【CIA試験講義】パート3 セクションB-3-a: アシュアランス・プロバイダの識別と連携
テーマ:重複を避け、隙間を埋める ~「保証の地図」を描く~
セクションB-3-aは、内部監査部門が組織内の「唯一の監査役」ではないことを理解し、他の監視機能(アシュアランス・プロバイダ)とどう協力するかというテーマです。
試験では、「誰が」リスクを監視しているのかを正しく識別し、無駄な重複を避けて効率的な監査計画(結合された保証/Combined Assurance)を立てるための基礎知識が問われます。
1. 導入:なぜ「連携」が必要なのか?
組織には、内部監査以外にもリスクをチェックしている人たちがたくさんいます。 もし、内部監査人がA支店に行き、その翌週に品質管理部門が同じA支店を監査し、さらにその翌月に外部監査人がA支店に来たらどうでしょう? A支店長は「また監査か!同じことばかり聞かないでくれ」と疲弊してしまいます(これを「監査疲れ」と言います)。
GIASの視点: 内部監査部門長(CAE)は、他の内部および外部の保証提供者(アシュアランス・プロバイダ)と調整を行い、「保証の重複」を最小限に抑え、「監視の空白(隙間)」をなくす責任があります。
2. 「3つのライン(Three Lines)」モデルによる識別
アシュアランス・プロバイダを識別する際は、「3つのライン」モデルを使って整理すると分かりやすいです。
第1線:現場のマネジメント(The First Line)
- 役割: リスクを直接所有し、管理する。
- 例: 事業部門長、工場長、現場監督者。
- 注:彼らは「保証」というより「管理(コントロール)」の提供者ですが、彼らの自己評価(CSA)は重要な情報源になります。
第2線:専門管理部門(The Second Line)
- 役割: リスク管理の枠組みを作り、第1線をモニタリング・支援する。
- 例:
- コンプライアンス部門: 法令遵守のチェック。
- リスク管理部門(ERM): 全社的リスクの評価。
- 品質保証(QA)部門: ISO等の基準に基づく品質チェック。
- 情報セキュリティ部門: サイバーリスクの監視。
- 環境・安全衛生(EHS)部門: 労災や環境汚染の防止。
第3線:内部監査(The Third Line)
- 役割: 独立した客観的な保証を提供する。
外部のプロバイダ(External Providers)
役割: 組織の外から客観的な意見や保証を提供する。
例:
- 外部監査人(会計監査人): 財務諸表の適正性。
- 規制当局(検査官): 銀行検査や税務調査など。
- ISO審査機関: 認証維持のための審査。
3. アシュアランス・マップ(保証マップ)の作成
識別したプロバイダを整理するために、CAEは「アシュアランス・マップ」を作成することが推奨されます。
| リスク領域 | 第1線(現場) | 第2線(専門) | 第3線(内部監査) | 外部監査 |
|---|---|---|---|---|
| 財務報告 | 自己チェック | 経理部レビュー | 低頻度 | 高頻度 |
| 品質管理 | 製造記録 | QA監査 | 中頻度 | ISO審査 |
| サイバー | ログ監視 | セキュリティ診断 | 高頻度 | 侵入テスト |
★試験のポイント: このマップを見て、「外部監査がガッツリ見ている『財務報告』は、内部監査の頻度を下げよう(依存しよう)」と判断することが、効率的な計画策定(Coordination)です。
4. 依存(Reliance)する際の条件
他のプロバイダの作業結果を利用(依存)する場合、CAEは無条件に信じてはいけません。以下の3点を確認する必要があります。
- 客観性(Objectivity): 公正不偏な立場か?
- 独立性(Independence): 監査対象から独立しているか?
- 適格性(Competence): 専門的なスキルを持っているか?
※特に第2線の部門(例:コンプライアンス部門)は、経営陣の指揮下にあるため、「独立性」は内部監査よりも低い場合があります。その点を考慮して信頼の度合い(保証のレベル)を調整します。
5. 試験で狙われる「ひっかけ」ポイント
- ×「外部監査人は財務諸表監査に専念すべきであり、内部監査人は彼らと情報を共有してはならない」
- 解説: 間違いです。独立性は保ちつつも、リスク情報や監査スケジュールの共有(調整)は積極的に行うべきです。
- ×「品質管理部門(第2線)が監査を行っている場合、内部監査部門はその領域の監査を永久に免除される」
- 解説: 誤りです。「活用・調整」はできますが、最終的な内部監査の責任(保証責任)を放棄することはできません。第2線の監査がちゃんと機能しているかを定期的にチェックする必要があります。
- ×「規制当局(検査官)はアシュアランス・プロバイダには含まれない」
- 解説: 含まれます。規制当局の検査結果は、リスク評価や監査計画にとって極めて重要なインプット情報です。
まとめ
セクションB-3-aのポイントは、「チーム・アプローチ」です。
- Who: 社内(第2線)と社外(外部監査・規制当局)に誰がいるか?
