Quiz-summary
0 of 30 questions completed
Questions:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
Information
Premium Practice Questions
You have already completed the quiz before. Hence you can not start it again.
Quiz is loading...
You must sign in or sign up to start the quiz.
You have to finish following quiz, to start this quiz:
Results
0 of 30 questions answered correctly
Your time:
Time has elapsed
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- Answered
- Review
-
Question 1 of 30
1. Question
ある中堅銀行の内部監査人が、年次のAML監査を実施しています。監査の過程で、AMLコンプライアンス責任者(第2の防衛線)が、取引モニタリングシステムのシナリオ設計を主導するだけでなく、そのシステムから生成されたアラートの処理結果に対する「品質保証(QA)」レビューも自ら実施していることが判明しました。この銀行では、過去12ヶ月間にわたりこの体制で運用されています。第3の防衛線としての独立性と客観性を維持するために、監査人が指摘すべき最も適切な事項はどれですか。
Correct
正解: 第2の防衛線(コンプライアンス部門)の役割は、第1の防衛線が実施するコントロールを監視・評価することですが、自らが設計・実行したプロセスを自ら検証することは「自己監査」の懸念を生じさせ、客観性を損ないます。AML監査人(第3の防衛線)は、ガバナンスの観点から、保証機能(QA)が実行機能から適切に分離されていることを確認し、不備がある場合は改善を促す責任があります。これは、組織全体の内部管理態勢の有効性を評価する監査人の核心的な役割に合致しています。
不正解: 専門性を理由に現状を維持し文書化のみを求めるアプローチは、ガバナンス上の構造的な欠陥を放置しており、客観的な検証を担保できません。また、内部監査チームが日常的な品質保証業務を代行することは、将来的に自らの仕事を監査することになり、第3の防衛線としての独立性を根本から損なうため不適切です。さらに、第2の防衛線の監視を排除して第1の防衛線にすべての検証権限を委譲することは、AMLプログラムにおける多層的な防御構造(Three Lines of Defense)を崩壊させ、リスク管理の空白を生むことになります。
ポイント: 第3の防衛線は、第2の防衛線内においても「実行」と「検証」の役割が適切に分離され、客観的な保証が提供されているかを厳格に評価する必要がある。
Incorrect
正解: 第2の防衛線(コンプライアンス部門)の役割は、第1の防衛線が実施するコントロールを監視・評価することですが、自らが設計・実行したプロセスを自ら検証することは「自己監査」の懸念を生じさせ、客観性を損ないます。AML監査人(第3の防衛線)は、ガバナンスの観点から、保証機能(QA)が実行機能から適切に分離されていることを確認し、不備がある場合は改善を促す責任があります。これは、組織全体の内部管理態勢の有効性を評価する監査人の核心的な役割に合致しています。
不正解: 専門性を理由に現状を維持し文書化のみを求めるアプローチは、ガバナンス上の構造的な欠陥を放置しており、客観的な検証を担保できません。また、内部監査チームが日常的な品質保証業務を代行することは、将来的に自らの仕事を監査することになり、第3の防衛線としての独立性を根本から損なうため不適切です。さらに、第2の防衛線の監視を排除して第1の防衛線にすべての検証権限を委譲することは、AMLプログラムにおける多層的な防御構造(Three Lines of Defense)を崩壊させ、リスク管理の空白を生むことになります。
ポイント: 第3の防衛線は、第2の防衛線内においても「実行」と「検証」の役割が適切に分離され、客観的な保証が提供されているかを厳格に評価する必要がある。
-
Question 2 of 30
2. Question
ある中堅銀行の内部監査部門(第3の防衛線)は、直近で導入されたトランザクション・モニタリング・システム(TMS)の有効性を評価するためのAML監査を計画しています。計画段階において、コンプライアンス部門(第2の防衛線)の責任者は、過去3ヶ月間に実施した品質保証(QA)レビューの結果と、その際に使用したテストスクリプトを共有し、監査の効率化のためにこれらを再利用することを提案しました。この状況において、内部監査人が独立性を維持しつつ、最も適切に監査を遂行するための行動はどれですか。
Correct
正解: 第3の防衛線である内部監査の役割は、第1および第2の防衛線の管理態勢を独立した立場で検証することにあります。他部署が作成したテストスクリプトやサンプルをそのまま使用することは、独立性と客観性を損なうリスクがあり、第2の防衛線による評価自体の妥当性を検証できなくなります。独自のサンプリングとテスト手順を用いることで、初めて「独立したテスト」としての機能を果たし、規制当局が求める保証レベルを提供することが可能になります。これは、ヴォルフスバーグ・グループやFATFの勧告においても、独立した監査機能の重要性として強調されている原則です。
不正解: コンプライアンス部門のQA結果をそのまま監査証拠として利用する手法は、独立した検証を放棄しており、第3の防衛線の定義に反します。また、コンプライアンス部門と共通のテストフレームワークを共同開発することは、監査人が管理態勢の設計に関与することを意味し、将来的な自己監査の懸念が生じ、独立性が脅かされます。さらに、監査範囲を第2の防衛線が特定したリスク領域のみに限定することは、第2の防衛線のリスク評価プロセス自体に不備があった場合、その欠陥を検出できないという重大なリスクを伴います。効率性を優先して独立性を犠牲にすることは、監査の有効性を根本から損なう行為です。
