こんにちは。ろっさんです。
0. はじめに|「監査を厳しくしたのに、また不正が起きた」会社で見たもの
合格してしばらく経ったころ、ある金属加工業の経営者から相談を受けたとします。従業員22名、売上2億円、主力顧客1社が売上の47%を占め、勤続20年を超える熟練工が2名いる会社。仮にA社と呼びます。
相談はこうでした。「去年、経理担当者の小さな着服が見つかった。慌てて、ハンコの数を増やし、月末に全部の伝票をチェックする会議を作り、現場には作業日報を1枚増やしてもらった。なのに今年、今度は品質検査の記録がまとめて後から書かれていたことが分かった。あれだけ厳しくしたのに、なぜまた起きるんですか」。
私は最初、これは内部統制の強化が足りなかった話だと思いました。チェックを増やし、承認を増やし、記録を増やす——試験で学んだ内部統制の定石をなぞれば答えが出る、と。
ところが現場を半日見て、考えが変わりました。月末の伝票チェック会議は、2時間かけて全員が「異常なし」と言うだけの儀式になっていました。増やした作業日報は、その日の終わりに3日分まとめて書かれていました。検査記録は、製品が出荷された後に「たぶんこうだったはず」で埋められていました。
監査を厳しくしたはずなのに、不正は減らず、現場の手間だけが増えていた。
このとき私が口にした問いは、こうでした。「その伝票チェック、誰が・いつ・何を変えたか、後から1件でも追えますか?」。経営者は黙りました。チェックは”していた”。でも、何を見て、どこに異常がないと判断したのか、その証拠はどこにも残っていなかったのです。
中小企業診断士の試験では、監査や内部統制を「会計監査」「システム監査」「ISO品質監査」とバラバラの科目として学びます。条文や手続を覚えれば点は取れます。しかし合格後の現場で問われるのは、「監査の手続を踏んだか」ではありません。「その業務は、後から第三者が検証できる形になっているか」——つまり監査可能性(auditability)が設計に組み込まれているか、という一段深い問いです。
そして、もう一つの固定観念がA社を縛っていました。「監査とは現場を縛るもの、スピードを殺すもの」という思い込みです。だからこそ監査強化は「ハンコを増やす」「会議を増やす」という方向にしか向かわず、現場は萎縮し、形だけ整える方向に逃げる。これは本質的に逆です。よく設計された監査は、現場を縛るのではなく、現場が安心して速く動けるレールを敷くものです。
この記事は、もともと別々に書いた3本の記事——監査を「証拠と保証」の共通枠組みとして定義した回、バラバラな記録を統一する証跡設計の回、監査強化とスピードの両立を論じた回——を、合格後の実務で本当に使える一枚の地図に統合して書き直したものです。シリーズで何度も題材にしてきた金属加工業A社(22名・売上2億円・主力顧客47%集中・熟練工2名)を、今回は「証拠と保証」という視点で診断し直します。
同じ「正しさと信頼のズレ」を扱った「なぜ正しい施策ほど信頼されないのか – 企業価値創造を因果ループで読み解く方法(1-1)」、守りと攻めの逆説を論じた「攻めの知財戦略:特許・商標・著作権・営業秘密の活用術(7-4)」、データと信頼を扱った「個人情報・プライバシー・データ倫理:規制順守を超えた競争優位の設計(7-5)」、専門家の信頼を論じた「なぜ技術が高いだけでは信頼を失うのか – 倫理・守秘・AI透明性の設計(9-8)」と併せて読むと、「縛る」のではなく「設計で防ぐ」という通底するテーマが見えてきます。
この記事で扱うトピックは以下の通りです。
- 監査を会計・情報システム・品質に共通する「証拠と保証」の枠組みとして定義し直す
- 監査可能性の4要素(証跡・職務分掌・アクセス制御・変更管理)が、なぜ不正・事故・品質崩壊を構造的に減らすのか
- 追加論点A:不正のトライアングル(Cressey 1953)×ダイヤモンド(Wolfe & Hermanson 2004)×COSO——監査・人事・文化・権限を4軸の立体施策として設計する
- 追加論点B:システム監査6領域+Benfordの法則+Append-only log——証跡をDB/ログ設計に落とし、不正を自動検出する
- 追加論点B:継続的監査・リスクベース監査・例外承認設計——監査強化とスピードを両立させる
- 追加論点C:ISO 27001:2022取得支援の構造——診断士とセキュリティスペシャリストの協業設計
- 監査を現場に根づかせ、形式順守(Goodhart化)に逃げさせない組織設計
監査を厳しくするほど不正が見えなくなるのはなぜか——その逆説を解き、「設計で不正を構造的に防ぐ」までを一枚の地図に描きます。試験対策ではなく、合格後の実務再武装として読んでいただければと思います。
1. 監査とは何か|会計・情報システム・品質に共通する「証拠と保証」
最初に、監査という言葉の解像度を上げます。試験ではバラバラに出てくる「会計監査」「システム監査」「ISO 9001の品質監査」を、私はひとつの定義に束ねて理解しています。
監査とは、ある主張(assertion)が真実であることを、独立した第三者が、客観的な証拠(evidence)に基づいて検証し、利害関係者に保証(assurance)を与える活動である。
この定義の中に、3つの登場人物がいます。
- 主張(assertion):「この決算書は正しい」「このシステムは安全だ」「この製品は規格を満たす」という、誰かが世の中に出している言明
- 証拠(evidence):その主張が正しいことを裏づける、後から確認できる客観的な記録
- 保証(assurance):第三者が証拠を検証した結果として、利害関係者(経営者・顧客・金融機関・規制当局)に与える「信じてよい」というお墨付き
