監査周期の決定要因｜リスクに応じた頻度設定【CIAパート3】

Contents

テーマ：「オプション」ではなく「必須科目」～トピック別要求事項の適用判定～
【練習問題】パート3 セクションB-1-c

テーマ：「オプション」ではなく「必須科目」～トピック別要求事項の適用判定～

セクションB-1-cは、監査計画を策定する際に、「今回監査しようとしているテーマに対して、GIASが定めた『トピック別要求事項（Topical Requirements）』が存在するか？」を確認し、その適用を判断するプロセスです。

試験では、これを単なる「参考資料」としてではなく、「条件付きの必須ルール（Conditional Mandatory）」として正しく認識しているかが問われます。

1. 導入：なぜ「計画段階」で確認が必要なのか？

これまで、特定のテーマ（例：ITセキュリティ）を監査する際、監査人はISACAのフレームワークやNISTなどの外部基準を参考に独自にチェックリストを作っていました。

しかし、GIASでは、特定の重要リスク領域について「トピック別要求事項」を制定しました。もし、あなたが計画している監査テーマに対応する「トピック別要求事項」が存在する場合、それを無視して監査計画を立てることはできません。

なぜなら、トピック別要求事項は、その分野において「最低限評価すべきリスク」や「必須の監査手続き」を規定しているからです。これを確認せずに計画を立てると、後で「基準不適合」となる恐れがあります。

2. 情報源としての「トピック別要求事項」

監査対象領域（ユニバース）の中から、個々の監査案件（エンゲージメント）を選定する際、トピック別要求事項は強力な「情報源」となります。

何をテストすべきか（Scope）： トピック別要求事項には、そのテーマにおける標準的なガバナンス、リスク管理、コントロールの要件が書かれています。これを読めば、ゼロからテスト項目を考える必要がなくなります。
どこまでやるべきか（Depth）： 監査の深さや範囲を決定する際のベースライン（基準線）となります。

3. 適用可能性の判定プロセス（Yes/Noチャート）

CAE（内部監査部門長）または担当監査人は、個々の監査業務を計画する際、以下の判定を行う必要があります。

ステップ①：テーマの照合

「今回の監査対象（例：外部委託先の選定プロセス）は、GIASのトピック別要求事項のリストにあるか？」

No： 一般要求事項（General Requirements）のみに従って計画する。
Yes： 次のステップへ。

ステップ②：必須適用の原則

「Yes」の場合、原則としてそのトピック別要求事項に従わなければなりません。これは「従ってもよい（推奨）」ではなく、「従わなければならない（必須）」です。

ステップ③：非該当項目の除外（Tailoring）

ここが実務的なポイントです。トピック別要求事項全体は適用されますが、その中の「個別の要件」が組織の状況に当てはまらない場合があります。

例：「サイバーセキュリティ」のトピック別要求事項に「クラウドセキュリティ」の項目があるが、監査対象の組織は完全にオンプレミス（自社サーバー）で運用しており、クラウドを一切使っていない。

この場合、監査人はその項目を「適用不可（Not Applicable）」として除外できます。ただし、単に「面倒だから」ではなく、「当該リスクが存在しないため」という合理的な理由を文書化する必要があります。

4. 試験で狙われる「ひっかけ」ポイント

×「トピック別要求事項は、あくまで新人監査人のためのガイドラインであり、ベテラン監査人は独自の判断を優先して無視してよい」
- 解説： 間違いです。経験年数に関わらず、該当するテーマの監査を行う場合は遵守義務（Mandatory）があります。
×「少しでも関連するテーマがあれば、そのトピック別要求事項の全ての項目をテストしなければならない」
- 解説： 形式的すぎます。組織のリスク・プロファイルやビジネス環境に照らして、関連しない（リスクがない）項目は、理由を文書化した上で適用を除外できます。
×「トピック別要求事項が存在しないテーマについては、内部監査を実施することができない」
- 解説： 誤りです。トピック別要求事項がないテーマ（例：特定の業界固有のプロセスなど）については、一般要求事項（General Requirements）に基づき、独自のリスク評価を行って監査を実施します。