ポイント: 内部監査人は、第2の防衛線の活動を評価対象としつつ、独自のテスト手法とリスク評価を用いることで、客観的かつ独立した保証を提供しなければならない。
Incorrect
正解: 第3の防衛線である内部監査の役割は、第1および第2の防衛線の管理態勢を独立した立場で検証することにあります。他部署が作成したテストスクリプトやサンプルをそのまま使用することは、独立性と客観性を損なうリスクがあり、第2の防衛線による評価自体の妥当性を検証できなくなります。独自のサンプリングとテスト手順を用いることで、初めて「独立したテスト」としての機能を果たし、規制当局が求める保証レベルを提供することが可能になります。これは、ヴォルフスバーグ・グループやFATFの勧告においても、独立した監査機能の重要性として強調されている原則です。
不正解: コンプライアンス部門のQA結果をそのまま監査証拠として利用する手法は、独立した検証を放棄しており、第3の防衛線の定義に反します。また、コンプライアンス部門と共通のテストフレームワークを共同開発することは、監査人が管理態勢の設計に関与することを意味し、将来的な自己監査の懸念が生じ、独立性が脅かされます。さらに、監査範囲を第2の防衛線が特定したリスク領域のみに限定することは、第2の防衛線のリスク評価プロセス自体に不備があった場合、その欠陥を検出できないという重大なリスクを伴います。効率性を優先して独立性を犠牲にすることは、監査の有効性を根本から損なう行為です。
ポイント: 内部監査人は、第2の防衛線の活動を評価対象としつつ、独自のテスト手法とリスク評価を用いることで、客観的かつ独立した保証を提供しなければならない。
-
Question 3 of 30
3. Question
ある多国籍銀行が、従来のルールベースの取引モニタリングシステムから、機械学習(ML)を活用した高度なAIシステムへの移行を計画しています。内部監査部門(第3の防衛線)は、この新システムの導入プロジェクトにおいて、独立性を維持しつつ、効果的な保証(アシュアランス)を提供する必要があります。この状況において、内部監査人が取るべき最も適切な行動はどれですか。
Correct
正解: 内部監査(第3の防衛線)の主要な役割は、第1および第2の防衛線が適切に機能しているかを客観的に評価し、保証を提供することです。AIや機械学習を用いた新システムの導入において、監査人は設計段階のガバナンスを評価し、特に第2の防衛線(コンプライアンスやリスク管理部門)がモデルの妥当性確認(バリデーション)を独立して実施しているかを検証する必要があります。これにより、監査人は自らシステムの設計や設定に関与することなく、独立性を維持したまま、組織のリスク管理体制の有効性を確認できます。
不正解: プロジェクトチームのコアメンバーとしてアルゴリズムの閾値設定やリスクシナリオの定義に直接関与することは、自己監査の禁止に抵触し、監査の独立性を著しく損なうため不適切です。また、システムの稼働から1年が経過するまで監査を控えるアプローチは、設計段階の重大な欠陥を早期に発見する機会を逃し、組織を不必要なリスクにさらすことになります。さらに、コンプライアンス部門の品質保証(QA)業務を共同で実施したり、是正措置を直接指示したりすることは、第2の防衛線と第3の防衛線の境界を曖昧にし、客観的な評価を不可能にします。
ポイント: 内部監査人は、新技術の導入に際して第2の防衛線による監視機能の有効性を検証すべきであり、直接的な設計や運用に関与して独立性を損なってはならない。
Incorrect
正解: 内部監査(第3の防衛線)の主要な役割は、第1および第2の防衛線が適切に機能しているかを客観的に評価し、保証を提供することです。AIや機械学習を用いた新システムの導入において、監査人は設計段階のガバナンスを評価し、特に第2の防衛線(コンプライアンスやリスク管理部門)がモデルの妥当性確認(バリデーション)を独立して実施しているかを検証する必要があります。これにより、監査人は自らシステムの設計や設定に関与することなく、独立性を維持したまま、組織のリスク管理体制の有効性を確認できます。
不正解: プロジェクトチームのコアメンバーとしてアルゴリズムの閾値設定やリスクシナリオの定義に直接関与することは、自己監査の禁止に抵触し、監査の独立性を著しく損なうため不適切です。また、システムの稼働から1年が経過するまで監査を控えるアプローチは、設計段階の重大な欠陥を早期に発見する機会を逃し、組織を不必要なリスクにさらすことになります。さらに、コンプライアンス部門の品質保証(QA)業務を共同で実施したり、是正措置を直接指示したりすることは、第2の防衛線と第3の防衛線の境界を曖昧にし、客観的な評価を不可能にします。
ポイント: 内部監査人は、新技術の導入に際して第2の防衛線による監視機能の有効性を検証すべきであり、直接的な設計や運用に関与して独立性を損なってはならない。
-
Question 4 of 30
4. Question
ある中堅金融機関の内部監査部門(第3の防衛線)は、次年度のAML監査計画を策定しています。AMLコンプライアンス責任者(第2の防衛線)は、監査の効率性を高めるという名目で、監査範囲の特定やサンプリング手法の選定に深く関与することを申し出ました。また、経営陣は、現在導入を進めているAIを活用した不正検知システムの設計段階において、内部監査人が「リアルタイムのアドバイザー」としてプロジェクトチームに常駐し、承認プロセスの一部を担うことを求めています。この状況において、内部監査人が独立性を維持するために取るべき最も適切な行動はどれですか。
Correct