会計監査は「財務諸表」という主張を、仕訳と証憑という証拠で検証します。システム監査は「ITが安全・有効に運用されている」という主張を、設定・ログ・権限という証拠で検証します。品質監査は「製品・工程が規格適合している」という主張を、検査記録と作業標準という証拠で検証します。対象は違っても、構造は完全に同じです。だから3つを別物として暗記するのは、合格後の実務ではむしろ邪魔になります。
1.1 「保証の階梯」を理解する
監査が与える保証には強さの段階があります。私は受験生時代、ここを曖昧にして失点しました。
| 保証水準 | 何をするか | 結論の言い方 | 例 |
|---|---|---|---|
| 監査(合理的保証) | 十分かつ適切な証拠を広く収集し検証 | 「適正に表示している」(積極的形式) | 会計監査・ISMS認証審査 |
| レビュー(限定的保証) | 主に質問と分析的手続 | 「重要な点で不適切と認められなかった」(消極的形式) | 四半期レビュー |
| 合意された手続(AUP) | 依頼された手続だけ実施 | 事実発見のみ報告、結論は出さない | 特定項目のデューデリ |
ここで大事なのは、保証は「ゼロか100か」ではなく、コストに応じて買う水準を選ぶものだという発想です。A社のような中小企業に、上場企業並みの合理的保証をすべての業務にかけるのは、コストの無駄であり現場を殺します。後の章で論じる「リスクベース監査」は、まさにこの保証水準を業務ごとに最適配分する設計です。
1.2 監査可能性(auditability)——4つの設計要素
ここが本記事の背骨です。監査は「後からやるイベント」ではなく、業務プロセスにあらかじめ埋め込む「設計属性」だと考えてください。その属性が監査可能性(auditability)であり、4つの要素から成ります。
- 証跡(audit trail):誰が・いつ・何を・どの値からどの値へ変えたか/承認したかが、改ざんできない形で残ること。
- 職務分掌(segregation of duties, SoD):1人の人間が「発生→記録→承認→保管」を一気通貫でできないように、役割を分けること。
- アクセス制御(access control):必要な人が必要な範囲だけ、業務に触れられること(最小権限)。誰が何にアクセスできるかが台帳化されていること。
- 変更管理(change management):仕組み・設定・標準を変えるときに、申請→承認→記録のルートを必ず通ること。緊急時も事後承認の証跡が残ること。
A社の冒頭の失敗を、この4要素で診断し直すと一発で見えます。伝票チェック会議は証跡が残らない(誰が何を見て異常なしと判断したか不明)。経理着服は職務分掌の不在(記帳と入金確認と保管が1人)。検査記録の後追い記入は変更管理の不在(いつ書いたかが記録されない=事後改ざんと区別できない)。厳しくしたのに防げなかったのは、手間を増やしただけで、この4つの設計属性を1つも入れていなかったからです。
監査を厳しくする=チェックと承認を増やす、ではありません。監査可能性を業務の設計に埋め込む——これが「設計で不正を構造的に防ぐ」の正体です。次章では、なぜこの4要素が不正・事故・品質崩壊を減らすのか、人間の不正メカニズムまで降りて説明します。
1.3 監査・内部統制・ガバナンス・リスク管理を1枚で整理する
受験生時代の私が一番こんがらがったのが、「監査」「内部統制」「コーポレートガバナンス」「リスク管理」という似た言葉の関係でした。実務で使うために、入れ子構造で整理します。
- コーポレートガバナンス:会社が誰のために、どう統治されるかという最上位の枠組み。「経営者を誰が監視するか」を含む。
- リスク管理(リスクマネジメント):目的達成を阻むリスクを識別・評価・対応する活動。ガバナンスの中で回る。
- 内部統制:リスク管理を日々の業務に落とし込んだ仕組み(COSO 5要素)。
- 監査:内部統制が機能しているかを、独立した立場から証拠で検証する活動。
つまり「ガバナンス ⊃ リスク管理 ⊃ 内部統制、それを監査が外から検証する」という入れ子です。A社の経営者が「監査を厳しく」と言ったとき、本当に足りなかったのは監査手続ではなく、その下にあるリスク管理(どこが危ういかの評価を一度もしていない)と、さらに下の内部統制(職務分掌の設計がない)でした。監査は最後の検証であって、その下の層が空洞なら、監査をいくら厳しくしても検証する対象がない。これが「厳しくしたのに防げない」の構造的な理由のひとつです。
実務でこの4層を運用に落とすときに有用なのが、内部監査人協会(IIA)の「3つのディフェンスライン」モデルです。
| ライン | 担い手 | 役割 | A社での当てはめ |
|---|---|---|---|
| 第1線 | 現場(業務部門) | 自分の業務のリスクを自ら統制する | 検査担当者が自工程をチェック |
| 第2線 | 管理部門 | 第1線を支援・監視(リスク管理・品質保証) | 経営者/事務が月次でルール遵守を確認 |
| 第3線 | 内部監査 | 第1線・第2線から独立して検証 | 顧問(私)や外部専門家による定期点検 |
A社のような小規模企業に「内部監査部門を作れ」は非現実的です。しかし第3線の機能(独立した検証)は、外部専門家の活用や経営者自身の定期点検で代替できる。重要なのは部門の有無ではなく、「自分で自分を検証していない(第1線と第3線が同一人物)」状態を避けることです。これも職務分掌(§1.2)の発想の延長線上にあります。
2. なぜ監査可能性は不正を減らすのか|不正のトライアングル(Cressey 1953)
「証跡やアクセス制御を整えると、なぜ不正が減るのか」。この問いに、私は精神論ではなく、不正がどう生まれるかのモデルで答えます。
不正研究の古典は、犯罪学者ドナルド・クレッシーが1953年に提示した不正のトライアングル(Fraud Triangle)です。クレッシーは横領犯への聞き取りから、不正が起きるには3つの条件が同時に揃う必要があると整理しました。
