【CIA試験講義】パート3 セクションD-2-c: 範囲の制約の文書化
テーマ:「見えない場所」を地図に書き込む ~完全性と透明性の確保~
セクションD-2-cは、監査報告書の信頼性を守るための「正直さ」に関するルールです。
内部監査人が当初計画していた手続きを実行できなかった場合、それを隠して報告書を出すことは、ステークホルダー(読者)を騙すことになりかねません。読者は「何も書かれていない=監査人はそこもチェックし、問題なかったのだ」と解釈するからです。
GIAS(グローバル内部監査基準)では、監査の遂行を妨げる要因が生じた際、それを「範囲の制約(Scope Limitation)」として適切に識別し、文書化することを求めています。
1. 導入:「範囲の除外」と「範囲の制約」の違い
試験では、この2つの概念を区別することが非常に重要です。
- 範囲の除外(Scope Exclusion):
- 定義: リスク評価に基づき、計画段階であらかじめ「ここは見ない」と決めた領域。
- 扱い: 正常なプロセス。「今回の監査対象は国内支店のみとし、海外支店は除外した」と報告書の「範囲」セクションに記載する。
- 範囲の制約(Scope Limitation):
- 定義: 見るつもりだったのに、何らかの障害によって「見ることができなかった」領域。
- 扱い: 異常事態(障害)。 これこそが本セクションのテーマであり、文書化が必要です。
2. 「範囲の制約」が発生する主なシナリオ
範囲の制約は、大きく分けて2つの原因から発生します。
- 外部要因・環境要因:
- 必要なデータが入ったサーバーがダウンし、復旧しなかった。
- 災害やパンデミックにより、現地往査が物理的に不可能になった。
- 文書管理システムの不備により、過去の記録が消失していた。
- 経営陣による制限(Management Restriction):
- 被監査部門が「機密情報だから」と言ってアクセスを拒否した。
- 必要な人員へのインタビューを「忙しい」という理由で断り続けた。
- ★重要: これは単なる制約にとどまらず、「組織の独立性・客観性の侵害」として、取締役会への報告が必要になる深刻なケースです。
3. 文書化が必要な「判断基準」
すべての小さな制約を報告書に書く必要はありません。判断の鍵は「重要性(Materiality)」と「結論への影響」です。
- 軽微な場合: 代替手続き(別の書類を見るなど)で確認できたなら、報告書への記載は不要(監査調書には残す)。
- 重要な場合: 代替手続きもできず、その領域のリスク評価ができない場合。
- ルール: 最終報告書の「範囲」セクション、および必要に応じて「結論」セクションに、「何が見られなかったか」と「それが結論にどう影響するか」を明記しなければなりません。
イメージ:
建物の耐震診断を行う際、ある部屋だけ鍵がかかっていて入れなかったとします。 報告書に「全室異常なし」と書くのは嘘になります。「101号室以外は異常なし。101号室は鍵がかかっており確認できていない」と書くのが、プロフェッショナルの誠実な態度です。
4. 監査意見(結論)への影響
範囲の制約が監査の核心部分に関わる場合、監査人は「肯定的な結論(問題なし)」を出すことを控えなければならない場合があります。
限定付結論(Qualified Conclusion): 「○○の領域を除いては、コントロールは有効である」という表現を用います。
5. 試験で狙われる「ひっかけ」ポイント
- ×「範囲の制約があった場合、監査報告書の発行自体を中止しなければならない」
- 解説: 中止する必要はありません。確認できた範囲で報告を行い、確認できなかった部分を明記(開示)して発行します。
- ×「監査人の個人的なスケジュールミスで時間が足りず、一部の手続きを省略した。これは範囲の制約として報告書に記載する」
- 解説: これは監査人の怠慢(デュー・プロケアの欠如)であり、正当な「範囲の制約」ではありません。監査部門内で解決すべき品質管理の問題です。
- ×「経営陣がアクセスを拒否した場合、監査人は強制捜査のように無理やり情報を取得すべきである」
- 解説: 内部監査人に強制権限はありません。拒否された事実を文書化し、上級経営陣や取締役会に報告するのが正しい手順です。
まとめ
セクションD-2-cのポイントは、「できなかったこと」を正直に伝える勇気です。
- If 重要な領域が見られなかった(制約があった)
- Then それを報告書に明記し、読者が「すべて保証されている」と誤解しないようにする(免責事項を作る)。
【練習問題】パート3 セクションD-2-c