正解: 第3の防衛線である内部監査部門は、第1および第2の防衛線から独立した立場で保証を提供する必要があります。監査計画の策定において、AMLコンプライアンス部門(第2の防衛線)からリスク情報の提供を受けることは有効ですが、監査範囲や手法の最終決定権は監査部門が保持しなければなりません。また、AIシステムのような新規プロジェクトにおいて、設計段階で助言を行うことは組織に付加価値を与えますが、意思決定や承認プロセスに直接関与すると、将来そのシステムを監査する際に「自己監査」の状況が生じ、客観性が損なわれます。したがって、助言的役割に限定し、運営上の責任を負わないことが独立性維持の鍵となります。
不正解: AMLコンプライアンス責任者に監査計画の決定権を委ねるアプローチは、監査の独立性を根本から否定するものであり、不適切です。また、システムの設計段階で承認権限を持つことは、自らが行った判断を後に評価することになり、客観的な監査が不可能になります。一方で、情報の遮断や協議の完全な拒否は、リスクベースの監査計画策定に必要な情報を欠くことになり、組織全体のガバナンスを弱体化させる恐れがあります。外部委託を利用する場合であっても、内部監査人にはその業務の妥当性を監督し、独自の結論を導き出す責任があり、外部の報告書を無批判に追認するだけでは、第3の防衛線としての職責を果たしたことにはなりません。
ポイント: 内部監査人は、組織への助言を通じて付加価値を提供しつつも、意思決定や運営責任を回避することで、将来の監査における客観性と独立性を厳格に維持しなければならない。
Incorrect
正解: 第3の防衛線である内部監査部門は、第1および第2の防衛線から独立した立場で保証を提供する必要があります。監査計画の策定において、AMLコンプライアンス部門(第2の防衛線)からリスク情報の提供を受けることは有効ですが、監査範囲や手法の最終決定権は監査部門が保持しなければなりません。また、AIシステムのような新規プロジェクトにおいて、設計段階で助言を行うことは組織に付加価値を与えますが、意思決定や承認プロセスに直接関与すると、将来そのシステムを監査する際に「自己監査」の状況が生じ、客観性が損なわれます。したがって、助言的役割に限定し、運営上の責任を負わないことが独立性維持の鍵となります。
不正解: AMLコンプライアンス責任者に監査計画の決定権を委ねるアプローチは、監査の独立性を根本から否定するものであり、不適切です。また、システムの設計段階で承認権限を持つことは、自らが行った判断を後に評価することになり、客観的な監査が不可能になります。一方で、情報の遮断や協議の完全な拒否は、リスクベースの監査計画策定に必要な情報を欠くことになり、組織全体のガバナンスを弱体化させる恐れがあります。外部委託を利用する場合であっても、内部監査人にはその業務の妥当性を監督し、独自の結論を導き出す責任があり、外部の報告書を無批判に追認するだけでは、第3の防衛線としての職責を果たしたことにはなりません。
ポイント: 内部監査人は、組織への助言を通じて付加価値を提供しつつも、意思決定や運営責任を回避することで、将来の監査における客観性と独立性を厳格に維持しなければならない。
-
Question 5 of 30
5. Question
ある中堅銀行が、最新のAI技術を活用した取引モニタリングシステム(TMS)を導入することを決定しました。このプロジェクトにおいて、内部監査部門(第3の防衛線)が独立性を維持しつつ、システムの有効性を適切に評価するために取るべき最も適切な行動はどれですか。
Correct
正解: 内部監査部門(第3の防衛線)の核心的な役割は、経営陣や第1・第2の防衛線から独立した立場で客観的な保証を提供することです。AIなどの新しいテクノロジーを導入する際、監査人は設計や意思決定に直接関与してはなりませんが、導入プロセスのガバナンスや、第2の防衛線が行ったモデルバリデーションの適切性を評価することは求められます。稼働後に独立したテストを実施することで、システムの運用実効性を客観的に検証し、独立性を維持しながら組織に価値を提供することができます。
不正解: ベンダー選定への参加や検知ロジックの直接承認を行うアプローチは、監査人が将来的に自らの決定を監査することになるため、独立性と客観性を著しく損なう自己監査の脅威を生じさせます。また、専門知識の不足を理由に監査権限を第2の防衛線に完全に委譲するアプローチは、第3の防衛線としての独立した保証責任を放棄しており、ガバナンス構造上不適切です。さらに、十分なデータ蓄積を待つために監査を2年間延期するアプローチは、システム導入初期の重大なリスクや設定ミスを放置することになり、適時なリスク管理の観点から認められません。
ポイント: 第3の防衛線は、システムの設計や運用上の意思決定から独立性を保ちつつ、リスクベースのアプローチで適時に客観的な評価を行わなければならない。
Incorrect
正解: 内部監査部門(第3の防衛線)の核心的な役割は、経営陣や第1・第2の防衛線から独立した立場で客観的な保証を提供することです。AIなどの新しいテクノロジーを導入する際、監査人は設計や意思決定に直接関与してはなりませんが、導入プロセスのガバナンスや、第2の防衛線が行ったモデルバリデーションの適切性を評価することは求められます。稼働後に独立したテストを実施することで、システムの運用実効性を客観的に検証し、独立性を維持しながら組織に価値を提供することができます。
不正解: ベンダー選定への参加や検知ロジックの直接承認を行うアプローチは、監査人が将来的に自らの決定を監査することになるため、独立性と客観性を著しく損なう自己監査の脅威を生じさせます。また、専門知識の不足を理由に監査権限を第2の防衛線に完全に委譲するアプローチは、第3の防衛線としての独立した保証責任を放棄しており、ガバナンス構造上不適切です。さらに、十分なデータ蓄積を待つために監査を2年間延期するアプローチは、システム導入初期の重大なリスクや設定ミスを放置することになり、適時なリスク管理の観点から認められません。
ポイント: 第3の防衛線は、システムの設計や運用上の意思決定から独立性を保ちつつ、リスクベースのアプローチで適時に客観的な評価を行わなければならない。
