動的な監査計画（Dynamic Planning）｜変化への即応【CIAパート3】

Contents

テーマ：「黄金の糸（Golden Thread）」を見つけ出す～監査は誰のためにあるのか？～
【練習問題】パート3 セクションB-2-b

テーマ：「黄金の糸（Golden Thread）」を見つけ出す～監査は誰のためにあるのか？～

セクションB-2-bは、作成したリスク・ベースの監査計画が、組織の向かっている方向（戦略）や、みんなの期待（ステークホルダー）とズレていないかを確認し、ピタリと合わせる（Align）プロセスです。

試験では、「監査計画は、組織の目的達成を支援するために存在する」という大原則を理解しているかが問われます。どれほどリスク評価が精緻でも、組織の戦略と無関係な監査計画は「価値がない」とみなされます。

1. 3つの「整合（Alignment）」の軸

CAE（内部監査部門長）が監査計画を策定する際、以下の3つの要素を一本の糸で繋ぐ必要があります。これを「黄金の糸（Golden Thread）」と呼ぶことがあります。

組織体の戦略（Organization’s Strategy）： 組織が何を達成しようとしているか？（例：デジタル市場への進出、M&Aによる拡大）
内部監査の戦略（Internal Audit Strategy）： 内部監査部門が中長期的にどうありたいか？（例：データ分析主導の監査への変革、アドバイザー機能の強化）
ステークホルダーの期待（Stakeholder Expectations）： 取締役会や経営陣は何を心配し、何を期待しているか？（例：企業文化の健全性、サイバーリスクの保証）

★ポイント： これら3つがバラバラだと、内部監査は「孤立」します。組織が「デジタル化」を目指しているのに、内部監査が「紙の伝票チェック（旧来の手法）」ばかり計画し、ステークホルダーが「サイバー攻撃が怖い」と言っている状況は、不整合の典型例です。

2. 整合させるためのプロセス（4ステップ）

この整合性を確保するために、CAEは以下の手順を踏みます。

ステップ①：戦略の理解（インプットの入手）

まず、組織の事業計画書や戦略資料を読み込みます。

「今年は守り（コスト削減）の年か、攻め（新規事業）の年か？」
この戦略に伴うリスクは何か？

ステップ②：対話による期待の把握

取締役会や上級経営陣とコミュニケーションをとります（セクションA-4-a参照）。

「この監査計画案は、あなたの懸念（期待）をカバーできていますか？」と問いかけ、フィードバックを得ます。

ステップ③：マッピング（紐づけ）

監査計画の各案件が、どの戦略目標やリスクに対応しているかを可視化します。

監査案件「クラウドセキュリティ」 → 戦略目標「DX推進」のリスク低減に貢献
監査案件「M&Aプロセス」 → 戦略目標「海外シェア拡大」の成功支援

ステップ④：内部監査戦略との調整

個別の監査計画を実行することで、内部監査部門自身のビジョン（例：テクノロジー活用）も達成できるように調整します。

例：「在庫監査」を実施する際、ドローンやAIを使って効率化することで、内部監査の「デジタル化戦略」も同時に推進する。

3. 動的な再整合（Dynamic Re-alignment）

戦略は変わります。期待も変わります。したがって、監査計画の整合性確認は「年1回のイベント」ではありません。

戦略変更時： 組織が急に方針転換したら、監査計画も追随して変更しなければなりません。
期待の変化時： 新しいCEOが就任し、優先順位が変われば、計画を修正（Re-align）します。

4. 試験で狙われる「ひっかけ」ポイント

×「内部監査の独立性を保つため、組織の経営戦略とは距離を置き、独自の観点だけで監査計画を立てるべきである」
- 解説： 完全な間違いです。内部監査の究極の目的は「組織の価値を高め、保全すること」です。組織の戦略を無視した監査は、価値を提供できません。
×「ステークホルダーの期待とリスク評価の結果が矛盾する場合、常にリスク評価（客観的データ）のみを優先し、期待は無視すべきである」
- 解説： バランスが必要です。データ上のリスクが低くても、取締役会が強く懸念している事項（期待）があれば、それを計画に組み込むか、あるいは「なぜ監査しないか」を丁寧に説明して納得を得るプロセスが必要です。無視してはいけません。
×「内部監査の戦略は、組織全体の戦略よりも上位に位置づけられる」
- 解説： 誤りです。内部監査部門は組織の一部です。内部監査の戦略は、組織全体の戦略をサポートするために存在します（従属関係）。

