監査計画の承認と伝達｜変更時の報告プロセス【CIAパート3】

Contents

テーマ：「羅針盤」と「航海図」～組織の目的地に合わせた監査計画～
【練習問題】パート3 セクションA-4-b

テーマ：「羅針盤」と「航海図」～組織の目的地に合わせた監査計画～

セクションA-4-bは、作成された監査計画をどのようにステークホルダー（取締役会および上級経営陣）に伝え、承認を得るか、そしてその計画がいかにして「組織の戦略」とリンクしているかを説明する能力が問われます。

試験では、監査計画を単なる「作業リスト」としてではなく、組織の目標達成を支援するための「戦略的ツール」として捉えているかがポイントになります。

1. 導入：監査計画は「孤立」してはならない

内部監査計画が、組織のビジネスの方向性と無関係に作成されることはあり得ません。 GIAS（グローバル内部監査基準）では、内部監査部門長（CAE）に対し、監査計画が組織の戦略、目標、およびリスクと整合していることを確認し、それをステークホルダーに説明する責任を課しています。

イメージ：
組織が「船」で、経営陣が「船長」、戦略が「目的地（宝島）」だとします。
内部監査部門は、船が正しい航路を進んでいるか、暗礁（リスク）がないかを確認する「航海士」です。
船が「北（新規事業）」へ向かっているのに、航海士が「南（撤退予定の事業）」ばかり詳しく調べていても意味がありません。

2. 「黄金の糸（Golden Thread）」のつながり

試験対策として、以下の論理的なつながり（アライメント）を理解してください。

組織の戦略（Strategy）： 会社は何を達成したいのか？（例：デジタル市場への進出）
リスク（Risks）： その達成を阻害するものは何か？（例：サイバー攻撃、個人情報漏洩）
監査計画（Audit Plan）： そのリスクに対処するための保証や助言をどう提供するか？（例：サイバーセキュリティ監査、データプライバシー評価）

CAEが監査計画を取締役会に提示する際は、「なぜこの監査をするのか？」という問いに対し、「組織のこの戦略目標に対する、このリスクに対応するためです」と説明できなければなりません。

3. 監査計画の伝達と承認プロセス

CAEは、作成したリスク・ベースの監査計画を、上級経営陣（Senior Management）と協議し、取締役会（Board）の承認を得るために提出します。

ここで重要なのは、単に「やることリスト」を見せるだけではなく、以下の点も併せて伝えることです。

伝達すべき項目	なぜ重要なのか（試験ポイント）
必要な資源（リソース）	計画を実行するために十分な予算、人員、スキルがあるか。
資源の制約と影響	★超重要予算不足で「実施できない監査」がある場合、それによって生じるリスク（どのような保証が提供できなくなるか）を明確に伝える義務があります。
監査の範囲と頻度	どの領域を、どの深さで、いつ見るのか。

4. 計画の変更と「動的（Dynamic）」な対応

ビジネス環境は刻一刻と変化します。期初に立てた計画が、半年後には現状に合わなくなることも珍しくありません。

GIASのルール： 監査計画は「固定されたもの」ではなく、「動的」であるべきです。新たなリスク（例：パンデミック、急激な法改正、M&A）が発生した場合、CAEは計画を見直し、変更する必要があります。

変更時の手続き：

軽微な変更： 内部監査部門内での調整で済む場合もあります（内部監査憲章の規定による）。
重要な変更： 監査対象の追加・削除など、資源配分や保証範囲に大きく影響する場合は、上級経営陣と協議し、取締役会の承認を再度得る必要があります。