Q1. 内部監査人は購買プロセスの監査を行っている際、特定の期間の取引記録(全体の約20%に相当)がシステム障害により消失しており、バックアップからも復元できないことを発見した。この欠落により、監査人はその期間のコントロールの有効性を評価できない。GIASに基づき、最終監査報告書を作成する際の対応として最も適切なものはどれか。
A. データの欠落は監査人の責任ではないため、確認できた残りの80%の結果のみに基づいて、全体のコントロールが有効であると報告する。
B. システム障害による記録の欠落を「範囲の制約(Scope Limitation)」として報告書に明記し、その期間については結論が出せないことを記述する。
C. 監査業務全体を中止し、システムが復旧するまで報告書の発行を延期する。
D. 統計的サンプリング手法を用いて、欠落したデータの内容を推定し、その推定値に基づいて結論を出す。
【解答・解説】
正解と解説を表示
正解(B): 監査範囲の重要な部分(20%)について証拠が入手できない場合、それは「範囲の制約」となります。監査人はこの事実を文書化し、報告書の読者が誤解しないよう、その部分については保証できないことを明確にする(結論を限定する)必要があります。
不正解(A): 確認していない部分があるにもかかわらず、全体について保証を与えることは不正確であり、誤解を招く報告となります。
不正解(C): 復旧の見込みがない場合、延期しても意味がありません。現状で入手可能な情報に基づいて報告を行うべきです。
不正解(D): 存在しないデータを統計的に推定して「実証された事実」として扱うことは、監査証拠の基準(十分性・信頼性)を満たしません。
Q2. 財務担当役員(CFO)は、「機密性が極めて高い」という理由で、内部監査人が特定のオフバランス取引の契約書へアクセスすることを拒否した。この取引は監査のリスク評価において「高リスク」と特定されていたものである。この状況における内部監査人の対応として、最も適切なものはどれか。
A. CFOの指示に従い、当該取引を監査対象から除外し、報告書には「計画的な範囲の除外」として記載する。
B. 契約書へのアクセスなしで監査を完了し、報告書には何も記載しない。
C. この状況を「範囲の制約」として監査報告書に文書化するとともに、アクセス制限が独立性・客観性の侵害にあたる可能性があるとして、取締役会(または監査委員会)に報告する。
D. 強制的にアクセス権を取得するため、法務部門と連携して契約書を押収する。
【解答・解説】
正解と解説を表示
正解(C): 経営陣による不当なアクセス制限は、監査の範囲に対する重大な制約であると同時に、内部監査の独立性への侵害です。監査人は報告書にこの制約を記載し、結論への影響を説明するだけでなく、ガバナンス上の問題として取締役会へ報告する必要があります。
不正解(A): 経営陣の都合による制限を、あたかも監査人が計画した「除外」のように偽って記載することは、報告書の信頼性を損ないます。
不正解(B): 高リスク領域を見ずに報告書を出すことは、重大なリスクを見逃すことにつながります。
不正解(D): 内部監査人には法的な強制執行権限はありません。
Q3. 最終監査報告書における「範囲(Scope)」セクションの記述に関する説明として、範囲の制約の観点から正しいものはどれか。
A. 範囲のセクションには、実際に実施した手続きのみを記載し、実施できなかった手続きについては、読者の不安を煽らないよう記載を控えるべきである。
B. 範囲の制約を記載する必要があるのは、その制約が監査人の全体的な結論や意見を変える可能性があるほど重要な場合に限られる。
C. 時間的制約によりサンプル数を減らした場合でも、統計的に有意であれば範囲の制約として記載する必要はないが、物理的にアクセスできなかった場合は、たとえ軽微でも必ず記載しなければならない。
D. 範囲の制約が記載された報告書は無効とみなされるため、制約が解消されるまで暫定報告書として扱う。
【解答・解説】
正解と解説を表示
正解(B): 報告書への記載(文書化)の基準は「重要性」です。軽微な制約で、代替手続きにより十分な保証が得られた場合や、結論に影響を与えない些細なものであれば、必ずしも最終報告書に記載する必要はありません。しかし、結論に影響を与える重要な制約は必ず記載が必要です。
不正解(A): 実施できなかった重要な手続きを隠すことは、不誠実な報告(省略による虚偽)となります。
不正解(C): 物理的なアクセス不可であっても、それが監査対象全体に対して極めて軽微(重要性がない)であれば、記載を省略できる場合があります。
不正解(D): 制約付きの報告書も公式な最終報告書として有効です。