-
Question 6 of 30
6. Question
ある中堅銀行では、最新のAI技術を活用した取引モニタリングシステム(TMS)の導入を進めています。取締役会は、システムの稼働後に重大な不備が発見されるリスクを最小限に抑えるため、内部監査部門(第3の防衛線)に対し、開発段階でアルゴリズムのロジックを精査し、その妥当性を正式に承認(サインオフ)するよう要請しました。内部監査部門が独立性を維持しつつ、その役割を果たすために取るべき最も適切な対応はどれですか。
Correct
正解: 内部監査部門(第3の防衛線)の最も重要な責務は、独立性と客観性を維持することです。新しいAIシステムの導入において、監査部門が設計や特定のロジックの承認(サインオフ)に直接関与すると、将来そのシステムを監査する際に「自己監査」の状況に陥り、客観的な評価ができなくなります。したがって、ガバナンスの枠組みやバリデーション(妥当性確認)プロセスの適切性をレビューするにとどめ、設計自体には関与しないことが、国際的な監査基準およびAMLガバナンスの原則に合致しています。
不正解: 開発チームと協力して設計やコーディングに直接参画するアプローチは、第3の防衛線としての独立性を完全に喪失させるため不適切です。また、システム稼働後1年間レビューを行わないという判断は、リスクベースのアプローチに反しており、早期に発見すべき重大な設計上の欠陥を見逃すリスクを高めます。第2の防衛線の報告書を独自の検証なしに追認する行為は、第3の防衛線に求められる「独立したテスト」の役割を放棄しており、規制当局からの期待に応えるものではありません。
ポイント: 内部監査部門は、システムの設計や承認に直接関与することを避け、ガバナンスとプロセスの適切性を評価することで、独立性と客観性を維持しなければならない。
Incorrect
正解: 内部監査部門(第3の防衛線)の最も重要な責務は、独立性と客観性を維持することです。新しいAIシステムの導入において、監査部門が設計や特定のロジックの承認(サインオフ)に直接関与すると、将来そのシステムを監査する際に「自己監査」の状況に陥り、客観的な評価ができなくなります。したがって、ガバナンスの枠組みやバリデーション(妥当性確認)プロセスの適切性をレビューするにとどめ、設計自体には関与しないことが、国際的な監査基準およびAMLガバナンスの原則に合致しています。
不正解: 開発チームと協力して設計やコーディングに直接参画するアプローチは、第3の防衛線としての独立性を完全に喪失させるため不適切です。また、システム稼働後1年間レビューを行わないという判断は、リスクベースのアプローチに反しており、早期に発見すべき重大な設計上の欠陥を見逃すリスクを高めます。第2の防衛線の報告書を独自の検証なしに追認する行為は、第3の防衛線に求められる「独立したテスト」の役割を放棄しており、規制当局からの期待に応えるものではありません。
ポイント: 内部監査部門は、システムの設計や承認に直接関与することを避け、ガバナンスとプロセスの適切性を評価することで、独立性と客観性を維持しなければならない。
-
Question 7 of 30
7. Question
ある中堅銀行の内部監査部門(第3の防衛線)は、直近で導入されたトランザクション・モニタリング・システム(TMS)の有効性を評価するためのAML監査を計画しています。計画段階において、コンプライアンス部門(第2の防衛線)の責任者は、過去3ヶ月間に実施した品質保証(QA)レビューの結果と、その際に使用したテストスクリプトを共有し、監査の効率化のためにこれらを再利用することを提案しました。この状況において、内部監査人が独立性を維持しつつ、最も適切に監査を遂行するための行動はどれですか。
Correct
正解: 第3の防衛線である内部監査の役割は、第1および第2の防衛線の管理態勢を独立した立場で検証することにあります。他部署が作成したテストスクリプトやサンプルをそのまま使用することは、独立性と客観性を損なうリスクがあり、第2の防衛線による評価自体の妥当性を検証できなくなります。独自のサンプリングとテスト手順を用いることで、初めて「独立したテスト」としての機能を果たし、規制当局が求める保証レベルを提供することが可能になります。これは、ヴォルフスバーグ・グループやFATFの勧告においても、独立した監査機能の重要性として強調されている原則です。
不正解: コンプライアンス部門のQA結果をそのまま監査証拠として利用する手法は、独立した検証を放棄しており、第3の防衛線の定義に反します。また、コンプライアンス部門と共通のテストフレームワークを共同開発することは、監査人が管理態勢の設計に関与することを意味し、将来的な自己監査の懸念が生じ、独立性が脅かされます。さらに、監査範囲を第2の防衛線が特定したリスク領域のみに限定することは、第2の防衛線のリスク評価プロセス自体に不備があった場合、その欠陥を検出できないという重大なリスクを伴います。効率性を優先して独立性を犠牲にすることは、監査の有効性を根本から損なう行為です。
ポイント: 内部監査人は、第2の防衛線の活動を評価対象としつつ、独自のテスト手法とリスク評価を用いることで、客観的かつ独立した保証を提供しなければならない。
Incorrect
正解: 第3の防衛線である内部監査の役割は、第1および第2の防衛線の管理態勢を独立した立場で検証することにあります。他部署が作成したテストスクリプトやサンプルをそのまま使用することは、独立性と客観性を損なうリスクがあり、第2の防衛線による評価自体の妥当性を検証できなくなります。独自のサンプリングとテスト手順を用いることで、初めて「独立したテスト」としての機能を果たし、規制当局が求める保証レベルを提供することが可能になります。これは、ヴォルフスバーグ・グループやFATFの勧告においても、独立した監査機能の重要性として強調されている原則です。
