【CIA試験講義】パート3 セクションB-1-g: 監査周期(頻度)の決定とその理由
テーマ:「定期検診」か「緊急手術」か ~リスクに応じたタイミングの決定~
セクションB-1-gは、特定された監査対象(ユニバースの構成要素)に対して、「いつ」「どのくらいの頻度で」監査を実施すべきかを決定するロジックに関する分野です。
試験では、「すべての部署を3年に1回必ず回る」といった固定的なローテーション(Cyclical Approach)と、GIASが推奨するリスク・ベースのアプローチの違い、そしてなぜ監査頻度に強弱をつける必要があるのかという「理由」が問われます。
1. 導入:なぜ「頻度」を決める必要があるのか?
監査資源(人、時間、予算)は有限です。一方で、監査対象領域(ユニバース)は膨大です。 もし、すべての対象を毎年監査しようとすれば、資源は瞬く間に枯渇し、監査の質は低下します。逆に、何年も放置すれば、そこで不正や重大なミスが発生しても気づけません。
したがって、内部監査部門長(CAE)は、以下の理由に基づいて、各監査対象の実施頻度(Frequency)を正当化する必要があります。
- リスクの変動: リスクは常に変化します。高リスクな領域は頻繁に、低リスクな領域は間隔を空けて監査する必要があります。
- 規制上の要求: 法律や規制当局によって、「年に1回監査すること」と義務付けられている場合があります(例:金融機関の特定業務など)。
- 資源の最適配分: 最も重要な場所に、最も多くの時間を割くためです。
2. 「固定的周期」vs「リスク・ベース」
試験で最も重要な対立軸です。
× 旧来の「固定的周期(Cyclical)」アプローチ
「全支店を3年かけて一巡する」「全ての部署を5年に1回は監査する」というやり方。
- メリット: 公平感があり、計画が立てやすい。
- デメリット: GIAS的には推奨されません。 リスクが低い部署を監査している間に、リスクが高い部署で問題が起きる可能性があるからです。
○ GIAS推奨の「リスク・ベース」アプローチ
リスク評価の結果に基づいて頻度を決めるやり方。
- 高リスク領域: 毎年、あるいは半期ごとに監査(または継続的モニタリング)。
- 中リスク領域: 2~3年に1回。
- 低リスク領域: 基本的に監査しない、あるいは数年に1回の簡易レビューのみ。
イメージ:
歯科検診です。 「虫歯になりやすい人」は3ヶ月に1回来てくださいと言われます。 「歯が健康な人」は1年に1回で十分です。 全員一律に「半年ごと」にするのは、医療資源(監査資源)の無駄遣いか、またはケア不足になります。
3. 監査周期を左右する「変動要因」
一度決めた周期も絶対ではありません。以下のトリガー(要因)により、頻度は見直されるべきです。
- 前回の監査結果: 前回「不備多数」だった部署は、改善確認のために頻度を上げる(サイクルを短くする)必要があります。逆に「極めて良好」だった部署は、次回の監査を先送りできるかもしれません。
- 重要な変更(Change): 新システムの導入、組織再編、責任者の交代などがあった場合、リスクが高まるため、予定より早く監査を実施すべきです。
- 経過期間(Time elapsed): 低リスクであっても、「5年以上誰も見ていない」状態はそれ自体がリスク(牽制機能の低下)となるため、サンプリング的に監査を入れることがあります。
4. 試験で狙われる「ひっかけ」ポイント
- ×「公平性を保つため、すべての監査対象領域は均等な頻度で監査されなければならない」
- 解説: 間違いです。内部監査における公平性とは「みんな同じ回数」ではなく、「リスクの大きさに応じて資源を配分すること」です。
- ×「低リスクと評価された領域は、永久に監査対象から除外してよい」
- 解説: 危険です。環境変化によりリスクが急上昇することもあります。定期的なリスク再評価(Risk Re-assessment)を行い、必要に応じて監査周期に組み込む必要があります。
- ×「規制当局が年1回の監査を求めている業務でも、CAEのリスク評価で『低リスク』なら、監査頻度を下げてよい」
- 解説: 誤りです。「法令・規制上の要求」は絶対的な制約条件です。リスク評価に関わらず、コンプライアンス遵守のために要求された頻度を守らなければなりません。
まとめ
セクションB-1-gのポイントは、「メリハリ(Prioritization)」です。
- Rule: 監査頻度は「リスク」と「規制要件」で決まる。
- Avoid: 機械的なローテーション(思考停止)は避ける。
- Action: 状況が変われば、スケジュールも変える。
