Contents
  1. テーマ:「交通整理」と「相乗り」の技術 ~監査疲れを防ぐコーディネーション~
  2. 【練習問題】パート3 セクションB-3-b

テーマ:「交通整理」と「相乗り」の技術 ~監査疲れを防ぐコーディネーション~

セクションB-3-bは、識別された他のアシュアランス・プロバイダ(第2線や外部監査人)と、具体的にどのように監査のスケジュールや範囲を「調整(Coordination)」し、彼らの作業結果を「活用(Reliance)」するかという実務的なプロセスです。

試験では、各プレイヤーがバラバラに動く非効率な状態から、「結合された保証(Combined Assurance)」という統合された状態へ移行させるCAE(内部監査部門長)のリーダーシップと判断力が問われます。

1. 調整(Coordination)の目的とメリット

なぜ、わざわざ他部門や外部監査人と調整するのでしょうか?

  1. 「監査疲れ(Audit Fatigue)」の防止: 現場にとって、同じ時期に、同じような資料請求やインタビューを何度も受けることは苦痛です。調整することで、現場の負担を減らせます。
  2. リソースの最適化: 他の誰かが詳しく見ている領域(例:品質管理部門が検査済みの工場)は、内部監査の範囲を縮小し、その分を他の高リスク領域(例:未監査の海外支店)に回せます。
  3. カバレッジ(網羅性)の向上: 重複を排除することで浮いた時間を使い、今まで見落とされていた「監視の空白(隙間)」を埋めることができます。

2. 具体的な調整方法(How to Coordinate)

CAEは以下の手法を用いて、アシュアランス活動を最適化します。

① スケジュールの共有と同期

  • 「いつ誰が行くか」の調整: 外部監査人が10月に在庫棚卸をするなら、内部監査は春に別のテーマで訪問するなど、時期をずらします。
  • 合同監査(Joint Audit): 逆に、ITセキュリティ部門と内部監査人が同時に訪問し、一度のインタビューで両方の視点(技術的詳細とガバナンス)を確認します。

② 報告書の共有と共通言語化

  • リスク評価基準の統一: 第2線と第3線で「高リスク」の定義が違うと話が噛み合いません。リスクの言語(評価基準)を統一します。
  • 発見事項の共有: 外部監査人のマネジメントレター(指摘事項)を内部監査計画のインプットとして利用します。

③ アシュアランス・マップの活用

縦軸に「リスク領域」、横軸に「各プロバイダ」を並べたマトリクスを作成し、誰がどこをカバーしているか(または誰の目も届いていないか)を可視化します。これが調整のための最強のツールです。

3. 業務の「活用(Reliance)」プロセス

他のプロバイダの作業結果を、内部監査の証拠として利用することを「活用(Reliance)」と呼びます。 これを行うには、CAEによる厳格な評価プロセスが必要です。

  1. 評価(Evaluate): そのプロバイダは客観的か? 能力はあるか? 作業の質は十分か?(セクションB-3-a参照)
  2. 検証(Verify): 彼らのレポートを鵜呑みにせず、一部を再テスト(Re-testing)したり、作業調書をレビューしたりして、信頼性を確認します。
  3. 活用(Rely): 信頼できると判断した場合、その結果を内部監査報告書に取り込みます。

★ポイント: 活用しても、「最終的な結論に対する責任」はCAEに残ります。 「品質管理部門が大丈夫だと言っていたので、私も大丈夫だと思いました(が、実は間違いでした)」という言い訳は通用しません。

4. 試験で狙われる「ひっかけ」ポイント

  1. ×「外部監査人と内部監査人は独立性を保つため、監査計画やスケジュールの共有を行ってはならない」
    • 解説: 間違いです。独立性は保ちつつも、重複を避けるための「調整」は必須です。
  2. ×「他のプロバイダの業務を活用する場合、CAEはその結果に対する一切の責任を負わない」
    • 解説: 誤りです。CAEは「活用する」という判断を下したことに対し責任を負います。したがって、活用のための十分な根拠(検証作業)が必要です。
  3. ×「アシュアランス・マップを作成する主な目的は、内部監査部門の人員削減を正当化することである」
    • 解説: 目的は「保証の最適化」と「重複・空白の解消」です。結果的に効率化されますが、人員削減ありきではありません。