不正解: コンプライアンス部門のQA結果をそのまま監査証拠として利用する手法は、独立した検証を放棄しており、第3の防衛線の定義に反します。また、コンプライアンス部門と共通のテストフレームワークを共同開発することは、監査人が管理態勢の設計に関与することを意味し、将来的な自己監査の懸念が生じ、独立性が脅かされます。さらに、監査範囲を第2の防衛線が特定したリスク領域のみに限定することは、第2の防衛線のリスク評価プロセス自体に不備があった場合、その欠陥を検出できないという重大なリスクを伴います。効率性を優先して独立性を犠牲にすることは、監査の有効性を根本から損なう行為です。
ポイント: 内部監査人は、第2の防衛線の活動を評価対象としつつ、独自のテスト手法とリスク評価を用いることで、客観的かつ独立した保証を提供しなければならない。
-
Question 8 of 30
8. Question
ある中堅銀行が、最新の人工知能(AI)を活用した取引モニタリングシステム(TMS)を導入することを決定しました。このプロジェクトは、第一線(営業部門)と第二線(コンプライアンス部門)が共同で推進しています。内部監査部門(第三の防衛線)が、この新システムの導入プロセスにおいて、独立性を維持しつつ、その有効性を適切に評価するために取るべき最も適切な行動はどれですか。
Correct
正解: 内部監査(第三の防衛線)の核心的な役割は、独立した立場からの保証(アシュアランス)の提供です。AIなどの新技術導入において、監査人は設計や意思決定に直接関与するのではなく、ガバナンス体制やバリデーション(妥当性確認)の結果を客観的に評価し、稼働後の運用状況を検証することで、独立性を損なうことなくリスクを管理できます。これは、国際的な監査基準やFATFの勧告に沿った、リスクベースのアプローチに基づく適切な対応です。
不正解: ベンダー選定やシナリオ定義への直接的な参加は、監査対象の設計に責任を負うことになり、将来の監査における客観性を著しく損なうため不適切です。また、監査責任を第二線(コンプライアンス部門)に全面的に委託することは、第三の防衛線としての独立した検証義務を放棄することに繋がります。さらに、高リスクな新システムの導入において18ヶ月も監査を延期することは、重大な欠陥の早期発見を妨げるため、適時なリスク評価を求める規制当局の期待に反します。
ポイント: 第三の防衛線は、管理策の設計や実施に直接関与することを避け、独立した立場からガバナンスと運用の有効性を検証しなければならない。
Incorrect
正解: 内部監査(第三の防衛線)の核心的な役割は、独立した立場からの保証(アシュアランス)の提供です。AIなどの新技術導入において、監査人は設計や意思決定に直接関与するのではなく、ガバナンス体制やバリデーション(妥当性確認)の結果を客観的に評価し、稼働後の運用状況を検証することで、独立性を損なうことなくリスクを管理できます。これは、国際的な監査基準やFATFの勧告に沿った、リスクベースのアプローチに基づく適切な対応です。
不正解: ベンダー選定やシナリオ定義への直接的な参加は、監査対象の設計に責任を負うことになり、将来の監査における客観性を著しく損なうため不適切です。また、監査責任を第二線(コンプライアンス部門)に全面的に委託することは、第三の防衛線としての独立した検証義務を放棄することに繋がります。さらに、高リスクな新システムの導入において18ヶ月も監査を延期することは、重大な欠陥の早期発見を妨げるため、適時なリスク評価を求める規制当局の期待に反します。
ポイント: 第三の防衛線は、管理策の設計や実施に直接関与することを避け、独立した立場からガバナンスと運用の有効性を検証しなければならない。
-
Question 9 of 30
9. Question
ある中堅銀行が、人工知能(AI)を活用した新しい取引モニタリングシステム(TMS)を導入しました。コンプライアンス部門(第2の防衛線)は、システムのパラメータ設定とモデルの検証に深く関与しました。導入から6ヶ月が経過し、内部監査部門(第3の防衛線)がこのシステムの有効性を評価することになりました。内部監査人が独立性を維持しつつ、AML監査の目的を達成するために最も適切に実施すべき行動はどれですか。
Correct
正解: 第3の防衛線である内部監査の役割は、第1および第2の防衛線による管理態勢が意図した通りに機能しているかを、独立した客観的な立場から評価することです。特にAIや機械学習を用いた新しい取引モニタリングシステム(TMS)を導入した場合、内部監査人はそのモデルのガバナンス、データの正確性、閾値設定の妥当性、およびアラート処理の運用状況を独自に検証しなければなりません。これにより、組織全体のAML/CFTフレームワークの有効性を保証することができます。
不正解: コンプライアンス部門(第2の防衛線)が作成したレポートに全面的に依拠するアプローチは、独立した検証という内部監査の本質的な責任を果たしておらず、不適切です。また、監査人がシステムの閾値設定やパラメータの調整に直接関与することは、将来的に自らが関与したプロセスを監査することになり、独立性と客観性を著しく損なう「自己監査」の禁止に抵触します。さらに、規制当局の指示があるまで監査を延期することは、リスクベースのアプローチに基づく適時な監査実施の原則に反し、組織を潜在的なリスクにさらすことになります。
ポイント: 内部監査は、第2の防衛線の成果物に過度に依拠することなく、独立した立場から新しいテクノロジーの設計と運用の有効性を包括的に検証しなければならない。
Incorrect
正解: 第3の防衛線である内部監査の役割は、第1および第2の防衛線による管理態勢が意図した通りに機能しているかを、独立した客観的な立場から評価することです。特にAIや機械学習を用いた新しい取引モニタリングシステム(TMS)を導入した場合、内部監査人はそのモデルのガバナンス、データの正確性、閾値設定の妥当性、およびアラート処理の運用状況を独自に検証しなければなりません。これにより、組織全体のAML/CFTフレームワークの有効性を保証することができます。