| 頂点 | 内容 | A社での例 |
|---|---|---|
| 動機・プレッシャー(Pressure) | 解決したい個人的・財務的な切迫。借金、業績ノルマ、生活苦 | 経理担当者の個人的な借入返済の切迫 |
| 機会(Opportunity) | バレずにできてしまう状況。統制の穴 | 記帳・入金確認・保管を1人が担当(職務分掌の不在) |
| 正当化(Rationalization) | 自分の中で罪悪感を打ち消す理屈 | 「給料が安いから、これは前借りのようなもの」 |
3つすべてが揃って初めて不正は実行されます。逆に言えば、どれか1つでも崩せば不正は成立しない。これが施策設計の出発点です。
ここで決定的に重要なのは、監査・内部統制が直接効くのは主に「機会」の頂点だけだという事実です。証跡・職務分掌・アクセス制御・変更管理は、「バレずにできてしまう状況」を物理的に潰します。経理着服も、記帳者と入金照合者を分け、通帳とシステムの突合を別人が行い、すべての修正に証跡が残れば、「バレずに」が成立しなくなる。だから不正は減る。これが第1章の4要素が効くメカニズムの正体です。
しかし——ここがA社の経営者が見落としていた点ですが——機会だけを潰しても、動機と正当化が高いまま放置されれば、不正は別の経路を探します。検査記録の後追い記入は、まさに「会計の機会は潰したが、品質の現場では動機(出荷ノルマのプレッシャー)と正当化(どうせ不良はめったに出ないから問題ない)が温存されていた」結果でした。機会を潰す監査だけでは、不正はモグラ叩きになる。だからこそ、次節のダイヤモンド・モデルと4軸設計が必要になります。
3. トライアングルからダイヤモンドへ|4軸の立体施策に組み立てる
不正研究はその後拡張されます。ウルフとハーマンソンが2004年に提示した不正のダイヤモンド(Fraud Diamond)は、トライアングルの3条件に4つ目の頂点——能力(Capability)——を加えました。
動機があり、機会があり、正当化できても、それを実行する能力(地位・知識・自信・他者を欺くスキル)を持つ人物がいなければ、大規模な不正は起きない。逆に、組織を熟知し権限を握るキーパーソンほど、不正の実行能力は高い。
A社で言えば、勤続20年超の熟練工や、会社の数字を一手に握る経理担当者は、まさに「能力」が高い。彼らが動機と機会と正当化を持ったとき、最も深刻な不正が起きます。ここから導かれるのが、4つの頂点それぞれに別の打ち手をぶつける「立体施策」という設計思想です。1つの監査強化で全部を抑えようとするから、ハンコと会議が増えるだけで効かないのです。
3.1 4軸の立体施策マップ
| 崩す頂点 | 担当領域 | 具体施策 |
|---|---|---|
| 機会を減らす | 監査・内部統制の設計 | 職務分掌(記帳/承認/保管の分離)、承認フロー、最小権限のアクセス制御、変更管理ルート、Append-only証跡 |
| 動機を減らす | 組織人事 | 達成可能な目標設定(過大ノルマの撤廃)、EAP(従業員支援プログラム)、生活相談窓口、内部通報制度(独立したホットライン) |
| 正当化を減らす | 組織文化 | トーン・アット・ザ・トップ、Code of Ethics(行動規範)、一方通行でない対話型倫理研修、心理的安全性(Edmondson 1999)の醸成 |
| 能力を分散させる | 権限・人事設計 | 人事ローテーション(特に金銭・データを扱う職務)、複数承認権限の分散、属人化の解消、強制休暇制度 |
この表が、本記事で最も持ち帰ってほしい一枚です。中小企業診断士の二次試験・実務で「不正が起きた会社にどう助言するか」を問われたら、「監査を厳しく」と一言で片づけるのは三流の答えです。4軸のどの頂点が高いのかを診断し、頂点ごとに別の機能(監査・人事・文化・権限設計)を割り当てる——これが構造的な答えになります。
3.2 中小企業ならではの注意点
A社のような22名規模では、教科書通りの職務分掌は人数的に不可能です。経理は実質1人、検査も熟練工が兼務している。ここで「だから内部統制は無理」と諦めるのは間違いで、中小企業には中小企業の打ち手があります。
- 機会:完全分離が無理なら「代替的統制」を使う。経理が1人なら、月次で経営者が銀行残高証明とシステム残高を自分の目で突合する(5分で終わる)。これは職務分掌の代替として監査論で正式に認められた手法です。
- 能力の分散:熟練工2名への属人化は、不正リスクであると同時に事業継続リスク(1-1の因果ループで言う「資源の単一障害点」)。作業の標準化・動画マニュアル化は、不正対策と技能伝承を同時に解決する一石二鳥の投資になります。
- 動機:主力顧客47%集中という構造が、出荷を止められないプレッシャーを現場に与え、検査記録の後追いという不正の動機を生んでいた。不正対策は、しばしば事業構造の問題に行き着く。監査の話が、いつのまにか顧客ポートフォリオの話になる——これが合格後に見える景色です。
4. COSO内部統制フレームワーク|4軸を組織の仕組みに固定する
不正のダイヤモンドが「個人レベルでなぜ不正が起きるか」のモデルだとすれば、それを組織の仕組みに落とすための共通言語が、COSO(トレッドウェイ委員会支援組織委員会)の内部統制フレームワークです。2013年改訂版は、内部統制を5つの構成要素で定義しています。
| COSO 5要素 | 内容 | 前章4軸との対応 |
|---|---|---|
| 統制環境(Control Environment) | 誠実性と倫理観、トーン・アット・ザ・トップ、組織構造 | 「正当化を減らす」の組織基盤 |
| リスク評価(Risk Assessment) | 目的達成を阻害するリスクの識別・分析、不正リスクの考慮 | どの頂点・どの業務が危ういかの診断 |
