内部監査戦略の見直しタイミング｜レビュー・改訂が必要なシグナル【CIAパート3】

Contents

テーマ：カーナビの「再探索（Rerouting）」～戦略は石に刻まれたものではない～
【練習問題】パート3 セクションA-3-d

テーマ：カーナビの「再探索（Rerouting）」～戦略は石に刻まれたものではない～

セクションA-3-dは、一度策定した「内部監査戦略」を、どのような状況下で見直し、修正すべきかという判断力を問う分野です。

試験では、「計画は一度決めたら絶対に変えてはならない」という硬直的な考え方ではなく、環境の変化に応じて柔軟に対応する「ダイナミック（動的）な監査運営」が正解となります。

1. 導入：戦略と計画の違い

まず、前提として「戦略」と「計画」のタイムスパンの違いを理解しましょう。

内部監査計画（Plan）： 通常、1年単位で作成され、具体的な監査業務（何をいつ監査するか）を記したもの。
内部監査戦略（Strategy）： 通常、3～5年程度の中長期的な視点で、内部監査部門がどのように組織の目標達成に貢献し、発展していくかを示すビジョンやロードマップ。

しかし、3～5年先の未来が、当初の予想通りに進むことは稀です。 GIAS（グローバル内部監査基準）では、CAE（内部監査部門長）に対し、戦略を定期的にレビューし、必要に応じて修正することを求めています。

イメージ：
「戦略」はカーナビの目的地設定とルートです。もし途中で「事故通行止め（大規模な法改正）」や「新しい高速道路の開通（新事業の開始）」があったら、ナビはルートを「再探索」。内部監査戦略も同じです。状況が変われば、ルート（戦略）も変えなければなりません。

2. 戦略の改訂を正当化する「トリガー（引き金）」

試験では、「どのような状況が発生したら、CAEは戦略の見直しを行うべきか？」というシナリオ問題が出題されます。主なトリガーは以下の3つのカテゴリーに分類できます。

① 組織構造やビジネスの劇的な変化

組織そのものの形が変われば、リスクの所在も変わります。

M&A（合併・買収）や事業売却： 監査対象範囲（ユニバース）が激変します。
新規市場への参入や新製品の投入： 未知のリスクが発生します。
大規模なシステム導入（DX）： ITリスクやプロセスが根本から変わります。

② 外部環境やリスクランドスケープの変化

組織の外側で起きる変化も、戦略に影響を与えます。

法規制の改正： 新たなコンプライアンス対応が最優先事項になる可能性があります。
経済状況の悪化： コスト削減圧力により、資源（リソース）戦略の見直しが必要になるかもしれません。
パンデミックや地政学的リスク： リモート監査への移行など、監査手法の抜本的変更を迫られます。

③ ステークホルダーの期待の変化

ここが試験の盲点になりやすい部分です。

経営陣や取締役の交代： 新しいCEOや監査委員長が、以前とは異なるリスク選好や期待を持っている場合、戦略を彼らの期待に「再整合（Re-align）」させる必要があります。
内部監査への要請の変化： 「保証（アシュアランス）」だけでなく「助言（アドバイザリー）」をもっと増やしてほしい、といった要望の変化です。

3. 改訂のプロセス

戦略を変える必要があると判断した場合、CAEは勝手に書き換えて終わりではありません。以下の手順が必要です。

影響分析： 変化が内部監査の資源、スキル、テクノロジーにどう影響するか評価する。
協議： 上級経営陣および取締役会と、変更の必要性について話し合う。
承認： 改訂された戦略について、取締役会（または監査委員会）の正式な承認を得る。

4. 試験で狙われる「ひっかけ」ポイント

×「内部監査戦略は中長期的な文書であるため、期間中は絶対に変更してはならない」
- 解説： 間違いです。GIASは「動的な（Dynamic）」リスク評価と戦略を重視しています。状況が変われば変更するのが義務です。
×「年次監査計画を変更すれば十分であり、戦略そのものを見直す必要はない」
- 解説： 小さな変更なら計画レベルで対応可能ですが、組織の方向性に関わる大きな変化（例：海外進出の撤退など）であれば、大元の「戦略」から見直す必要があります。
×「新しいCEOが就任したが、内部監査の独立性を保つため、CEOの意向に合わせて戦略を変えるべきではない」
- 解説： 独立性と「期待への整合」は別問題です。内部監査は組織の目標達成を支援する機能ですから、新しいリーダーシップの優先事項やリスク観を無視しては、価値を提供できません。