不正解: コンプライアンス部門(第2の防衛線)が作成したレポートに全面的に依拠するアプローチは、独立した検証という内部監査の本質的な責任を果たしておらず、不適切です。また、監査人がシステムの閾値設定やパラメータの調整に直接関与することは、将来的に自らが関与したプロセスを監査することになり、独立性と客観性を著しく損なう「自己監査」の禁止に抵触します。さらに、規制当局の指示があるまで監査を延期することは、リスクベースのアプローチに基づく適時な監査実施の原則に反し、組織を潜在的なリスクにさらすことになります。
ポイント: 内部監査は、第2の防衛線の成果物に過度に依拠することなく、独立した立場から新しいテクノロジーの設計と運用の有効性を包括的に検証しなければならない。
-
Question 10 of 30
10. Question
ある多国籍銀行の内部監査部門(第3の防衛線)は、年次のAML監査を計画しています。AMLコンプライアンス部門(第2の防衛線)の品質保証(QA)チームは、過去1年間にわたり広範なテスティングを実施しており、その結果を監査チームと共有しました。コンプライアンス責任者は、一貫性を保つために、監査チームがQAチームと同じテストスクリプトとサンプリング手法を使用することを提案しています。この状況において、第3の防衛線としての独立性と客観性を維持するために、内部監査人が取るべき最も適切な対応はどれですか。
Correct
正解: 第3の防衛線である内部監査の核心的な役割は、第1および第2の防衛線の有効性を独立して検証することにあります。他部署(第2の防衛線)が作成したテストスクリプトやサンプリング手法をそのまま使用することは、独立したテストとしての機能を損ない、客観的な評価を妨げる可能性があります。独自の監査リスク評価に基づき、独立した手法で検証を行うことが、規制当局や国際的な基準(FATFやヴォルフスバーグ原則など)が求める保証の定義に合致しており、第3の防衛線の独立性を担保します。
不正解: 第2の防衛線の結果に全面的に依拠したり、QA済みの領域をスキップしたりするアプローチは、第3の防衛線に求められる独立した検証義務を放棄することになり、監査の網羅性が欠如します。また、取締役会との連携は重要ですが、個別のテストスクリプトをビジネス目標に合わせることは、リスクベースのAML評価を歪める恐れがあります。さらに、第2の防衛線との共同レビューは、役割の境界線を曖昧にし、監査の独立性を脅かす自己監査の懸念を生じさせるため不適切です。
ポイント: 第3の防衛線は、第2の防衛線の成果物を参考にしつつも、独自のサンプリングとテスト手法を通じて独立した保証を提供しなければならない。
Incorrect
正解: 第3の防衛線である内部監査の核心的な役割は、第1および第2の防衛線の有効性を独立して検証することにあります。他部署(第2の防衛線)が作成したテストスクリプトやサンプリング手法をそのまま使用することは、独立したテストとしての機能を損ない、客観的な評価を妨げる可能性があります。独自の監査リスク評価に基づき、独立した手法で検証を行うことが、規制当局や国際的な基準(FATFやヴォルフスバーグ原則など)が求める保証の定義に合致しており、第3の防衛線の独立性を担保します。
不正解: 第2の防衛線の結果に全面的に依拠したり、QA済みの領域をスキップしたりするアプローチは、第3の防衛線に求められる独立した検証義務を放棄することになり、監査の網羅性が欠如します。また、取締役会との連携は重要ですが、個別のテストスクリプトをビジネス目標に合わせることは、リスクベースのAML評価を歪める恐れがあります。さらに、第2の防衛線との共同レビューは、役割の境界線を曖昧にし、監査の独立性を脅かす自己監査の懸念を生じさせるため不適切です。
ポイント: 第3の防衛線は、第2の防衛線の成果物を参考にしつつも、独自のサンプリングとテスト手法を通じて独立した保証を提供しなければならない。
-
Question 11 of 30
11. Question
ある中堅銀行の内部監査部門(第3の防衛線)は、年次のAML監査計画を策定しています。この銀行では、6か月前にコンプライアンス責任者(MLRO)が内部監査部門長(CAO)に異動しました。CAOは、自身が以前に設計・運用していたAMLリスク評価フレームワークの有効性を検証する監査チームを監督する立場にあります。この状況において、監査の独立性と客観性を維持するために、内部監査部門が取るべき最も適切な対応はどれですか。
Correct
正解: 内部監査の独立性と客観性を維持するためには、監査対象となる業務に過去に関与していた者が、その業務の監査を監督することを避けなければなりません。特に、コンプライアンス責任者から内部監査部門長への異動後、十分な冷却期間(一般的に1年以上)が経過していない場合、自己監査の懸念が生じます。このため、当該監査については内部監査部門長を指揮系統から外し、取締役会の監査委員会が直接監督するか、外部の専門家を活用することが、客観性を担保する上で最も適切な対応です。
不正解: 監査範囲を新しい管理態勢のみに限定するアプローチは、過去の不備を見逃すリスクがあり、プログラム全体の有効性について包括的な保証を提供できないため不適切です。また、内部監査部門長が詳細なテスト手順を指示し、コンプライアンス部門長が報告書を承認する構成は、第3の防衛線の独立性を根本から損なうものであり、規制当局の期待にも反します。部下ではなかった職員を起用するだけでは、内部監査部門長自身の評価や判断が監査結果に影響を与える可能性を排除できず、組織的な独立性の確保としては不十分です。
ポイント: 内部監査部門長が過去に責任を負っていた業務を監査する場合、自己監査による客観性の欠如を避けるため、監督権限の分離や外部委託などの適切なガバナンス措置を講じる必要がある。
Incorrect
