【CIA試験講義】パート3 セクションB-1-b: 監査対象領域の構成要素
テーマ:組織を「輪切り」にする視点 ~何を監査単位(Entity)とするか~
セクションB-1-bは、監査対象領域(Audit Universe)という大きなパイを、どのようにカットして、一つひとつの「監査可能な単位(Auditable Entity)」として識別するかというテーマです。
試験では、単に「営業部」や「経理部」といった組織図上の箱だけを監査対象と捉えるのではなく、ビジネスプロセス、戦略的プロジェクト、リスクの塊といった多角的な視点で構成要素を分解できるかが問われます。
1. 導入:組織図だけが「地図」ではない
監査対象領域(ユニバース)を作成する際、最も簡単な方法は「組織図」をコピー&ペーストすることです。しかし、これだけでは不十分です。
なぜなら、現代のリスクは部門をまたがって(Cross-functional)存在するからです。 例えば、「サイバーセキュリティ」というリスクは、IT部門だけの問題ではありません。人事(教育)、総務(物理アクセス)、業務部門(パスワード管理)など、全社にまたがります。
GIASの視点: 監査対象領域の構成要素(監査可能な単位)は、組織の構造だけでなく、戦略、目標、およびリスクに基づいて識別されなければなりません。
2. 監査対象領域の主要な構成要素(4つの切り口)
試験対策として、監査対象を識別するための4つの主要な切り口(コンポーネント)を覚えましょう。
- 組織構造(Organizational Structure):
- 部門、支店、工場、子会社など。
- 最も基本的ですが、縦割り(サイロ)のリスクしか見えない可能性があります。
- 共通プロセス・機能(Common Processes/Functions):
- 調達から支払(P2P)、採用から退職、IT全般統制など。
- 複数の部門を横断する業務フローを一つの単位とします。
- 戦略的イニシアチブ・プロジェクト(Strategic Initiatives):
- 大規模なシステム導入(DX)、M&A統合プロジェクト、新市場参入、サステナビリティ推進など。
- これらは「部署」ではありませんが、高リスクかつ高付加価値な重要な監査対象です。
- 資産・情報(Assets/Information):
- 特定の重要資産(例:工場の大型設備)や、データ群(例:顧客データベース)そのものを対象とする場合。
イメージ: 「人体」を検査(監査)する場合、
部位別: 「手」「足」「頭」(組織構造)
システム別: 「血管」「神経」「消化器」(プロセス)
イベント別: 「骨折の治療」「手術後の経過」(プロジェクト) 医師(監査人)は、これらを組み合わせて最適な検査対象を定義します。
3. 粒度(Granularity)の調整
構成要素を識別する際、「どのくらいの大きさで切り分けるか」が重要です。
- 大きすぎる場合: (例:「製造本部」全体を1つの単位とする)
- リスクが埋没し、焦点がぼやけた監査になりがちです。
- 細かすぎる場合: (例:「工場Aの第1ラインのネジ締め工程」を1つの単位とする)
- 監査対象の数が膨大になり管理不能になります。また、戦略的な重要性が低い監査が増えます。
正解のアプローチ: 「リスク・プロファイル」に基づいて粒度を決めます。リスクが高い領域は細かく分解し、リスクが低い領域は大きくまとめます。
4. リスク・コントロール・マトリクス(RCM)への接続
識別された構成要素は、それぞれ固有の「リスク」と「コントロール」を持っています。 CAEは、識別した監査単位ごとに、以下を紐づけて理解する必要があります。
- この単位(例:調達プロセス)は、どの戦略目標に貢献しているか?
- この単位には、どのような固有リスクがあるか?
これにより、構成要素のリストは単なる「名簿」から「戦略的な監査マップ」へと進化します。
5. 試験で狙われる「ひっかけ」ポイント
- ×「監査対象領域の構成要素は、一度定義したら固定すべきである」
- 解説: 間違いです。組織再編や新プロジェクトの発足により、構成要素は常に変化します。動的に見直す必要があります。
- ×「外部委託先(アウトソーシング)は社外の組織であるため、監査対象領域の構成要素には含まれない」
- 解説: 誤りです。重要な業務を外部委託している場合、その委託業務(または委託先管理プロセス)は、内部監査の範囲に含めるべき重要な構成要素です。
- ×「『組織図上の部門』と『業務プロセス』が重複する場合、どちらか一方のみをリストアップすべきである」
- 解説: 必ずしもそうではありません。例えば「IT部門監査(組織)」と「サイバーセキュリティ監査(テーマ)」は重複しますが、視点が異なるため、両方を別々の監査対象としてリストアップし、リスク評価の結果に応じてどちらを実施するか(あるいは両方実施するか)を決めるのが一般的です。
まとめ
セクションB-1-bのポイントは、「多次元的な視点」です。
縦(組織): どの部署か?
