効果的な改善提言（Recommendation）｜5Cによる論理構成【CIAパート3】

Contents

テーマ：「私の提案」vs「現場の事情」～対立した時の交通整理～
【練習問題】パート3 セクションD-3-a

テーマ：「私の提案」vs「現場の事情」～対立した時の交通整理～

セクションD-3-aは、監査のクロージング段階で最も人間味あふれる（そして揉めやすい）場面、すなわち「監査人と経営管理者（被監査側）の意見が食い違ったときどうするか」を扱います。

監査人が完璧な改善策（提言）を作ったつもりでも、現場からは「コストがかかりすぎる」「現実的ではない」「そのリスクは許容範囲だ」と反論されることがあります。GIAS（グローバル内部監査基準）は、この対立を解消し、組織にとって最善の結果を導くためのプロトコル（手順）を定めています。

1. 導入：「提言」と「改善措置の計画」の境界線

まず、役割分担を明確にしましょう。これが混乱すると試験で間違えます。

改善のための提言（Recommendations）：
- 誰が？ 内部監査人が作成する。
- 内容は？ 「こうすればリスクが下がるはずだ」という助言。あくまで提案であり、命令ではない。
改善措置の計画（Action Plans）：
- 誰が？ 経営管理者（被監査部門）が作成・所有する。
- 内容は？ 「具体的にいつまでに、誰が、何をやるか」という約束。

★ポイント： 監査人のゴールは「自分の提言通りにやらせること」ではありません。「リスクが許容レベルまで低減されること」です。したがって、経営管理者が監査人の提言とは別の方法（代替案）でリスクに対処しようとする場合、それが有効であれば受け入れるべきです。

2. 意見の相違パターンと対応策

現場との意見の食い違いは、大きく2つのパターンに分かれます。

パターンA：手法に関する相違（「そのやり方は嫌だ」）

監査人は「システムAを導入すべき」と提言したが、経営管理者は「手作業のダブルチェックで対応したい」と言ってきた場合。

監査人の対応： 経営管理者の提案する「手作業のダブルチェック」が、発見されたリスクを組織の許容範囲内に抑えるのに十分かどうか（適切性）を評価します。
- 十分なら： 同意し、それを改善措置の計画として採用する。
- 不十分なら： なぜその方法ではリスクが残るのかを説明し、再検討を促す。

パターンB：リスク評価に関する相違（「直すつもりはない」）

経営管理者が「コストがかかるから直さない（リスクを受容する）」と言ってきた場合。

監査人の対応（エスカレーション・プロセス）： 単に「分かりました」と引き下がるのではなく、以下の手順を踏みます。
1. 理解と再評価： 経営管理者の言い分（コスト対効果など）を理解し、本当にそのリスク受容が妥当か再評価する。
2. 上級経営陣への報告： それでも「残留リスクが組織のリスク選好（許容度）を超えている」と監査人が判断する場合、内部監査部門長（CAE）は上級経営陣と協議する。
3. 取締役会への報告： 上級経営陣とも合意できず、依然として「受容できないレベルのリスク」が放置されている場合、CAEはその旨を取締役会に報告する。

イメージ：
医者（監査人）が「手術が必要です」と言ったのに対し、患者（経営管理者）が「薬で治したい」と言うなら、薬で治るか検討します（パターンA）。しかし、患者が「治療自体しない」と言い出し、それが命に関わる（組織の存続に関わる）場合、医者は家族（取締役会）に連絡して相談します（パターンB）。

3. 誰が「リスク受容」を決めるのか？

最終的にリスクを受け入れるかどうかを決めるのは、監査人ではなく経営陣（マネジメント）です。しかし、そのリスク受容が「組織全体の方針（取締役会が決めたリスク選好）」を逸脱している場合、監査人は番人として警鐘を鳴らす義務があります。