正解: 内部監査の独立性と客観性を維持するためには、監査対象となる業務に過去に関与していた者が、その業務の監査を監督することを避けなければなりません。特に、コンプライアンス責任者から内部監査部門長への異動後、十分な冷却期間(一般的に1年以上)が経過していない場合、自己監査の懸念が生じます。このため、当該監査については内部監査部門長を指揮系統から外し、取締役会の監査委員会が直接監督するか、外部の専門家を活用することが、客観性を担保する上で最も適切な対応です。
不正解: 監査範囲を新しい管理態勢のみに限定するアプローチは、過去の不備を見逃すリスクがあり、プログラム全体の有効性について包括的な保証を提供できないため不適切です。また、内部監査部門長が詳細なテスト手順を指示し、コンプライアンス部門長が報告書を承認する構成は、第3の防衛線の独立性を根本から損なうものであり、規制当局の期待にも反します。部下ではなかった職員を起用するだけでは、内部監査部門長自身の評価や判断が監査結果に影響を与える可能性を排除できず、組織的な独立性の確保としては不十分です。
ポイント: 内部監査部門長が過去に責任を負っていた業務を監査する場合、自己監査による客観性の欠如を避けるため、監督権限の分離や外部委託などの適切なガバナンス措置を講じる必要がある。
-
Question 12 of 30
12. Question
ある多国籍金融機関の内部監査部門(第3の防衛線)は、年次のAML監査計画を策定しています。AMLコンプライアンス部門(第2の防衛線)の責任者は、効率性を高め、評価結果の不一致を避けるために、コンプライアンス部門が実施した品質保証(QA)テストと同じテストスクリプトとサンプルセットを監査でも使用することを提案しました。この状況において、内部監査部門が独立性を維持し、その役割を適切に果たすための最も適切な対応はどれですか。
Correct
正解: 第3の防衛線である内部監査の主な役割は、第1および第2の防衛線が適切に機能しているかを独立した立場から客観的に評価することです。第2の防衛線(コンプライアンス部門)が実施した品質保証(QA)の結果を情報源として活用することは有効ですが、監査の独立性を維持するためには、独自の監査プログラムを策定し、リスクベースのアプローチに基づいて独立したサンプリングとテストを実施しなければなりません。これにより、組織全体のAML管理体制の有効性について、偏りのない保証を取締役会や監査委員会に提供することが可能になります。
不正解: コンプライアンス部門が提供したテストスクリプトやサンプルをそのまま使用する手法は、監査の独立性と客観性を著しく損なうため不適切です。第2の防衛線自体の不備を特定できなくなるリスクがあります。また、低リスク領域の検証をコンプライアンス部門に完全に委ねることは、第3の防衛線としての責任を放棄することになり、監査範囲の妥当性に疑問が生じます。さらに、監査の範囲や手法について被監査対象であるコンプライアンス責任者の承認を得たり、報告ラインをコンプライアンス部門に依存させたりすることは、ガバナンス構造における独立性の原則に明確に違反します。
ポイント: 内部監査は、第2の防衛線の成果物を参考にしつつも、独自の計画とサンプリングに基づく独立した検証を行うことで、AMLプログラムの有効性を客観的に評価しなければならない。
Incorrect
正解: 第3の防衛線である内部監査の主な役割は、第1および第2の防衛線が適切に機能しているかを独立した立場から客観的に評価することです。第2の防衛線(コンプライアンス部門)が実施した品質保証(QA)の結果を情報源として活用することは有効ですが、監査の独立性を維持するためには、独自の監査プログラムを策定し、リスクベースのアプローチに基づいて独立したサンプリングとテストを実施しなければなりません。これにより、組織全体のAML管理体制の有効性について、偏りのない保証を取締役会や監査委員会に提供することが可能になります。
不正解: コンプライアンス部門が提供したテストスクリプトやサンプルをそのまま使用する手法は、監査の独立性と客観性を著しく損なうため不適切です。第2の防衛線自体の不備を特定できなくなるリスクがあります。また、低リスク領域の検証をコンプライアンス部門に完全に委ねることは、第3の防衛線としての責任を放棄することになり、監査範囲の妥当性に疑問が生じます。さらに、監査の範囲や手法について被監査対象であるコンプライアンス責任者の承認を得たり、報告ラインをコンプライアンス部門に依存させたりすることは、ガバナンス構造における独立性の原則に明確に違反します。
ポイント: 内部監査は、第2の防衛線の成果物を参考にしつつも、独自の計画とサンプリングに基づく独立した検証を行うことで、AMLプログラムの有効性を客観的に評価しなければならない。
-
Question 13 of 30
13. Question
ある多国籍金融機関の内部監査部門(第3の防衛線)は、年次のAML監査計画を策定しています。AMLコンプライアンス部門(第2の防衛線)の責任者は、効率性を高め、評価結果の不一致を避けるために、コンプライアンス部門が実施した品質保証(QA)テストと同じテストスクリプトとサンプルセットを監査でも使用することを提案しました。この状況において、内部監査部門が独立性を維持し、その役割を適切に果たすための最も適切な対応はどれですか。
Correct
正解: 第3の防衛線である内部監査の主な役割は、第1および第2の防衛線が適切に機能しているかを独立した立場から客観的に評価することです。第2の防衛線(コンプライアンス部門)が実施した品質保証(QA)の結果を情報源として活用することは有効ですが、監査の独立性を維持するためには、独自の監査プログラムを策定し、リスクベースのアプローチに基づいて独立したサンプリングとテストを実施しなければなりません。これにより、組織全体のAML管理体制の有効性について、偏りのない保証を取締役会や監査委員会に提供することが可能になります。
