タイトル: 内部評価 vs 外部評価｜5年に1回の必須要件【CIAパート3】

Contents

テーマ：車検の検査項目～「特定の車種」だけの必須検査～
【練習問題】パート3 セクションC-1-b

テーマ：車検の検査項目～「特定の車種」だけの必須検査～

セクションC-1-bは、QAIP（品質評価）を実施する際、監査対象となった業務が「トピック別要求事項」の適用対象であったかどうか、そしてそれが正しく適用されていたかを確認するプロセスです。

試験では、「基準への適合（Conformance）」を判断する際、一般要求事項だけでなく、該当するトピック別要求事項も評価範囲に含まれるという点が問われます。

1. QAIPにおける「適合性」の定義

QAIP（内部評価および外部評価）の主な目的は、内部監査活動がGIAS（グローバル内部監査基準）に適合しているかを確認することです。

ここで重要なのは、GIASが以下で構成されていることです。

一般要求事項（General Requirements）： 常に適用。
トピック別要求事項（Topical Requirements）： 条件付きで適用。

★ポイント： もし、内部監査部門が「ITセキュリティ監査」を実施したにもかかわらず、GIASの「サイバーセキュリティに関するトピック別要求事項」を無視していた場合、それは「基準不適合（Non-conformance）」となります。 QAIPでは、この「適用の有無」と「準拠の度合い」を厳しくチェックします。

2. 評価者が確認すべきチェックポイント

CAE（内部監査部門長）が実施する自己評価や、外部評価者が行う評価において、以下のプロセスでトピック別要求事項の取り扱いを確認します。

① 適用可能性の識別（Identification）

過去の監査リストを見て、「この監査テーマは、トピック別要求事項の対象だったのではないか？」を確認します。

監査タイトル：「クラウドベンダー選定監査」
確認事項： 「外部委託」や「IT」に関するトピック別要求事項を参照した形跡があるか？

② 適用除外の正当性（Justification）

もし、該当しそうなテーマなのにトピック別要求事項を使用していなかった場合、その理由は正当かを確認します。

OKな例： 「当該要件は当社のビジネスモデルには該当しないため除外した」と文書化されている。
NGな例： 「監査人の知識不足で気づかなかった」「時間がなかったから省略した」。

③ 準拠の検証（Testing）

適用した場合、その要求事項（必須の手続きや評価項目）が実際に監査計画と手続に反映されたかを確認します。

3. 「適合」判定への影響

QAIPの結果として「GIASに適合している」と宣言するためには、トピック別要求事項への対応もクリアしていなければなりません。

状況	品質評価の判定
適用すべき監査で、トピック別要求事項を完全に適用した	適合（Conforms）
適用すべき監査だったが、無視して独自基準だけで行った	不適合（Does Not Conform） ※重要な欠陥とみなされる可能性があります。
適用すべき監査だったが、合理的な理由で一部を除外・文書化した	適合（Conforms） ※「調整（Tailoring）」として認められます。

イメージ：
トラックの車検（品質評価）を想像してください。普通乗用車の検査項目（一般要求事項）はクリアしていても、「大型車両用のブレーキ検査（トピック別要求事項）」を受けていなければ、車検は通りません。「トラックだと気づかなかった」は言い訳になりません。

4. 改善プログラム（IP）への反映

QAIPの結果、トピック別要求事項の適用漏れが見つかった場合、それは「改善の機会」として扱われます。

アクションプランの例：
- 監査計画策定プロセスに「トピック別要求事項チェックリスト」を導入する。
- 特定のトピックに対応できる監査人を育成・採用する。
- 外部委託（コソーシング）を活用して専門性を補う。

5. 試験で狙われる「ひっかけ」ポイント

×「品質評価（QAIP）の対象は『一般要求事項』のみであり、『トピック別要求事項』はあくまで技術的なガイドラインなので評価対象外である」
- 解説： 間違いです。トピック別要求事項はGIASの一部であり、遵守義務（Mandatory）があるため、QAIPの評価対象に含まれます。
×「過去に実施した監査でトピック別要求事項を適用し忘れていた場合、遡って監査をやり直さなければならない」
- 解説： 過去の監査をすべてやり直す必要はありませんが、品質評価報告書において「不適合」の事実を開示し、今後の再発防止策（改善計画）を策定する必要があります。
×「トピック別要求事項に準拠していない場合でも、監査委員会の承認があれば『GIAS適合』と宣言できる」
- 解説： 誤りです。監査委員会は承認権限を持ちますが、基準への適合性を歪める権限はありません。基準を守れていないなら、正直に「不適合」あるいは「部分的適合」と報告すべきです。

