Contents
  1. テーマ:「完了」のハンコを押す前に ~プロセスとしての確認作業~
  2. 【練習問題】パート3 セクションD-7-b

テーマ:「完了」のハンコを押す前に ~プロセスとしての確認作業~

セクションD-7-bは、フォローアップ(モニタリング)の実務的な手順についてです。 経営管理者が「直しました!」と言ってきたとき、内部監査人は何を根拠にそれを信じ、監査案件を「クローズ(完了)」とすべきでしょうか?

GIAS(グローバル内部監査基準)では、改善措置の確認を、単なる「メールの返信待ち」ではなく、リスクベースのアプローチに基づいた一連のステップ(プロセス)として定義しています。

1. 導入:モニタリングの「4段階プロセス」

監査人が改善措置の完了を確認するためには、一般的に以下のステップを経る必要があります。

  1. 情報の入手(Update): 経営管理者から進捗状況を聞く。
  2. 検証(Verification): 裏付けとなる証拠を確認する。
  3. 評価(Evaluation): 根本原因が解消されたか判断する。
  4. 報告(Reporting): ステータスを更新し、ステークホルダーに伝える。

試験では、特に「検証(Verification)」と「評価(Evaluation)」の深さを、リスクに応じてどう使い分けるかが問われます。

2. ステップごとの詳細

ステップ①:情報の入手(経営管理者の自己申告)

まず、改善措置の実施責任者(経営管理者)から「計画通り完了したか」「遅れているか」の報告を受けます。

注意点: これはあくまで「申告」であり、監査上の「証拠」としては不十分な場合があります。

ステップ②:検証(リスクベースのアプローチ)

ここが監査人の腕の見せ所です。「どの程度詳しく調べるか」は、その発見事項のリスクレベルによって異なります。

リスクレベル検証の手法(確認ステップ)
高(High)再テスト(Re-testing):
監査人が再び現場に行き、コントロールをテストする。経営管理者の言葉だけでは不十分。確実な証拠が必要。
中(Medium)文書確認:
修正後の規程、システム画面のスクリーンショット、承認ログなどを送付してもらい、デスク上で確認する。
低(Low)自己申告の受入:
経営管理者の「完了しました」という回答をもって完了とする(信頼ベース)。

ステップ③:評価(根本原因への対処)

「作業が終わったこと」と「リスクが消えたこと」はイコールではありません。 監査人は以下の問いに答えなければなりません。

  • 「その措置によって、根本原因は除去されたか?」
  • 残余リスクは許容範囲内に収まったか?」

例えば、システム不具合に対し「手動でデータを直しました(作業完了)」という報告があっても、プログラム自体が修正されていなければ(根本原因が残っていれば)、評価は「不十分(未完了)」となります。

ステップ④:報告(ステータスの更新)

評価結果に基づき、課題管理リスト(Issue Tracking System)のステータスを更新します。

  • Closed(完了): 適切に対処された。
  • Open / Overdue(未完了・遅延): まだリスクが残っている。
  • Risk Accepted(リスク受容): 経営陣がリスクを受け入れた(取締役会への報告対象となる可能性あり)。

3. モニタリングを行う「タイミング」

すべての項目を同時に確認する必要はありません。

  • 即時確認: 重大なセキュリティホールなど、1日も放置できないリスク。
  • 定期確認: 四半期ごとなど、まとめて進捗を確認する。
  • 次回監査時: リスクが低い場合、次回の定期監査(来年など)のついでに確認する。

4. 試験で狙われる「ひっかけ」ポイント

  1. ×「すべての改善措置について、監査人は現場での再テストを行わなければならない」
    • 解説: 非効率です。リスクが低いものにまで再テストを行うのはリソースの無駄遣いです。
  2. ×「経営管理者が『完了した』と報告してきた場合、監査人はそれを疑ってはならない」
    • 解説: 職業的懐疑心(Skepticism)が必要です。特に高リスク領域では、裏付けなしに信じてはいけません。
  3. ×「改善措置の計画が実行されたが、期待した効果が出ていない場合でも、計画通り実行されたのであれば『完了』としてクローズすべきである」
    • 解説: 目的は「計画の実行」ではなく「リスクの低減」です。効果が出ていなければ、新たな計画を策定するよう求める必要があります。