まとめ

セクションB-2-bのポイントは、「リンク（Linkage）」です。

Goal: 監査計画 ⇔ 組織戦略 ⇔ ステークホルダーの期待 ⇔ 内部監査戦略
Why: これらがリンクしていないと、内部監査は「役に立たない（Irrelevant）」存在になる。

CAEは、監査計画書を取締役会に提示する際、「この監査を行うことが、御社のこの戦略目標の達成にどう役立つか」を語れなければなりません。

【練習問題】パート3 セクションB-2-b

Q1. ある企業は、従来の「国内市場での安定成長」から「新興国への積極的な進出」へと戦略を大きく転換した。しかし、現在の内部監査計画は、依然として国内支店の業務効率性監査に重点が置かれている。GIASの観点から、内部監査部門長（CAE）が直ちに行うべきアクションとして最も適切なものはどれか。

A. 現在の監査計画は取締役会で承認済みであるため、年度末までは現在の計画を遂行し、次年度から海外監査を増やす。

B. 組織の戦略変更に伴う新たなリスク（地政学リスク、海外規制対応など）を評価し、監査計画を見直して、新戦略との整合性を確保するための修正案を取締役会に提示する。

C. 海外進出はリスクが高すぎて内部監査の手に負えないため、監査対象領域から除外し、国内監査に集中することで独立性を維持する。

D. 戦略の転換は経営陣の責任であり、内部監査は過去の取引の正確性を検証する役割に徹するべきであるため、計画の変更は不要である。

【解答・解説】

正解と解説を表示

正解（B）： 監査計画は、組織の戦略と整合していなければなりません。戦略が大きく変われば、リスクの所在も変わります。CAEは動的にリスク評価を見直し、計画を修正（Re-align）して、組織の新戦略を支援する体制を整える必要があります。

不正解（A）： 状況が変わっているのに古い計画に固執することは、内部監査の価値を低下させます。

不正解（C）： リスクが高いからこそ、内部監査の関与が必要です。能力不足なら外部リソース等を検討すべきです。

不正解（D）： 内部監査は過去の検証だけでなく、将来の目標達成（戦略）を支援する役割も担っています。

Q2. 内部監査部門長（CAE）は、監査委員会との協議において「最近、従業員のエンゲージメント（意欲）低下と企業文化の悪化を懸念している」という意見を受け取った。しかし、定量的なリスク評価モデルでは「企業文化」のリスクスコアは中程度であった。この「ステークホルダーの期待」と「リスク評価」のギャップに対する対応として、最も適切なものはどれか。

A. リスク評価モデルの客観性を優先し、企業文化に関する監査は行わないと即答する。

B. ステークホルダーの期待は重要なインプットであるため、リスク評価の結果を補完する要素として考慮し、企業文化やソフト・コントロールに関する監査（またはアドバイザリー業務）を計画に組み込むことを検討する。

C. 企業文化は監査不能な領域であるため、人事部に丸投げし、内部監査としては関与しない。

D. 期待に応えるふりをして計画には入れるが、実際にはリソースを割り当てず、期末に「時間切れで実施できなかった」と報告する。

【解答・解説】

正解と解説を表示

正解（B）： 監査計画の策定において、ステークホルダー（特に取締役会）の期待は、定量的なリスク評価と同様に重要な要素です。彼らの懸念に対応することは、内部監査が組織に価値を提供するために不可欠です。文化のような定性的なテーマも、適切な手法を用いれば監査・評価可能です。

不正解（A）： ステークホルダーの懸念を無視することは、信頼関係を損ない、戦略的整合性を欠くことになります。

不正解（C）： 企業文化（ソフト・コントロール）はGIASにおいても重要な監査対象領域です。

不正解（D）： 不誠実な対応であり、倫理的にもプロフェッショナルとしても不適切です。

Q3. 「内部監査の戦略」と「個々の内部監査計画」の整合性に関する記述として、最も適切なものはどれか。

A. 内部監査の戦略は、個々の監査計画の積み上げによって事後的に形成されるものであり、事前に策定する必要はない。