まとめ

セクションB-3-bのポイントは、「Trust but Verify(信頼せよ、されど検証せよ)」です。

  • Coordinate: 予定を合わせる。
  • Verify: 相手の腕前を確かめる。
  • Rely: 安心して任せる(または結果を使う)。

CAEは、組織内の監視機能をオーケストラのように指揮し、全体として美しいハーモニー(完全な保証)を奏でる役割を担います。

【練習問題】パート3 セクションB-3-b

Q1. 内部監査部門長(CAE)が「アシュアランス・マップ(保証マップ)」を作成し、活用することの主な利点として、最も適切な記述はどれか。

A. 内部監査部門の活動を外部監査人に完全に委託するための法的根拠を提供する。

B. 組織内のリスクに対する保証の「重複」と「空白(隙間)」を可視化し、アシュアランス活動全体の調整と最適化を可能にする。

C. 各部門の責任者の給与査定に使用するための、客観的なパフォーマンスデータを提供する。

D. 内部監査部門がすべてのリスク領域を単独でカバーしていることを証明し、予算増額を要求するための資料となる。

【解答・解説】

正解と解説を表示

正解(B): アシュアランス・マップの最大の目的は、誰が(第1線、第2線、第3線、外部)どのリスクを見ているかを一覧化することです。これにより、「誰も見ていない高リスク領域」や「みんなで見過ぎている低リスク領域」を発見し、リソース配分を調整(Coordinate)することができます。

不正解(A): 委託のためのツールではありません。

不正解(C): 給与査定のためのツールではありません。

不正解(D): 単独ですべてカバーすることは非効率であり、マップの目的(役割分担の可視化)と矛盾します。

Q2. 内部監査部門長(CAE)は、特定の専門的なエンジニアリング・プロセスの監査において、社内の品質保証(QA)部門が実施した最近の検査結果を「活用(Rely)」しようと考えている。この決定を行う前にCAEが実施すべき手続きとして、最も不適切なものはどれか。

A. QA部門の組織上の独立性と、担当者の客観性を評価する。

B. QA部門の検査手法や基準が、十分かつ適切であるかを確認するために、作業内容をレビューする。

C. QA部門の結論が信頼できるかを確かめるために、いくつかのサンプルについて再テスト(再検証)を行う。

D. QA部門の責任者と個人的に親しい関係にあるため、検証手続きを省略して報告書をそのまま採用する。

【解答・解説】

正解と解説を表示

正解(D): 他のプロバイダの業務を活用する場合、その信頼性を確認するための客観的な評価(検証)プロセスが必須です。個人的な関係に基づいて検証を省略することは、専門職としての正当な注意(Due Professional Care)に欠け、監査基準違反となります。

不正解(A): 相手の独立性・客観性の評価は必須です。

不正解(B): 手法の妥当性確認は必須です。

不正解(C): 限定的な再テスト(Re-testing)は、信頼性を確認する有効な手段です。

Q3. 内部監査部門と外部監査人(会計監査人)の効率的な連携・調整(Coordination)の例として、最も適切なものはどれか。

A. 外部監査人が実施する期末の在庫棚卸立会いに合わせて、内部監査人も同席し、在庫管理プロセスの有効性を同時に評価する。

B. 独立性を維持するため、互いの監査計画や発見事項については一切情報交換を行わず、完全に別個に監査を実施する。

C. 内部監査部門は財務報告に関する監査を一切行わず、すべての財務リスクを外部監査人の責任とする。

D. 外部監査人が作成した監査調書を、内部監査人が事前の許可なく自由に持ち出し、コピーして自分の調書として保管する。

【解答・解説】

正解と解説を表示

正解(A): これは「合同監査(Joint Audit)」やスケジュールの同期の一例であり、被監査部門の負担を減らしつつ、双方の監査目的を効率的に達成する優れた調整方法です。

不正解(B): 独立性は重要ですが、情報の遮断は非効率であり、組織にとって不利益です。

不正解(C): 外部監査人の主目的は財務諸表の適正性ですが、内部監査人は財務報告プロセスのコントロール有効性に責任を持ちます。丸投げはできません。

不正解(D): 外部監査人の調書は彼らの所有物であり、アクセスには適切な手続きと許可が必要です。