| 統制活動(Control Activities) | 承認・照合・職務分掌・物理的統制・IT統制 | 「機会を減らす」の中核 |
| 情報と伝達(Information & Communication) | 必要情報の識別・収集・伝達、内部通報ルート | 「動機を減らす」の通報設計/証跡の流通 |
| モニタリング(Monitoring Activities) | 統制が機能し続けているかの継続的・独立的評価 | 継続的監査(後述§7)の理論的根拠 |
ここで強調したいのは、COSOの5要素が第3章の4軸ときれいに対応することです。バラバラに暗記してきた「不正のトライアングル」「ダイヤモンド」「COSO」が、実は同じ構造を別の角度から言い換えているだけだと腹落ちすると、実務での応用力が一段上がります。
A社への助言をCOSOの言葉で組み立て直すと、こうなります。「着服が起きたのは統制活動(職務分掌)の欠如だけが原因ではない。リスク評価を一度もしていないから、どこが危ういかを誰も知らなかった。統制環境——経営者が『細かいことは現場に任せている』と言い続けたトーン——が正当化を許していた。そしてモニタリングが、年1回の決算時にしか働いていなかった」。
COSOの最大の効用は、不正が起きたときに「担当者が悪い」で終わらせず、5要素のどこに穴があったかという仕組みの言語で語れることです。犯人探しは再発を防ぎません。仕組みの穴を塞ぐことだけが再発を防ぎます。これは品質管理の「人を責めるな、仕組みを責めろ」と完全に同じ思想で、だからこそ会計監査と品質監査は地続きなのです。次章からは、この仕組みを実際のDB・ログ設計という「手で触れる形」に落としていきます。
5. 共通の証跡設計|製造記録・会計伝票・システム設定を一本化する
A社のもう一つの悩みは、7-7-2の問いそのものでした。「製造品質の記録は紙の検査表、会計伝票は会計ソフト、システム設定は誰かのExcel——記録がバラバラで、監査のたびに全部かき集めるのが地獄」。
ここで多くの会社が間違えるのは、「3つの記録を1つの巨大システムに統合しよう」とすることです。中小企業でそれをやると、数百万円のシステム投資が頓挫します。正しい発想は、記録のフォーマットを統一するのではなく、「証跡の構造」を統一することです。
5.1 証跡の最小共通スキーマ
会計だろうと品質だろうとシステム設定だろうと、監査可能な証跡が答えるべき問いは、たった5つです。
| 列 | 意味 | 例 |
|---|---|---|
| who(主体) | 誰が | 社員ID(共有アカウント禁止) |
| when(時刻) | いつ | サーバー時刻のタイムスタンプ(端末時刻は不可) |
| what(対象) | 何を | 伝票番号/検査ロット/設定項目名 |
| before → after(変化) | どの値から、どの値へ | 単価1,000→1,200/合格→再検査 |
| why(根拠・承認) | なぜ/誰が承認 | 変更理由コード+承認者ID |
この5列を持つ「変更履歴テーブル(イベントログ)」を、会計・品質・システムのそれぞれの台帳の隣に1本ずつ持たせる。フォーマットは各業務に最適化したままでよく、証跡の構造だけを揃える。こうすれば、監査のときは3本のイベントログを同じ問い(誰が・いつ・何を・どう変えたか)で串刺し検索できます。「統合データベース」は不要で、「統合された問いの形」さえあればよい。これがA社規模での現実解です。
5.2 Append-only log(追記専用ログ)という設計思想
証跡設計で最も重要な一線が、Append-only(追記専用)という思想です。
証跡テーブルは、レコードの追加(INSERT)のみを許し、更新(UPDATE)と削除(DELETE)を物理的に禁止する。間違えた記録も消さず、「訂正した」という新しいレコードを追記する。
なぜこれが決定的か。普通のテーブルは上書きできるので、不正をした人が証跡そのものを書き換えれば、監査は無力化します。A社の検査記録の後追い記入も、本質的には「後から都合よく書ける=上書き可能」だったから起きた。Append-onlyにすると、「訂正した事実」も含めて全部が残る。訂正が多発する社員や、出荷後に毎回書き換わるロットが、データとして浮かび上がる。隠そうとした操作そのものが、最大の証拠になるのです。
中小企業での実装は、高価なブロックチェーンは不要です。現実的な選択肢を軽い順に挙げます。
- 運用レベル:会計ソフトの「赤伝・訂正仕訳」機能を必ず使い、伝票の直接修正を禁止するルール化(コストゼロ)。
- DBレベル:履歴テーブルにUPDATE/DELETEを禁止するトリガー/権限設定。アプリは追記しかできない権限で接続。
- 保全レベル:日次でログをWORM(Write Once Read Many)ストレージやクラウドのオブジェクトロックに退避し、改ざん不能にする。
- 検証レベル:各レコードに前レコードのハッシュを連鎖させる(ハッシュチェーン)。1件でも改ざんすると鎖が切れて検知できる。これは思想としてはブロックチェーンと同じで、SQLとハッシュ関数だけで実装できます。
5.3 現場負担を増やさない自動化——監査と効率化は両立する
ここがA社の経営者が一番疑っていた点です。「証跡を全部残せって、また日報が増えるんでしょう?」。逆です。証跡は人が書くと必ず劣化する。後追い・まとめ書き・コピペ。だから証跡設計の鉄則は「人に書かせず、業務システムが副産物として自動で吐く」ことです。
- 検査結果はノギスや測定器からシステムへ直接取り込む(手書き転記をなくす=証跡が自動で正確になる)。
- 会計の証跡は、承認ボタンを押した瞬間にwho/when/before-afterが自動記録される(伝票に1列増やすのではなく、操作そのものをログ化)。