「なぜ今年、この監査をやるのですか?」と聞かれたとき、「順番だからです」ではなく、「リスクが高いからです」または「法律で決まっているからです」と答えられるようにするのが、GIASの求める計画策定です。
【練習問題】パート3 セクションB-1-g
Q1. 内部監査部門長(CAE)は、過去10年間にわたり「3年ですべての事業拠点を一巡する」という固定的なローテーション・スケジュールを採用してきた。しかし、直近の品質評価において、このアプローチはGIASの基準に適合していない可能性があると指摘された。GIASに準拠するために、CAEが採用すべきアプローチはどれか。
A. 3年周期では期間が長すぎるため、スタッフを増員して「1年ですべての拠点を一巡する」スケジュールに変更する。
B. 拠点ごとのリスク評価を実施し、高リスク拠点は頻繁に(例:毎年)、低リスク拠点は頻度を下げて(例:3~5年に1回)、監査資源を配分する計画に変更する。
C. 公平性を担保するため、くじ引きによるランダムサンプリングで毎年の監査対象拠点を決定する。
D. 固定ローテーションは維持しつつ、各拠点の監査期間(日数)を短縮して効率化を図る。
【解答・解説】
正解と解説を表示
正解(B): GIASは、機械的な周期(ローテーション)ではなく、リスクの重要性に基づいた監査計画を求めています。リスクの高い領域に資源を集中させ、低い領域の頻度を下げる「リスク・ベース」のアプローチが、組織にとって最大の価値を提供します。
不正解(A): 全拠点を毎年監査するのはコスト対効果が悪く、低リスク領域に無駄な資源を使うことになります。
不正解(C): ランダム性は重要ですが、高リスク拠点が長期間監査されないリスクがあるため、計画の主軸にはなりません。
不正解(D): 日数を短縮しても、リスクと頻度の不整合という根本的な問題は解決しません。
Q2. ある金融機関の内部監査部門長(CAE)は、特定の取引業務について、リスク評価の結果「リスクは低い」と判断した。しかし、関連する金融規制当局の規則では、当該業務について「年1回の内部監査」が義務付けられている。この場合の監査頻度の決定として、最も適切なものはどれか。
A. 内部監査の独立性に基づき、CAEのリスク評価を優先させ、監査頻度を3年に1回に引き下げる。
B. リスクが低い業務に資源を使うのは無駄であるため、規制当局に対して免除申請を行い、承認されるまでは監査を行わない。
C. リスク評価の結果に関わらず、規制上の要求事項(年1回)を遵守して監査計画に組み込む。
D. 外部監査人に当該業務の監査を依頼し、内部監査計画からは除外する。
【解答・解説】
正解と解説を表示
正解(C): 監査頻度の決定において、「法令・規制上の要求」は必須の制約条件です。CAEのリスク評価で低リスクであっても、法令遵守(コンプライアンス)自体が組織の義務であるため、要求された頻度(年1回)を守る必要があります。
不正解(A): 規制要件を無視することは、コンプライアンス違反(法令違反リスク)となり、逆に組織を高リスクに晒すことになります。
不正解(B): 承認される前に監査を止めることは許されません。
不正解(D): 外部監査人に委託してもよいですが、組織としての監査義務が消えるわけではなく、計画(ユニバース)上は頻度要件を満たすよう管理する必要があります。
Q3. 次の記述のうち、内部監査の実施頻度(Audit Frequency)を変更・調整する正当な理由として、最も適切でないものはどれか。
A. 前回監査の結果、重大な内部統制の不備が発見されたため、改善状況を確認するために次回の監査時期を早めた。
B. 組織再編により、監査対象部門の業務プロセスと責任者が大幅に変更されたため、リスク再評価を行い、監査の優先順位を上げた。
C. 監査対象部門長から「今年は繁忙期で忙しいので、監査を来年に延期してほしい」と個人的に頼まれたため、要請を受け入れた。
D. 長期間監査が行われていない「低リスク領域」について、リスク環境に変化がないか確認するため、簡易的な監査をスケジュールした。
【解答・解説】
正解と解説を表示
正解(C): 被監査部門の「都合」や「抵抗」だけで、必要な監査を延期することは適切ではありません。正当な理由(システム入替による物理的なデータアクセス不可など)がない限り、単なる「忙しさ」を理由に監査頻度を変更することは、独立性と客観性を損なう可能性があります。
不正解(A): 過去の監査結果(不備)は、頻度を上げる正当な理由です。
不正解(B): 組織やプロセスの「変更」はリスクを高める要因であり、頻度見直しのトリガーとなります。
不正解(D): 長期間の空白を埋めるためのサンプリング的監査は、ユニバース全体のカバレッジを保つために適切です。