まとめ

セクションD-7-bのポイントは、「リスクに応じた検証深度」です。

  • High Risk → 「やって見せてください(再テスト)」
  • Medium Risk → 「証拠を送ってください(文書確認)」
  • Low Risk → 「報告ありがとうございます(完了)」

このステップを踏み外すと、重大なリスクを見逃すか、あるいは監査リソースを浪費することになります。

【練習問題】パート3 セクションD-7-b

Q1. 内部監査人は、前回の監査で指摘した「顧客個人情報データベースへのアクセス権限の不備(高リスク)」について、IT部門長から「修正プログラムを適用し、不備は解消した」とのメールを受け取った。この改善措置をモニタリングし、確認するためのステップとして、GIASに基づき最も適切なものはどれか。

A. IT部門長は専門家であり信頼できるため、メールの受信記録をもって「完了」としてクローズする。

B. リスクが高いため、単なる報告や文書確認に留まらず、実際にシステムにアクセスして不備が解消されているか「再テスト」を行う。

C. 次回のIT監査は2年後に予定されているため、その時まで確認を保留し、現状は「進行中」のままにしておく。

D. 修正プログラムのソースコードを監査人自身が書き直し、より強固なセキュリティを実装する。

【解答・解説】

正解と解説を表示

正解(B): モニタリングの「検証(Verification)」ステップにおけるリスクベースのアプローチに関する問題です。個人情報保護に関わる「高リスク」の発見事項については、経営管理者の自己申告や文書確認だけでは不十分であり、実際にコントロールが有効に機能しているか「再テスト」を行って確認する必要があります。

不正解(A): 高リスク案件を自己申告のみでクローズするのは、検証不足です。

不正解(C): 重要なリスクを2年間放置することは許されません。適切なタイミングでのフォローアップが必要です。

不正解(D): 監査人がプログラムを修正(実行)するのは独立性の侵害です。

Q2. 改善措置のモニタリング・プロセスにおいて、監査人が「評価(Evaluation)」のステップで行うべき判断として、最も適切なものはどれか。

A. 改善措置にかかった費用が、予算内に収まっているかどうかを計算する。

B. 実施された改善措置が、発見事項の「根本原因」を効果的に解消し、残余リスクを許容範囲内に低減しているかを判断する。

C. 担当者が改善措置を行う際に、どれくらい残業したかを評価する。

D. 改善措置の計画書に、誤字脱字がないかを確認する。

【解答・解説】

正解と解説を表示

正解(B): モニタリングの目的は、単に「作業が終わったか」を確認することではなく、「リスクが管理されたか」を確認することです。したがって、監査人は実施された措置が対症療法に留まらず、根本原因に対処できているか(有効性)を評価しなければなりません。

不正解(A、C): コストや労務管理は経営管理者の責任範囲であり、監査人のモニタリングの主眼ではありません。

不正解(D): 形式的なチェックではなく、実質的なリスク低減効果を評価すべきです。

Q3. 内部監査部門長(CAE)が確立すべきモニタリング・プロセスにおいて、発見事項が「クローズ(完了)」と判断されるための条件として、最も不適切なものはどれか。

A. 経営管理者が改善措置を実施し、その有効性が監査人によって確認された場合。

B. 経営陣が、当該発見事項に関連するリスクを受容することを決定し、その決定が取締役会によって承認(またはCAEによってエスカレーション・プロセスを経て確認)された場合。

C. 発見事項に関連する業務プロセスや環境が変化し、リスクそのものが消滅した場合。

D. 経営管理者が「改善措置を実施する時間がない」と回答し、監査報告書の発行から1年以上が経過した場合。

【解答・解説】

正解と解説を表示

正解(D): 時間が経過したからといって、リスクが消えるわけではありません。改善措置が行われず、正当なリスク受容のプロセスも経ていない場合、その発見事項は「未完了(Open/Overdue)」として管理され続け、必要に応じて上級経営陣や取締役会に報告されるべきです。勝手にクローズしてはいけません。

不正解(A、B、C): これらはすべて、発見事項を適切にクローズできる正当な理由です(解決されたか、受容されたか、リスクがなくなったか)。