- システム設定変更は、変更管理チケットと設定の実値を機械的に突合(人が突合表を作らない)。
監査のための入力を人に増やさせた時点で、その監査設計は失敗です。よい証跡設計は、現場の入力をむしろ減らしながら(転記廃止・二重入力廃止)、証跡の質を上げる。「監査強化=現場負担増」という固定観念は、設計が下手なときにだけ正しい。設計が上手いと、監査と効率化は同じ方向を向きます。
6. システム監査の6領域|ITをどこから検証するか
会計と品質の証跡設計が見えたところで、IT領域に踏み込みます。システム監査は範囲が広く、受験生時代の私は「何を見ればいいのか」が散漫でした。実務で使えるよう、6つの領域に構造化します。
| # | 領域 | 主な検証点 | A社での典型的な穴 |
|---|---|---|---|
| 1 | アクセス制御監査 | 最小権限、特権ID管理、退職者IDの即時失効、権限の定期棚卸し | 退職した事務員のIDが半年残っていた/全員が管理者権限 |
| 2 | 変更管理監査 | RFC(変更要求)→承認→テスト→リリースの証跡、緊急変更の事後承認 | 「ちょっと直しただけ」が本番に直接反映、記録なし |
| 3 | ログ管理監査 | 保管期間、WORM/Append-only、SIEM等での監視、アラート設計 | ログは取っているが誰も見ていない(後述) |
| 4 | BCP/DRP監査 | RTO/RPOの設定値と、実際のリストア訓練記録の整合 | 「バックアップしている」が、復旧できるか試したことがない |
| 5 | 開発・テスト環境分離 | 本番データの開発環境への持込禁止、テスト後のリリース承認 | 本番の顧客データをコピーして開発機でテスト |
| 6 | サードパーティ・クラウド監査 | SOC 2 Type II報告書の入手、委託先監査権限の契約条項 | クラウドや外注先を「信じている」だけで証拠を取っていない |
中小企業の現場で特に致命的なのが、領域3の「ログはあるが誰も見ていない」問題です。ログを取ること自体は今やどのシステムも標準でやっています。しかし、取ったログを定期的に見る人・異常を知らせる仕組み(アラート)・見たという証跡——この3つがないと、ログは「事故が起きてから後悔とともに読むもの」にしかなりません。
監査論的に言えば、統制には「予防的統制」と「発見的統制」がある。アクセス制御や承認フローは予防的統制(不正を起こさせない)。ログ監視は発見的統制(起きたことを早期に見つける)。A社は予防的統制すら穴だらけでしたが、より多くの中小企業は「ログという発見的統制の素材は持っているのに、それを発見的統制として機能させていない」。素材を統制に変えるのが、次章の継続的監査とBenfordの法則です。
領域6のクラウド監査も、実務では頻出論点です。「うちはクラウド会計だから安全」とよく言われますが、安全なのはクラウド事業者のデータセンターの話であって、A社が誰にどの権限を与えているか(領域1)は依然A社の責任です。これを責任共有モデルと呼びます。委託先・クラウドに対しては「信じる」のではなく、SOC 2 Type IIなどの第三者保証報告書を証拠として入手する——ここでも結論は同じ、「証拠と保証」です。監査の対象が自社からサプライチェーンに広がっても、枠組みは1ミリも変わりません。
7. ログを統制に変える|Benfordの法則とCAATs・継続的監査
「ログはあるが誰も見ていない」を解決する方法は、人が全部見るではありません。それは現場負担を増やすだけで、しかも見落とします。答えは、機械に異常を見つけさせ、人は異常だけ見る——CAATs(Computer Assisted Audit Techniques、コンピュータ利用監査技法)です。
その代表例が、会計不正の自動検出に使われるBenfordの法則(ベンフォードの法則)です。
7.1 Benfordの法則とは
自然に発生した数値(売上、経費、取引金額など)の先頭の桁は、1〜9が均等に出るのではなく、1が約30.1%、2が約17.6%……と対数的に減衰する、という経験則です。先頭桁が9の数値は4.6%しか現れません。
これが監査に効くのは、人が金額を捏造すると、この分布が崩れるからです。架空経費を「だいたい均等に」散らしたり、承認限度額(例:5万円未満は承認不要)の直下に金額を寄せたりすると、先頭桁の分布がBenford曲線から外れる。A社の経費精算を1年分流し込んで、先頭桁分布を理論値と比べるだけで、「不自然な塊」が浮かびます。
実装イメージはこの程度で、特別なツールは要りません(考え方を示すための擬似コードです)。
- 対象列(金額)をすべて取り出し、先頭の数字(1〜9)を抽出する
- 各数字の出現比率を集計する
- 理論値
log10(1 + 1/d)(dは先頭桁)と比較し、乖離が大きい桁を洗い出す - 乖離が閾値を超えたら、その桁を持つ伝票群を人間レビューに回す
PythonならばCSVを読み、先頭桁を数え、理論分布とのカイ二乗検定をかけるだけ。数十行で、1年分の伝票を毎月自動スクリーニングできる。これがCAATsの威力です。重要なのは、Benfordは「不正の証明」ではなく「異常の検出」だという点。曲線から外れた=不正、ではありません。「ここを人間が見るべき」という当たりをつけ、限られた監査時間を異常に集中させる——保証水準を上げながらコストを下げる、その具体技です。
7.2 継続的監査(Continuous Auditing)への昇華
Benfordは一例にすぎません。考え方を一般化すると継続的監査になります。
年1回の決算監査のように「事後にまとめて」検証するのではなく、取引が発生するたび/日次・週次で、ルール(Continuous Controls Monitoring)を機械的に当て続け、異常だけを人間にエスカレーションする監査。