横(プロセス): どんな業務か?
点(プロジェクト): どんな変化が起きているか?
これらを組み合わせて「監査可能な単位(Auditable Entity)」を識別することが、漏れのない監査計画の第一歩です。
【練習問題】パート3 セクションB-1-b
Q1. 内部監査部門長(CAE)が監査対象領域(Audit Universe)の構成要素を識別する際、従来の「部門別アプローチ」に加えて「プロセス・ベース(機能別)アプローチ」を採用することの最大の利点はどれか。
A. 監査報告書の配布先が部門長一人に限定されるため、コミュニケーションが容易になる。
B. 部門間の境界(ハンドオーバー)に存在するリスクや、組織横断的な非効率性を識別・評価しやすくなる。
C. 外部監査人が使用する財務報告の勘定科目と完全に一致するため、監査業務の調整が不要になる。
D. 各部門の業務マニュアルに従って監査を行うため、専門的な知識が不要になる。
【解答・解説】
正解と解説を表示
正解(B): プロセス・ベースのアプローチ(例:注文から入金まで)を採用することで、複数の部門にまたがる業務の流れ全体を評価できます。これにより、部門ごとの縦割り監査では見落とされがちな「部門間の連携ミス」や「重複業務」などのリスクを効果的に識別できます。
不正解(A): プロセス監査では複数の部門長が関係するため、コミュニケーションはむしろ複雑になります。
不正解(C): 財務監査との調整は必要ですが、内部監査の目的は財務報告に限らないため、完全に一致させるのが目的ではありません。
不正解(D): プロセス全体を理解するには、より高度な業務知識が必要です。
Q2. 組織が全社的なデジタルトランスフォーメーション(DX)プロジェクトを開始し、基幹システムの刷新を進めている。この状況において、監査対象領域(ユニバース)の構成要素として、このプロジェクトをどのように扱うべきか。
A. プロジェクトは一時的な活動であり、定常的な「部署」ではないため、監査対象領域には含めない。
B. プロジェクトが完了し、システムが稼働した後に、IT部門の一部として監査対象領域に追加する。
C. 「DXプロジェクト」自体を一つの独立した監査可能な単位(Auditable Entity)として識別し、開発・導入段階からのリスク評価対象とする。
D. 外部ベンダーが開発を行っているため、外部監査人の監査領域とし、内部監査の対象からは除外する。
【解答・解説】
正解と解説を表示
正解(C): 戦略的に重要で高リスクな大規模プロジェクトは、それ自体が重要な「監査可能な単位」です。完了を待つのではなく、プロジェクトの進行中(ガバナンス、進捗管理、要件定義など)から監査対象として識別することが、GIASの求めるリスク・ベースのアプローチです。
不正解(A): プロジェクト監査は内部監査の重要な領域です。一時的であってもリスクは存在します。
不正解(B): 完了後の監査(事後監査)だけでは、開発中の失敗やコスト超過などのリスクに対応できません。
不正解(D): 外部委託していても、発注者としての管理責任は残るため、内部監査の対象となります。
Q3. 監査対象領域の構成要素を識別する際の「粒度(Granularity)」に関する決定において、最も適切な考え方はどれか。
A. 監査管理ソフトの入力制限に合わせて、全ての構成要素を均一な大きさにする。
B. 組織図の最下層(課や係)に合わせて、可能な限り細分化してリストアップする。
C. 経営資源の配分や監査の効率性を考慮し、リスク・プロファイルが高い領域は細分化し、低い領域は統合するなど、リスクに基づいて調整する。
D. 過去の監査実績に基づいて、毎年同じ粒度を維持し、変更を加えない。
【解答・解説】
正解と解説を表示
正解(C): 監査対象の切り分け方(粒度)は、リスクに基づいて決定すべきです。高リスクな領域(例:デリバティブ取引)は細かく分解して詳細に評価し、低リスクな領域(例:事務用品管理)は大きくまとめることで、監査資源を効率的に配分できます。
不正解(A): ソフトウェアの制約ではなく、リスク評価の必要性が優先されます。
不正解(B): 細かすぎると管理コストが増大し、戦略的な視点を見失う(木を見て森を見ず)恐れがあります。
不正解(D): 組織やリスクの変化に応じて、粒度は動的に見直されるべきです。