- Where: 彼らは何を見ているか?
- How: どうやって彼らの作業を活用し、楽をする(効率化する)か?
内部監査人は「一匹狼」ではなく、組織全体の「監視ネットワークのコーディネーター」として振る舞うことが求められています。
【練習問題】パート3 セクションB-3-a
Q1. 内部監査部門長(CAE)が、監査業務の重複を避け、効率的な「結合された保証(Combined Assurance)」モデルを構築しようとしている。このプロセスにおいて識別すべき「内部のアシュアランス・プロバイダ(第2線)」として、最も適切な組み合わせはどれか。
A. 取締役会、監査委員会、外部会計監査人
B. 現場の製造ライン担当者、営業担当者、経理担当者
C. 環境・安全衛生(EHS)部門、品質保証(QA)部門、コンプライアンス部門
D. 規制当局の検査官、ISO認証機関の審査員、顧問弁護士
【解答・解説】
正解と解説を表示
正解(C): 第2線(The Second Line)は、リスク管理、コンプライアンス、品質管理、セキュリティなどの専門的な管理機能を提供する部門を指します。彼らは内部における重要なアシュアランス・プロバイダです。
不正解(A): これらはガバナンス機関(取締役会)や外部プロバイダです。
不正解(B): これらはリスクを直接管理する第1線(現場)です。
不正解(D): これらは組織の外部に存在する外部アシュアランス・プロバイダです。
Q2. 内部監査人が監査計画を策定する際、他のアシュアランス・プロバイダ(保証提供者)と連携することの主な目的として、最も不適切なものはどれか。
A. 組織内のリスクに対する保証の重複を最小限に抑え、監査対象部門の負担(監査疲れ)を軽減する。
B. 各プロバイダがカバーしていない「監視の空白(隙間)」を特定し、重要なリスクが見過ごされないようにする。
C. 外部監査人の作業に全面的に依存することで、内部監査部門の人員を削減し、最終的には内部監査機能を廃止する。
D. 専門的な知識を持つ第2線(例:サイバーセキュリティ部門)の知見を活用し、より効果的なリスク評価を行う。
【解答・解説】
正解と解説を表示
正解(C): 連携の目的は「効率化と有効性の向上」であり、内部監査機能の廃止ではありません。内部監査には独自の「独立した客観的な保証」という役割があり、他のプロバイダがいてもその責任(特にガバナンスの評価など)は代替できません。
不正解(A): 重複排除と負担軽減は、連携の主要なメリットです。
不正解(B): アシュアランス・マップ等を用いて空白を埋めることは重要な目的です。
不正解(D): 専門知識の活用は、監査の質を高めるために有効です。
Q3. 内部監査部門長(CAE)は、環境リスクに関する監査を計画しているが、社内の「環境安全部(第2線)」が既に定期的な巡回点検を実施していることを知った。CAEが環境安全部の作業結果を監査証拠として活用(依存)する前に評価すべき要素として、最も優先度が低いものはどれか。
A. 環境安全部の担当者の適格性(専門的な知識やスキルを持っているか)。
B. 環境安全部が組織内で置かれている立場や報告ライン(十分な客観性を保てるか)。
C. 環境安全部が使用している点検チェックリストや手法の妥当性(専門職としての正当な注意が払われているか)。
D. 環境安全部の担当者がCAEと個人的に親しい関係にあり、融通が利くかどうか。
【解答・解説】
正解と解説を表示
正解(D): 個人的な親しさや融通の利きやすさは、作業への依存を決定する基準としては不適切です(むしろ癒着のリスクとなります)。評価すべきは、適格性、客観性、そして専門職としての注意(Care)です。
不正解(A): スキル(適格性)の評価は必須です。
不正解(B): 客観性(独立性)のレベルを確認し、それに応じた依存度を決める必要があります。
不正解(C): 作業内容(手法)の質を確認することは必須です。