A社に実装する継続的監査ルールの例:
- 同一取引先への分割発注(承認限度額の回避疑い)を週次で自動抽出
- 退職者IDのログイン、深夜・休日の権限変更を検知してアラート(システム監査領域1・3の自動化)
- 検査記録が「製造完了時刻より後」に入力されたロットを日次で抽出(A社の後追い記入を構造的に捕捉)
- 承認者と申請者が同一人物の伝票をゼロ件監視(職務分掌の機械的担保)
ここで第4章のCOSOに戻ります。継続的監査は、COSO 5要素のモニタリングを「年1回の独立的評価」から「日次の継続的評価」へ進化させたものです。理論(COSO)→技法(CAATs/Benford)→実装(SQLとアラート)が一本の線でつながる。これが「証拠と保証の枠組み」を持っている人と、科目をバラバラに暗記した人の、合格後の差になります。
8. 監査強化はスピードを殺すか|リスクベースと例外承認の設計
ここで、7-7-3の核心であり、本記事のタイトルの問いに正面から答えます。「監査を強化すると、現場のスピードが落ち、みんなが萎縮するのではないか」。この反論は半分正しく、半分は設計の失敗を監査のせいにしている。
8.1 反論①「監査が増えるとスピードが落ちる」への答え——リスクベース監査
すべての業務を同じ強度で監査するから遅くなるのです。正しい設計はリスクベース監査——リスクの高い業務に監査資源を集中し、低い業務は大胆に省く。
A社の例で、業務を「金額/影響の大きさ」×「発生頻度」でマッピングすると:
| リスク | 業務例 | 監査強度 |
|---|---|---|
| 高(大金額・低頻度) | 設備投資、新規取引先与信、主力顧客の単価改定 | 複数承認+事前監査+証跡フル |
| 中(中金額・中頻度) | 月次仕入、外注発注 | 職務分掌+事後サンプリング+継続的監査ルール |
| 低(少額・高頻度) | 消耗品購入、日々の出荷伝票 | 上限を決めて承認不要、Benford等で事後一括スクリーニング |
少額高頻度の業務に1件ずつ承認を求めるから現場が止まる。そこは事前承認をやめ、事後の自動スクリーニングに切り替える。これでスピードは上がり、かつ保証水準は下がりません(むしろ全件機械チェックなので上がる)。監査強化=全業務に承認を増やす、という発想こそがスピードを殺している真犯人です。
8.2 反論②「例外が処理できず業務が止まる」への答え——例外承認の設計
統制を厳しくすると必ず「ルール外の緊急事態」が起きます。主力顧客から「今日中に出してくれ」と言われ、通常の検査・承認フローを回す時間がない。ここで統制が硬直的だと、現場は2択を迫られます——業務を止めて顧客を失うか、統制を無視(無断で出荷)して証跡を残さないか。A社の検査記録の後追いは、まさにこの「無視」の産物でした。
正しい設計は第3の道、例外承認(exception handling)を正規ルートとして用意することです。
- 緊急時専用の「例外承認ボタン」を作る。押すと出荷はできるが、理由・承認者・通常統制をスキップした事実が自動で証跡化される。
- 例外は事後に必ずレビューされる(例外台帳の週次レビュー)。例外が特定の社員・特定の顧客に偏れば、それ自体が改善すべきリスクシグナル。
- 例外の多発は「現場が悪い」ではなく「通常フローの設計が現実に合っていない」というデータ。例外ログは統制を進化させる燃料になる。
例外を「あってはならないもの」として禁止すると、現場は隠れて統制を破り証跡が消えます。例外を「正規ルートで、ただし全部記録して」と設計すると、現場は速く動け、かつ証跡は残る。萎縮を生むのは監査ではなく、逃げ場のない硬直した監査。逃げ場(例外承認)を証跡付きで用意することが、スピードと保証を両立させる鍵です。
8.3 統合案——コストを下げつつ保証を上げる
3つを束ねると、A社への統合提案はこうなります。
- リスクベースで監査資源を高リスク業務に集中、低リスクは事前承認を撤廃(スピード↑・コスト↓)
- 継続的監査+Benford等のCAATsで低リスク業務を全件機械スクリーニング(保証↑・人件費↓)
- 例外承認を証跡付き正規ルート化し、例外ログを統制改善に還流(萎縮↓・証跡↑)
- すべての土台にAppend-only証跡(§5)——人を信じるのではなく、構造で改ざんを不能にする
「監査強化=スピード低下」はトレードオフではなく、設計の巧拙の問題だった。これがタイトル「なぜ『厳しい監査』ほど不正は減らないのか」への最終的な答えです。厳しさの方向を間違えるから防げない。方向を「承認の量」から「証跡の質とリスク集中」へ変えれば、速くなり、かつ防げる。
8.4 A社で実際に何が変わったか(before / after)
抽象論で終わらせないために、この設計をA社に当てはめたときの before / after を、現場の手触りで描きます。
| 観点 | Before(厳しくしたのに防げない) | After(設計で構造的に防ぐ) |
|---|---|---|
| 月末伝票チェック | 全員で2時間、「異常なし」と言うだけの儀式。証跡なし | Benfordと分割発注ルールで機械が異常10件を抽出。人はその10件だけ30分で確認、確認した事実が証跡化 |
| 経理の職務分掌 | 記帳・入金確認・保管が1人 | 完全分離は人数的に不可。代わりに経営者が月初5分、銀行残高証明とシステム残高を突合(代替的統制) |
| 検査記録 | 出荷後にまとめて手書き。後追い改ざんと区別不能 | 測定器から自動取込+Append-only。製造完了より後の入力ロットは日次で自動フラグ |
| 緊急出荷 | フローを無視して出荷、記録に残らない | 例外承認ボタン経由。出荷はできるが理由・承認者・スキップした統制が自動証跡化、週次レビュー |
