【CIA試験講義】パート3 セクションB-3-c: 依拠(Reliance)のための評価基準
テーマ:信用調査と品質チェック ~「任せて大丈夫か?」を見極める~
セクションB-3-cは、他のアシュアランス・プロバイダ(第2線や外部監査人)の作業結果を内部監査で活用(依拠)する際、「どのような基準で相手を評価し、合格・不合格を決めるか」という判断プロセスです。
試験では、相手が「社内の人間だから」や「有名な外部監査法人だから」という理由だけで盲目的に信用するのではなく、3つの主要な規準(Criteria)に基づいて冷静に能力を評価する姿勢が問われます。
1. 導入:依拠(Reliance)のリスクと責任
CAE(内部監査部門長)が他のプロバイダの作業に依拠する場合、それは「自分の作業の一部を彼らに委ねる」ことを意味します。 しかし、もし彼らの作業が間違っていた場合、最終的な責任を負うのはCAEです。
イメージ:
あなたが家の建築現場監督(CAE)だとします。 電気工事を専門業者(他のプロバイダ)に任せました。 もし後で配線ミスによる火災が起きたら、施主(取締役会)は「監督であるあなたの確認不足だ」と責めるでしょう。
だからこそ、任せる前に「この電気業者は腕が良いか? 手抜きをしないか?」を厳しくチェックする必要があります。
2. 評価のための「3つの柱(基準)」
GIASでは、他のプロバイダを評価する際、主に以下の3要素を確認することを求めています。
| 評価基準 | チェックすべきポイント | 問いかけ(Key Question) |
|---|---|---|
| ① 客観性 (Objectivity) | ・組織上の報告ライン(誰の部下か?) ・利益相反の有無 ・個人的な関係 | 「彼らは監査対象に対して中立的か? 手心を加える動機はないか?」 |
| ② 適格性 (Competence) | ・専門資格(CPA, CISA, ISO審査員など) ・経験年数、トレーニング実績 ・業界知識 | 「彼らはその業務を評価するスキルと知識を持っているか?」 |
| ③ 専門職としての正当な注意 (Due Professional Care) | ・使用している基準や手法 ・計画、監督、文書化(調書)の質 ・発見事項の根拠の強さ | 「彼らは体系的なプロセスで丁寧に仕事をしているか? 単なる勘ではないか?」 |
3. 評価結果に基づく判断(依拠の度合い)
上記の3要素を評価した結果、依拠のレベルを決定します。
- 全幅の信頼(High Reliance): 客観性が高く、スキルもあり、手法もしっかりしている(例:大手監査法人、独立性の高いコンプライアンス部門)。 → 内部監査人は彼らの結果をそのまま使い、追加テストは最小限にする。
- 限定的な信頼(Limited Reliance): スキルはあるが、客観性が少し低い(例:製造部門直属の品質管理チーム)。 → 彼らのデータを参考にするが、内部監査人が自ら再テスト(Re-testing)を行って裏付けを取る。
- 依拠不可(No Reliance): 客観性がなく、手法も属人的すぎる。 → 彼らの結果は使わず、内部監査人がゼロから監査を行う。
4. 内部プロバイダ(第2線)特有の注意点
コンプライアンス部門やリスク管理部門などの「第2線」は、経営陣の指揮下にあることが一般的です。そのため、外部監査人(第3線相当)に比べると「客観性」が低い場合があります。
ポイント: 「第2線の客観性は第3線より低い場合がある」ことを前提に、そのリスクを補うための検証作業(再テスト)が必要になる、という論理を理解してください。
5. 試験で狙われる「ひっかけ」ポイント
- ×「外部監査人は公認会計士であるため、CAEはその能力や独立性を評価することなく、無条件に依拠してよい」
- 解説: 間違いです。資格は「適格性」の一要素ですが、CAEは今回の監査テーマにおいて彼らが適切か、利益相反がないかを確認する責任があります。
- ×「依拠した結果、後にミスが発覚した場合、その責任は作業を行った元のプロバイダ(例:コンプライアンス部門)のみにある」
- 解説: 誤りです。依拠を決定したCAEにも「監督・確認責任」があり、最終的な監査意見に対する責任は内部監査部門に残ります。
- ×「客観性が低いプロバイダ(例:現場直属の検査係)の情報は一切役に立たないため、無視すべきである」
- 解説: 極端すぎます。客観性が低くても「適格性(現場知識)」が高い場合は多々あります。その場合、情報を「監査証拠」として直接使うのではなく、「リスク評価の参考情報」として活用するなど、使い分けるのが正解です。
まとめ
セクションB-3-cのポイントは、「Due Diligence(相当の注意義務)」です。