まとめ

セクションB-1-cのポイントは、「該当するなら逃げられない」というルールです。

Check: 計画時に必ず「トピック別要求事項はあるか？」を確認する。
Apply: あるなら、それを計画のベース（最低基準）にする。
Justify: 使わない項目があるなら、その理由を説明する。

これは監査の自由度を奪うものではなく、監査品質のバラつきを防ぎ、ステークホルダーに標準化された保証を提供するための枠組みです。

【練習問題】パート3 セクションB-1-c

Q1. 内部監査部門長（CAE）は、次年度の監査計画を策定中であり、「サステナビリティ（持続可能性）報告」に関する監査業務を予定している。GIASにおいて、このテーマに関するトピック別要求事項が公表されていることを確認した。この状況におけるCAEの対応として、最も適切なものはどれか。

A. トピック別要求事項は、外部監査人が使用する基準であるため、内部監査計画には影響させず、独自のアプローチで計画する。

B. サステナビリティ監査を実施する場合、関連するトピック別要求事項に準拠することは必須であるため、その要件を監査計画の目標と範囲に組み込む。

C. トピック別要求事項は「推奨ガイダンス」に過ぎないため、参考資料として配布するにとどめ、準拠するかどうかは担当監査人の判断に委ねる。

D. 組織のサステナビリティ部門がまだ未成熟である場合、トピック別要求事項を適用することは時期尚早であるため、適用を無期限に見送る。

【解答・解説】

正解と解説を表示

正解（B）： GIASにおいて、トピック別要求事項（Topical Requirements）は、該当する監査テーマを実施する場合に遵守が求められる「必須（Mandatory）」の要件です。したがって、計画策定時にその要件を確認し、監査の目標と範囲に反映させる義務があります。

不正解（A）： トピック別要求事項は内部監査人のための基準です。

不正解（C）： 旧基準（IPPF）のガイダンスとは異なり、GIASのトピック別要求事項は推奨ではなく必須です。

不正解（D）： 組織が未成熟であっても、基準を無視してよい理由にはなりません。現状（ギャップ）を評価するために基準を使用すべきです。

Q2. 担当監査人が「IT全般統制」の監査を計画しており、関連するトピック別要求事項を参照している。その中に「モバイルデバイス管理（MDM）」に関する必須テスト項目があるが、監査対象の部門では業務上のモバイルデバイス（スマホやタブレット）の使用を一切禁止しており、システム的にも接続できない環境にある。この場合の対応として、GIASに基づき最も適切なものはどれか。

A. トピック別要求事項は絶対的なものであるため、モバイルデバイスが使用されていないという事実を「不適合」として報告書に記載する。

B. モバイルデバイスが存在しないためテストは不可能であるが、要件を満たすために架空のデータを作成してテストを実施する。

C. 当該要件は、組織のビジネス環境やリスクに関連しない（適用不可）と判断し、その正当な理由（使用禁止およびシステム的遮断の事実）を文書化した上で、監査範囲から除外する。

D. モバイルデバイスに関する項目は無視し、特に文書化も行わずに他の項目のテストを進める。

【解答・解説】

正解と解説を表示

正解（C）： トピック別要求事項の適用においては、組織のリスクや状況に応じた判断が認められます。特定のリスクや活動が存在しない場合、その理由を文書化することで、当該要件を「適用不可」として監査範囲から除外することが適切です。

不正解（A）： リスクがない（活動がない）ことは不適合ではありません。

不正解（B）： 監査において架空のデータを用いることは倫理違反です。

不正解（D）： 基準からの逸脱（適用除外）を行う場合は、必ずその理由を文書化する必要があります。

Q3. 個々の監査業務（エンゲージメント）の計画段階において、トピック別要求事項の適用可能性を認識・検討することの主な目的として、最も適切なものはどれか。

A. 監査にかかる時間を可能な限り短縮し、監査人の負担を減らすため。