まとめ

セクションC-1-bのポイントは、「見落としの検知」です。

Review: 過去の監査案件を見直す。
Match: トピック別要求事項と照らし合わせる。
Assess: 「適用すべきだったのにしていない」ギャップを見つけ、改善につなげる。

QAIPは、内部監査部門が「ルール（基準）を知っているつもり」になっていないか、客観的に鏡を見るためのプロセスです。

【練習問題】パート3 セクションC-1-b

Q1. 内部監査部門長（CAE）が実施している「定期的自己評価（QAIPの一部）」において、過去1年間の監査ファイルをレビューしたところ、数ヶ月前に実施した「個人情報保護監査」において、GIASの関連するトピック別要求事項が参照されていないことが判明した。監査結果自体に大きな問題はなかったが、この事実に対するQAIP上の評価として、最も適切なものはどれか。

A. 監査の結論が妥当であれば、使用した基準が何であれ問題はないため、「適合」と評価する。

B. 必須の要求事項であるトピック別要求事項を適用していないため、基準に対する「不適合（Non-conformance）」または「部分的適合」の事例として識別し、改善計画を策定する。

C. 担当監査人の個人的なミスであるため、内部監査部門全体の品質評価には影響させない。

D. 過去の報告書を密かに修正し、トピック別要求事項を参照していたかのように書き換える。

【解答・解説】

正解と解説を表示

正解（B）： GIASにおいてトピック別要求事項は遵守義務があります。適用すべき監査業務でこれを適用しなかった場合、監査の結果がどうあれ、プロセスとしては「基準への不適合」となります。QAIPではこの事実を認識し、改善につなげることが求められます。

不正解（A）： 結果オーライは品質保証では認められません。プロセス（基準準拠）が重要です。

不正解（C）： 個人のミスであっても、それを防げなかった部門のレビュー体制（スーパービジョン）の不備として評価されます。

不正解（D）： 文書の改ざんは倫理綱領違反であり、絶対に行ってはいけません。

Q2. 外部品質評価者が、ある組織の内部監査部門を評価している。この組織では「サステナビリティ監査」を実施していたが、関連するトピック別要求事項の一部の項目（例：温室効果ガス排出量の検証）をテストしていなかった。しかし、監査調書には「当社はIT企業であり工場を持たないため、当該項目はリスクが低く適用対象外とする」という理由が明記されていた。この場合、評価者の判断として最も適切なものはどれか。

A. 必須項目を省略しているため、いかなる理由があろうと「不適合」と判定する。

B. 理由が文書化され、それが組織の状況に照らして合理的であるため、基準への「適合」と判定する。

C. 外部評価者が自ら温室効果ガス排出量を計算し、監査結果を補完した上で「適合」とする。

D. トピック別要求事項は全て適用しなければならないため、次回の監査で必ずテストするよう「条件付き適合」とする。

【解答・解説】

正解と解説を表示

正解（B）： トピック別要求事項は、組織のリスクや状況に応じて適用を除外（Tailoring）することが認められています。重要なのは、その除外理由が「合理的」であり、かつ「文書化」されていることです。このケースではその条件を満たしているため、品質評価としては「適合」となります。

不正解（A）： 合理的な理由と文書化があれば、省略は認められます。

不正解（C）： 評価者が監査業務を代行することは、評価者の独立性を損なうため不適切です。

不正解（D）： リスクがない（適用不可な）項目を無理にテストする必要はありません。

Q3. 品質のアシュアランスと改善のプログラム（QAIP）を通じて、トピック別要求事項の適用状況を確認・評価することの究極的な目的として、最も適切なものはどれか。

A. 監査人が基準の条文を暗記しているかどうかをテストするため。