| 現場の作業量 | 監査用の日報が1枚増えて負担増、形骸化 | 転記・二重入力を廃止。証跡は業務システムの副産物として自動発生、むしろ作業は減った |
注目してほしいのは、現場の作業量が「増えた」から「減った」へ反転している点です。Before のA社は、監査強化のたびに現場へ入力を要求し、現場はそれを形骸化(後追い・まとめ書き)で受け流し、結果として証跡の質が下がっていました。After は人に書かせる証跡をやめ、業務の副産物として証跡を取り、人は機械が見つけた例外だけを見る。保証水準は上がり、現場負担は下がり、スピードも上がる。「監査か、スピードか」という二者択一は、設計の貧しさが作り出した偽の対立だった——これがA社の現場で私が学んだことです。
この before / after は、診断士の二次試験・実務助言でそのまま使える型でもあります。「不正が起きた中小企業にどう助言するか」と問われたら、①4軸(機会・動機・正当化・能力)のどこが高いかを診断 → ②機会と能力は監査・職務分掌・Append-only証跡で構造的に潰す → ③動機と正当化は人事・文化・通報制度で抑える → ④リスクベースと例外承認でスピードを殺さない、という順で組み立てれば、表層的な「監査を厳しく」を超えた構造的な答えになります。
9. 組織論への応用|ISO 27001取得支援と「文化」という最後の統制
ここまでの設計を、A社が外部に対して「証拠と保証」を示す形にまとめる現実的な出口が、ISO/IEC 27001:2022(情報セキュリティマネジメントシステム、ISMS)の認証取得です。主力顧客47%集中という構造のA社にとって、その大口顧客から「取引先のセキュリティ認証を取ってほしい」と言われる日は、遅かれ早かれ来ます。
9.1 ISO 27001:2022の構造
ISO 27001:2022は、本文(マネジメントシステム要求)と附属書A(Annex A)の93の管理策から成り、管理策は4つのテーマに再編されました。
| テーマ | 管理策の例 | 主導 |
|---|---|---|
| 組織的管理策 | 方針、役割と責任、リスクアセスメント、供給者管理 | 診断士 |
| 人的管理策 | 雇用前審査、教育・倫理研修、懲戒手続き | 診断士 |
| 物理的管理策 | 入退室管理、装置のセキュリティ、廃棄 | 双方 |
| 技術的管理策 | アクセス制御、暗号、脆弱性管理、ログ、バックアップ | セキスペ |
ここで申し上げたいのは、ISO 27001取得は技術者だけの仕事ではなく、診断士とセキュリティスペシャリスト(セキスペ)の協業案件だということです。中小企業の支援現場で、この役割分担を設計できる人は多くありません。
9.2 診断士が主導すべき領域 vs セキスペが主導すべき領域
| 診断士が主導 | セキュリティスペシャリストが主導 |
|---|---|
| リスクアセスメントの経営判断(どのリスクを受容するか) | 技術的管理策の実装(暗号化・脆弱性管理・ペネトレーションテスト) |
| SoA(適用宣言書)の優先順位付け——93管理策のどれを今やるか | SIEM設計・ネットワーク分離・ログ基盤の技術設計 |
| マネジメントレビューの設計(経営として回す仕組み) | 技術的な是正措置の実装 |
| コスト対効果の経営層説明(投資対効果の言語化) | 技術的監査証跡の取得方法 |
| 人的管理策(雇用前審査・倫理研修・懲戒手続きの制度設計) | 技術研修・インシデント対応の技術手順 |
診断士の付加価値は、「全部やる」を「経営判断として、どこから・いくらで・なぜやるか」に翻訳することにあります。セキスペが「これも必要、あれも必要」と93管理策を積み上げると、A社の体力では破綻します。診断士が経営の言葉で優先順位を引く——ここに専門分業の意味があります。同じ協業思想は「攻めの知財戦略(7-4)」で弁理士と、「データ倫理を競争優位に変える設計(7-5)」でデータ専門家と組む構図と同型です。専門家は「繋ぐ前に経営判断レイヤーを整理する」のが診断士の仕事だと、私は考えています。
9.3 ギャップ分析——「残存リスク×対策コスト」で経営層に示す
取得支援の入口はギャップ分析(現状と要求の差)ですが、それを技術者の言葉で出すと経営層は判断できません。診断士は「残存リスク(対策しない場合の影響×発生可能性)」×「対策コスト」の2軸マトリクスに変換します。
- 右下(残存リスク高・コスト低):即実施。退職者ID失効、共有アカウント廃止、バックアップのリストア訓練など、A社なら今月できるもの。
- 右上(残存リスク高・コスト高):経営判断。SIEM導入や全社暗号化。段階投資の計画を提示し、経営者に選ばせる。
- 左下(低・低):ついでに実施。
- 左上(低・高):やらない。「やらないと決めた」ことを文書化するのも立派なリスク対応(受容)です。
A社規模の現実的ロードマップは、0〜3か月:右下を全部潰す+証跡のAppend-only化(コストほぼゼロ)→ 3〜9か月:SoAを絞ってリスクアセスメントと方針文書化 → 9〜15か月:内部監査・マネジメントレビューを回し認証審査、という1年強の絵になります。最初から完璧を狙わず、コストゼロの統制から着手するのが中小企業の鉄則です。
9.4 文化——どれだけ設計しても最後に効くのは「正当化を許さない空気」
最後に、本記事を貫く一番大事な点に戻ります。第3章の4軸のうち、「正当化を減らす」だけは仕組みでは買えません。ここが組織論との接続点です。
- トーン・アット・ザ・トップ:経営者自身が例外承認を濫用しない、自分の経費こそ証跡を残す。「社長は別」が一度でもあると、統制環境(COSO)は崩壊します。不正の正当化の多くは「上もやっているから」です。
- Code of Ethics と対話型研修:規程を配って読ませる一方通行の研修は、正当化を1ミリも減らしません。「あなたが検査記録を後で書きたくなるのはどんな時か」を現場と対話する研修こそが、正当化の芽を可視化します。
