資源戦略」の一部です。

まとめ

セクションA-3-cのポイントは、「戦略実現のための最適ミックス」です。

What: 何をしたいか（監査戦略・計画）
How: どうやってリソースを用意するか（採用、育成、外部委託、テクノロジー）
Report: 足りない場合はどうするか（リスクと影響の報告）

CAEは、単なる「監査の親分」ではなく、部門のリソースを最適化する「経営者」としての視点が求められます。

【練習問題】パート3 セクションA-3-c

Q1. 内部監査部門長（CAE）は、次年度の監査計画において、新たに導入された高度なクラウドシステムのセキュリティ監査を重点項目として挙げた。しかし、現在の内部監査チームにはクラウドセキュリティに関する十分な専門知識を持つメンバーがいない。GIASおよび資源管理の観点から、CAEがとるべき行動として最も適切なものはどれか。

A. チーム内で最もITに詳しい監査人をアサインし、OJT（オンザジョブトレーニング）で学びながら監査を行わせる。

B. 必要な専門知識を持つ外部の専門家を一時的に招聘（コソーシング）し、内部監査チームと共同で監査を実施する計画を立てる。

C. 専門知識を持つメンバーが採用できるまで、クラウドシステムの監査を次年度以降に延期するよう計画を変更する。

D. クラウドシステムの監査は技術的すぎるため、IT部門の自己評価に任せ、内部監査の範囲から除外する。

【解答・解説】

正解と解説を表示

正解（B）： 必要な専門知識が内部に不足している場合、外部のサービスプロバイダー（専門家）を活用するコソーシングは、監査戦略と資源を整合させるための有効かつ推奨される手段です。これにより、監査の質を確保しつつ、内部スタッフへの知識移転も期待できます。

不正解（A）： 高度なリスク領域（クラウドセキュリティ）において、知識不足のまま「学びながら監査」を行うのは、十分な専門的正当な注意（Due Professional Care）を果たせないリスクが高く不適切です。

不正解（C）： 重要なリスク領域を、リソース不足だけを理由に安易に延期すべきではありません。まずは外部リソースの活用等を検討すべきです。

不正解（D）： 重要なリスクを監査範囲から除外することは、内部監査の目的（組織の価値保全）に反します。

Q2. 会社全体のコスト削減方針により、内部監査部門の予算が大幅に削減された。この影響により、CAEは承認された年次監査計画に含まれる高リスク領域の監査をすべて実施することが不可能となった。CAEがとるべき行動として、最も適切なものはどれか。

A. 予算内で収まるように、すべての監査業務の時間数を一律20%削減し、計画された件数をすべて消化する。