試験では、「監査人が自ら改善策を実行する（独立性の侵害）」や「経営陣に強制する（権限の逸脱）」といった選択肢がひっかけとして出題されます。

4. 試験で狙われる「ひっかけ」ポイント

×「監査人の提言と異なる改善計画が提示された場合、監査人は自らの専門性を主張し、原案通りの実施を要求すべきである」
- 解説： 間違いです。監査人の目的はリスクのコントロールであり、特定の手法の強制ではありません。代替案が有効なら受け入れます。
×「経営管理者がリスクの受容（放置）を決定した場合、監査人は直ちに外部の規制当局に通報しなければならない」
- 解説： いきなり外部通報はしません。まずは組織内のガバナンスプロセス（上級経営陣→取締役会）を通じて解決を図ります。
×「意見の相違が解消されない場合、監査報告書を発行してはならない」
- 解説： 発行できます。双方の意見（監査人の所見と経営管理者の反論・リスク受容の理由）を併記して報告書を作成し、読者（取締役会など）が判断できるようにします。

まとめ

セクションD-3-aのポイントは、「対話と評価」です。

If 相手が別の案を出してきた
Then それが有効か評価する（有効ならOK）。
If 相手が「やらない」と言ってきた
Then それが危険すぎるレベルか評価する（危険なら上に報告）。

監査人は「解決策の実行者」ではなく、「リスクの評価者」であることを忘れないでください。

【練習問題】パート3 セクションD-3-a

Q1. 内部監査人は、工場の在庫管理プロセスにおいて盗難リスクが高いことを発見し、「生体認証による入退室管理システムの導入」を提言した。しかし、工場長は予算不足を理由にこれを拒否し、代わりに「警備員による巡回頻度を倍増させる」という代替案を提示した。この場合の内部監査人の対応として、GIASに基づき最も適切なものはどれか。

A. 監査人の提言は専門的知見に基づくものであるため、工場長に対して生体認証システムの導入が不可欠であることを説得し続ける。

B. 代替案（警備員の増員）が、特定された盗難リスクを組織の許容範囲内に低減するかどうかを評価する。十分であれば、その案を改善措置の計画として受け入れる。

C. 意見の相違があるため、この発見事項自体を最終報告書から削除し、次回の監査で再度検討することにする。

D. 工場長にはリスク管理の権限がないため、直ちに取締役会に報告し、工場長の更迭を求める。

【解答・解説】

正解と解説を表示

正解（B）： 監査人の目的はリスクの軽減であり、特定の手法の強制ではありません。経営管理者が提示した代替案が、根本原因に対処し、リスクを適切にコントロールできるのであれば、監査人はそれに同意し、進めるべきです。

不正解（A）： 監査人は助言者であり、特定の方法を強制する権限はありません。柔軟性が欠けています。

不正解（C）： 重要なリスクに関する発見事項を削除することは、報告義務違反となります。

不正解（D）： 権限の逸脱かつ過剰反応です。まずは代替案の有効性を評価するのが先決です。

Q2. 財務報告プロセスに関する監査において、内部監査人は重大なコントロールの欠陥を発見した。是正措置について協議したところ、担当役員は「修正コストが潜在的な損失額を上回るため、リスクを受容し、是正措置は行わない」と主張している。内部監査部門長（CAE）はこの残留リスクが組織のリスク選好を超えていると判断した。この場合のCAEの行動として、最も適切なものはどれか。

A. 担当役員の判断は最終的なものであるため、その決定を文書化し、監査業務を終了する。

B. 監査部門の予算を使用して、CAE自らが是正措置（コントロールの導入）を実施する。

C. 上級経営陣と協議し、それでも解決しない場合は、この状況を取締役会に報告する。

D. 外部監査人に連絡し、財務諸表に不適正意見を出すよう要請する。

【解答・解説】

正解と解説を表示

正解（C）： 経営陣による「リスクの受容」が、組織全体のリスク選好（許容度）を超えており、組織に受け入れがたい脅威を与えるとCAEが判断した場合、CAEは上級経営陣と議論し、それでも解消されなければ取締役会に報告する義務があります。

不正解（A）： リスクが過大であると判断した場合、単に引き下がるのは監査人の職務放棄になります。

不正解（B）： 内部監査人が自ら業務の是正措置を行うことは、独立性と客観性を著しく損なうため禁止されています。

不正解（D）： まずは組織内部のガバナンス構造（取締役会への報告）を通じて解決を図るべきです。

Q3. 最終監査報告書に記載される「改善措置の計画（Action Plan）」の策定に関する記述として、正しいものはどれか。

A. 改善措置の計画は、監査人が詳細に記述し、経営管理者はそれに署名するだけでよい。