まとめ

セクションA-3-dのポイントは、「変化への感度（Sensitivity to Change）」です。

When: 組織、環境、人が変わった時。
Action: 戦略をレビューし、ギャップを埋める。
Goal: 常に「現在の」組織のリスクと目標に寄り添うこと。

CAEは、一度作った地図に固執するのではなく、天気や道路状況を見ながら柔軟にコースを変えるキャプテンのような判断力が求められます。

【練習問題】パート3 セクションA-3-d

Q1. ある製造業の企業が、競合他社を買収し、事業規模が倍増するという大規模なM&Aを実施した。この変化に伴い、内部監査部門長（CAE）がとるべき行動として、GIASに基づき最も適切なものはどれか。

A. 買収に伴う混乱を避けるため、現在承認されている3ヶ年の内部監査戦略をそのまま維持し、完了後に見直しを行う。

B. 買収は外部監査人の管轄事項であるため、内部監査戦略には変更を加えず、財務報告の監査のみに注力する。

C. 組織の規模、リスクプロファイル、およびステークホルダーの期待が大きく変化したため、内部監査戦略をレビューし、必要に応じて改訂・再承認の手続きを行う。

D. 監査資源が不足することが明らかであるため、直ちに監査業務を停止し、戦略の練り直しに専念する。

【解答・解説】

正解と解説を表示

正解（C）： M&Aのような大規模な組織変更は、リスクの所在や重要性を根本から変える「トリガー」となります。CAEは戦略が現在の新しい組織構造やリスクに適しているかを確認し、不整合があれば改訂し、取締役会の承認を得る必要があります。

不正解（A）： 状況が激変しているのに古い戦略を維持することは、重要なリスクを見逃す原因となり不適切です。

不正解（B）： 内部監査は財務だけでなく、統合プロセスや文化の統合、オペレーションなど、M&Aに関わる多くのリスクに関与すべきであり、外部監査任せにするのは間違いです。

不正解（D）： 業務を完全に停止することは組織のガバナンスを空白にするため不適切です。優先順位を見直しながら業務を継続すべきです。

Q2. 内部監査部門長（CAE）は、策定済みの内部監査戦略について、取締役会との年次ミーティングを控えている。過去1年間で組織に大きな変更はなかったが、新たに就任した監査委員長は「サイバーセキュリティとAIガバナンス」を極めて重視していることがわかった。現在の戦略では、これらの領域は優先度が低い。この状況におけるCAEの対応として適切なものはどれか。

A. 戦略は長期的な視点で作成されたものであり、個人の好みに左右されるべきではないため、現状維持を提案する。

B. 新しい監査委員長の期待は、戦略を見直す正当な理由となり得るため、サイバーセキュリティ等の優先度を高める方向で戦略の調整を検討し、協議する。

C. 監査委員長の期待に応えるため、戦略文書の改訂は行わず、秘密裏にサイバーセキュリティ監査を実施する。

D. 専門的な領域であるため、外部のコンサルタントに戦略作成を丸投げし、その結果をそのまま監査委員長に提示する。

【解答・解説】

正解と解説を表示

正解（B）： 内部監査の戦略は、主要なステークホルダー（特に取締役会や監査委員会）の期待と整合している必要があります。重要なステークホルダーの交代や関心事の変化は、戦略の改訂を正当化する状況です。

不正解（A）： ステークホルダーの期待と乖離した戦略を固持することは、内部監査部門の価値を低下させます。

不正解（C）： 文書化された戦略と実務が乖離することはガバナンス上問題です。また、秘密裏に行う必要はありません。

不正解（D）： 外部の助言を得ることは良いですが、CAE自身が責任を持って戦略を説明・提示する必要があります。

Q3. 以下の状況のうち、内部監査部門長（CAE）が内部監査戦略の即時レビューおよび改訂を検討すべき状況として、最も直接的なトリガーとならない（可能性が低い）ものはどれか。

A. 業界に特化した新しい規制法が施行され、コンプライアンス違反に対する罰則が大幅に強化された。