- Evaluate: 客観性・適格性・注意の3点で相手を測る。
- Decide: 評価結果に応じて「任せる範囲」を決める。
- Verify: 任せる場合でも、必ず一部は自分で確かめる。
「信じる」ことと「確認しない」ことは違います。プロフェッショナルな懐疑心を持ってパートナーを選ぶことが、CAEの重要なスキルです。
【練習問題】パート3 セクションB-3-c
Q1. 内部監査部門長(CAE)は、環境規制への準拠状況を監査するにあたり、社内の「環境安全衛生(EHS)部門」が毎月実施している点検レポートに依拠することを検討している。EHS部門の業務に依拠できるかどうかを判断する際に、CAEが評価すべき「適格性(Competence)」に関連する要素として、最も適切なものはどれか。
A. EHS部門のスタッフが、環境関連の専門資格(ISO審査員資格など)や十分な実務経験を有しているか。
B. EHS部門長が、監査対象である工場長とは別の報告ライン(例:本社のリスク管理担当役員)にレポートしているか。
C. EHS部門の点検プロセスが文書化されており、発見事項に対するフォローアップが体系的に行われているか。
D. EHS部門と内部監査部門が、定期的なミーティングを行い、監査スケジュールを調整しているか。
【解答・解説】
正解と解説を表示
正解(A): 「適格性(Competence)」とは、業務を遂行するために必要な知識、スキル、経験を指します。資格や経験年数は適格性を判断する直接的な指標です。
不正解(B): 報告ラインに関する要素は「客観性(Objectivity)」の評価基準です。
不正解(C): プロセスの文書化や体系的な実施は「専門職としての正当な注意(Due Professional Care)」の評価基準です。
不正解(D): スケジュールの調整は「連携(Coordination)」の活動であり、能力評価の基準ではありません。
Q2. 内部監査人が、外部のコンサルタントが実施したサイバーセキュリティ診断の結果に依拠しようとしている。しかし、調査の結果、そのコンサルタント会社は、監査対象であるITシステムの導入・構築も担当していたことが判明した。この状況におけるCAEの判断として、GIASに基づき最も適切なものはどれか。
A. 導入を担当したコンサルタントであればシステムの詳細を熟知しているため、「適格性」が高いと判断し、全面的に依拠する。
B. 自身が構築したシステムを自身で評価することになり、「客観性」が著しく損なわれている(自己監査の利益相反)ため、依拠すべきではない。
C. 外部の専門家は常に内部監査人よりも高いスキルを持っているため、利益相反の有無に関わらず結果を採用する。
D. コンサルタントに追加料金を支払い、「独立性に問題はない」という誓約書を提出させた上で依拠する。
【解答・解説】
正解と解説を表示
正解(B): アシュアランス・プロバイダを評価する際、「客観性(Objectivity)」は不可欠な要素です。自身が構築・支援した業務を評価することは、典型的な利益相反(自己監査)であり、客観性が欠如しています。このような場合、内部監査人はその結果に依拠してはなりません。
不正解(A): 適格性が高くても、客観性が欠如していれば依拠できません。
不正解(C): 専門家であっても利益相反のリスクは無視できません。
不正解(D): 誓約書があっても、構造的な利益相反の事実は解消されません。
Q3. 内部監査部門長(CAE)が、他のアシュアランス・プロバイダ(例:品質管理部門)の作業結果に依拠して内部監査報告書を作成した場合の「最終責任」に関する記述として、正しいものはどれか。
A. 依拠した部分については、作業を行った品質管理部門が全責任を負い、内部監査部門は責任を免除される。
B. 内部監査報告書に「品質管理部門の結果に基づく」と記載すれば、発見されなかったリスクについての責任は取締役会に移転される。
C. 依拠するかどうかの判断および内部監査報告書で表明される結論についての最終責任は、依然としてCAE(内部監査部門長)にある。
D. 外部監査人に依拠した場合は外部監査人が責任を負うが、内部の部門に依拠した場合はCAEが責任を負うという使い分けがある。
【解答・解説】
正解と解説を表示
正解(C): これがGIASの原則です。CAEは他のプロバイダを活用・連携することができますが、それによって内部監査としての保証責任を他者に転嫁することはできません。依拠するという意思決定自体がCAEの責任範囲です。
不正解(A): 責任の免除はされません。
不正解(B): 記載しても責任転嫁はできません。むしろ「依拠の根拠」を問われることになります。
不正解(D): 内部・外部に関わらず、依拠して内部監査報告書を出す以上、その結論への責任はCAEにあります。