- 心理的安全性(Edmondson 1999):不正の早期発見は、内部通報か「言い出せる空気」からしか来ません。「不良が出た」「ミスした」と言って罰される文化では、人は隠す。隠す=証跡を歪める。心理的安全性は、最も上流の発見的統制です。これは「なぜ技術が高いだけでは信頼を失うのか(9-8)」で論じた専門家倫理とも地続きです。
- 内部通報制度(ホットライン):経営者と利害のない独立窓口を置く。不正発覚の最大の端緒は監査ではなく通報だという統計は、世界共通です。これは「動機」軸の最後の安全網でもあります。
監査・証跡・システムは、不正の「機会」と「能力」を構造で潰します。しかし「動機」と「正当化」は、最後は人と文化の領域に残る。監査可能性の設計(技術・仕組み)と、正当化させない文化(経営・組織)。この両輪が揃って初めて、「設計で不正を構造的に防ぐ」が完成する。片輪だけでは、A社のように「厳しくしたのに防げない」が必ず再来します。
補講|現場でよく聞かれる5つの質問
記事の締めに入る前に、A社のような中小企業の経営者・受験生から実際によく受ける質問に、短く答えておきます。
Q1. 監査可能性を高めると、結局コストが上がるのでは? 初期はゼロ円施策から始められます。共有アカウントの廃止、退職者IDの即時失効、会計ソフトの訂正仕訳機能の徹底、経営者による月初5分の残高突合——どれも投資不要で、機会と能力の頂点を大きく削れます。コストがかかるSIEMや全社暗号化は、§9.3の「残存リスク×コスト」マトリクスで経営判断する後回し項目です。順番を間違えなければ、監査強化はコスト増ではなく現場負担減から始まります。
Q2. 監査と内部統制とリスク管理は、結局どう違うのですか? 入れ子です。ガバナンスの中でリスク管理が回り、その日々の仕組みが内部統制、それを独立検証するのが監査。詳しくは§1.3を参照してください。試験では別科目に見えますが、合格後は1つの地図として使えます。
Q3. うちは人数が少なく職務分掌ができません。諦めるしかない? いいえ。職務分掌が物理的に無理なら「代替的統制」を使います。記帳と承認を分けられないなら、上位者が事後に証跡を突合する。これは監査論で正式に認められた中小企業の定石です(§3.2)。
Q4. Benfordの法則は本当に中小企業で使えますか? 使えます。1年分の経費・売上の先頭桁を数え、理論分布と比べるだけで、特別なソフトは不要です(§7.1)。ただしBenfordは「不正の証明」ではなく「異常の検出」。当たりをつけて人が見る対象を絞る道具だと理解してください。
Q5. ISO 27001は中小企業に過剰では? 取得するかは経営判断ですが、主力顧客への依存度が高い企業ほど、取引先からの要請で必要になる日が来ます。まずは認証取得を目的化せず、§9のロードマップでコストゼロの統制から着手し、認証は「結果として通る状態」を目指すのが現実的です。
10. おわりに|合格直後の自分へ——監査は「縛る道具」ではなく「速く走るためのレール」
最後に、試験に合格したばかりの、かつての自分に手紙を書くつもりで締めます。
合格直後の私は、監査や内部統制を「現場の自由を奪い、スピードを落とす、必要悪のコスト」だと思っていました。試験で覚えた知識も、会計監査・システム監査・品質監査がバラバラの引き出しに入っていて、現場で「どれを開ければいいか」が分かりませんでした。
実務で痛感したのは3つです。
第一に、会計も情報システムも品質も、監査は「証拠と保証」というたった一つの枠組みだということ。対象が違うだけで構造は同じ。これに気づくと、3科目分の知識が1つの地図に統合され、どんな相談にも同じ問い——「それ、後から第三者が検証できますか?」——から入れるようになります。
第二に、不正は人を責めても再発する。仕組み(4軸×COSO)の穴を、証跡の構造(Append-only)で塞ぐこと。そして機会と能力は設計で潰せても、動機と正当化は文化でしか潰せないこと。技術と組織は別の話ではなく、不正のダイヤモンドという一枚の図の上で必ずつながります。
第三に——これが一番伝えたいことですが——よく設計された監査は、現場を縛りません。むしろ現場を速くします。リスクの低い業務から承認を取り払い、例外には証跡付きの逃げ道を用意し、機械が異常を見つけて人は異常だけ見る。現場は「これは記録さえ残れば、自分の判断で速く動いていい」と分かる。監査可能性とは、現場の自由を奪う檻ではなく、安心して全力で走るために敷かれたレールなのです。
もし今、監査や内部統制を「縛るもの」「面倒なもの」として学んでいる受験生の方がいたら、合格後のために一つだけ覚えておいてください。監査を厳しくするとは、ハンコと会議を増やすことではない。「誰が・いつ・何を・どう変えたか」が後から必ず分かる設計を、業務に埋め込むこと。それさえできれば、不正は構造的に減り、現場はむしろ自由になります。縛るのではなく、設計する。これが、合格直後の自分に一番伝えたかったことです。
ここまで長い記事にお付き合いいただき、ありがとうございました。あなたの現場の「証拠と保証」を、少しでも設計し直すきっかけになれば嬉しいです。
本記事は中小企業診断士の学習チェックポイント(7-7「監査を共通の証拠と保証の枠組みで捉え、監査可能なプロセス設計を提案できる」)に対応し、関連する3つの問い(証拠と保証の定義/共通証跡設計/監査強化と効率化の両立)を統合して一本に書き直したものです。最終更新:2026-05-16(3記事を統合し、不正のトライアングル/ダイヤモンド・COSO・システム監査6領域・Benfordの法則・ISO 27001の論点を加えて全面改稿)。重要な経営判断は、税理士・公認会計士・情報処理安全確保支援士など各分野の専門家による検証をお勧めします。
コメント