5. 試験で狙われる「ひっかけ」ポイント

×「CAEは、取締役会の承認を得る前に、監査計画の内容を上級経営陣に見せてはならない（独立性の侵害になるため）」
- 解説： 間違いです。上級経営陣からのインプット（事業の現状やリスク認識）は計画策定に不可欠です。承認権限は取締役会にありますが、事前の協議は必要です。
×「予算不足で重要な監査ができない場合、CAEは自分の判断で計画を縮小し、取締役会には『承認された範囲』のみを報告すればよい」
- 解説： これは隠蔽に近い行為です。CAEは「リソース不足により、このリスク領域は監査できません」という「制約の影響」を正直に報告し、取締役会にリスクを受け入れてもらうか、追加予算をもらうかの判断を仰ぐ必要があります。
×「組織の戦略が変わっても、監査の独立性を保つため、一度決めた年間監査計画は最後まで遂行すべきだ」
- 解説： 非効率的です。戦略が変わればリスクも変わります。古いリスクを監査することは資源の無駄遣いです。

まとめ

セクションA-4-bのポイントは、「説明責任（Accountability）」と「整合性（Alignment）」です。

監査計画は、組織の戦略とリンクしていなければならない。
監査計画（およびその変更）は、理由と影響（特にリソース不足の影響）を添えて、取締役会に承認を得なければならない。

CAEは、「監査の専門家」であると同時に、「経営の目線」でリスクを語れるプレゼンターである必要があります。

【練習問題】パート3 セクションA-4-b

Q1. 内部監査部門長（CAE）が次年度の内部監査計画を取締役会に提示している。CAEは、現在の予算と人員では、リスク評価で「高リスク」と特定された領域の一部（例：海外子会社のコンプライアンス監査）をカバーできないことを認識している。この状況におけるCAEのコミュニケーションとして、GIASに基づき最も適切なものはどれか。

A. 自身の能力不足と思われるのを避けるため、カバーできない領域については言及せず、実施可能な監査計画のみを提示して承認を求める。

B. 実施可能な監査計画を提示するとともに、資源の制約により監査を実施できない領域と、それによって組織が直面するリスク（影響）について明確に報告する。

C. 予算不足を補うために、監査時間を短縮して全ての高リスク領域を薄く広くカバーする計画を作成し、詳細な説明は省略する。

D. 取締役会に対して、予算が増額されるまではいかなる監査計画も提出できないと主張し、計画の承認プロセスを保留する。

【解答・解説】

正解と解説を表示

正解（B）： CAEには、監査計画を提示する際、資源の妥当性についても報告する責任があります。もし資源が不足している（制約がある）場合は、その結果として「どのリスク領域が監査されないままになるか」という影響を伝え、取締役会がそのリスクを許容するか、あるいは追加資源を提供するかを判断できるようにしなければなりません。

不正解（A）： 重要なリスクが見過ごされることを隠す行為であり、説明責任を果たしていません。

不正解（C）： 監査の品質を犠牲にして表面的な監査を行うことは、誤った安心感（False Assurance）を与えるため不適切です。

不正解（D）： 極端な行動であり、CAEとしての職務放棄とみなされます。現状のリソースで最善の提案をしつつ、制約を伝えるのが正解です。

Q2. 期中に組織が「AI技術を活用した新規事業への参入」という戦略的な方針転換を行った。これに伴い新たなリスクが発生したが、当初承認された年間監査計画にはAI関連の監査は含まれていない。CAEがとるべき行動として、最も適切なものはどれか。

A. 当初の計画は取締役会の承認済みであるため、期末までは予定通りの監査を遂行し、AI関連の監査は次年度の計画に組み込む。

B. 独断で優先順位の低い監査を中止し、AI関連の監査を開始する。事後報告として期末に取締役会へ伝える。

C. 組織の戦略変更に合わせてリスク評価を見直し、監査計画の変更案（AI監査の追加と、それに伴う他の監査の延期・中止）を作成し、上級経営陣と協議の上、取締役会の承認を求める。

D. AI技術は専門性が高いため、内部監査の範囲外とし、事業部門の自己管理に任せることとする。

【解答・解説】

正解と解説を表示

正解（C）： 内部監査計画は、組織の戦略やリスクの変化に応じて動的に調整されるべきです。重要な戦略変更があった場合、CAEは計画を見直し、リソースの再配分（トレードオフ）についてステークホルダーの承認を得る必要があります。

不正解（A）： 新たな高リスク領域を放置することは、組織の目標達成を支援するという内部監査の使命に反します。