不正解: コンプライアンス部門が提供したテストスクリプトやサンプルをそのまま使用する手法は、監査の独立性と客観性を著しく損なうため不適切です。第2の防衛線自体の不備を特定できなくなるリスクがあります。また、低リスク領域の検証をコンプライアンス部門に完全に委ねることは、第3の防衛線としての責任を放棄することになり、監査範囲の妥当性に疑問が生じます。さらに、監査の範囲や手法について被監査対象であるコンプライアンス責任者の承認を得たり、報告ラインをコンプライアンス部門に依存させたりすることは、ガバナンス構造における独立性の原則に明確に違反します。
ポイント: 内部監査は、第2の防衛線の成果物を参考にしつつも、独自の計画とサンプリングに基づく独立した検証を行うことで、AMLプログラムの有効性を客観的に評価しなければならない。
Incorrect
正解: 第3の防衛線である内部監査の主な役割は、第1および第2の防衛線が適切に機能しているかを独立した立場から客観的に評価することです。第2の防衛線(コンプライアンス部門)が実施した品質保証(QA)の結果を情報源として活用することは有効ですが、監査の独立性を維持するためには、独自の監査プログラムを策定し、リスクベースのアプローチに基づいて独立したサンプリングとテストを実施しなければなりません。これにより、組織全体のAML管理体制の有効性について、偏りのない保証を取締役会や監査委員会に提供することが可能になります。
不正解: コンプライアンス部門が提供したテストスクリプトやサンプルをそのまま使用する手法は、監査の独立性と客観性を著しく損なうため不適切です。第2の防衛線自体の不備を特定できなくなるリスクがあります。また、低リスク領域の検証をコンプライアンス部門に完全に委ねることは、第3の防衛線としての責任を放棄することになり、監査範囲の妥当性に疑問が生じます。さらに、監査の範囲や手法について被監査対象であるコンプライアンス責任者の承認を得たり、報告ラインをコンプライアンス部門に依存させたりすることは、ガバナンス構造における独立性の原則に明確に違反します。
ポイント: 内部監査は、第2の防衛線の成果物を参考にしつつも、独自の計画とサンプリングに基づく独立した検証を行うことで、AMLプログラムの有効性を客観的に評価しなければならない。
-
Question 14 of 30
14. Question
ある中堅銀行において、内部監査部門(第3の防衛線)は、コンプライアンス部門(第2の防衛線)が運用する取引モニタリングシステム(TMS)の有効性評価を実施する計画を立てています。しかし、現在の内部監査責任者(CAO)は、18ヶ月前までAMLコンプライアンス責任者を務めており、現行のTMSの検知ロジックの設計と導入を直接主導していました。この状況において、AML監査の独立性と客観性を維持するために、監査計画の策定時に取るべき最も適切な対応はどれですか。
Correct
正解: 内部監査(第3の防衛線)の独立性と客観性を維持するためには、監査対象となる業務の設計や運用に過去に関与した者が、その業務を自ら監査する「自己監査」の状況を回避しなければなりません。今回のケースでは、内部監査責任者(CAO)が過去に取引モニタリングシステム(TMS)のロジック設計を主導しているため、直接的な監督や承認を行うことは利益相反に当たります。したがって、外部の第三者による評価を導入するか、あるいは当該設計に関与していないスタッフが主導し、CAOを意思決定プロセスから除外する措置を講じることが、規制当局の期待や国際的な監査基準に合致する最も適切な対応です。
不正解: 設計から1年以上経過していることを理由にCAOの監督を認めるアプローチは、自己監査のリスクを十分に排除できず、独立性の原則を損なう恐れがあります。また、監査範囲を運用の有効性のみに限定し、ロジックの妥当性評価を避けるアプローチは、AMLプログラムの重要な構成要素に対する検証を放棄することになり、包括的な監査として不適切です。コンプライアンス部門による自己アセスメントの結果を検証するのみに留める手法は、第3の防衛線に求められる「独立したテスト」としての機能を果たしておらず、第2の防衛線の活動を追認するに過ぎないため、監査の目的を達成できません。
ポイント: 内部監査の独立性を担保するためには、過去に当該業務の設計や運用に携わった者を監査プロセスから組織的に分離し、自己監査によるバイアスを排除しなければならない。
Incorrect
正解: 内部監査(第3の防衛線)の独立性と客観性を維持するためには、監査対象となる業務の設計や運用に過去に関与した者が、その業務を自ら監査する「自己監査」の状況を回避しなければなりません。今回のケースでは、内部監査責任者(CAO)が過去に取引モニタリングシステム(TMS)のロジック設計を主導しているため、直接的な監督や承認を行うことは利益相反に当たります。したがって、外部の第三者による評価を導入するか、あるいは当該設計に関与していないスタッフが主導し、CAOを意思決定プロセスから除外する措置を講じることが、規制当局の期待や国際的な監査基準に合致する最も適切な対応です。
不正解: 設計から1年以上経過していることを理由にCAOの監督を認めるアプローチは、自己監査のリスクを十分に排除できず、独立性の原則を損なう恐れがあります。また、監査範囲を運用の有効性のみに限定し、ロジックの妥当性評価を避けるアプローチは、AMLプログラムの重要な構成要素に対する検証を放棄することになり、包括的な監査として不適切です。コンプライアンス部門による自己アセスメントの結果を検証するのみに留める手法は、第3の防衛線に求められる「独立したテスト」としての機能を果たしておらず、第2の防衛線の活動を追認するに過ぎないため、監査の目的を達成できません。
ポイント: 内部監査の独立性を担保するためには、過去に当該業務の設計や運用に携わった者を監査プロセスから組織的に分離し、自己監査によるバイアスを排除しなければならない。
-
Question 15 of 30
15. Question
ある中堅銀行が、人工知能(AI)を活用した新しい取引モニタリングシステム(TMS)を導入しました。AMLコンプライアンス部門(第2の防衛線)は、モデルのチューニングと閾値設定に深く関与しました。取締役会は、システムの有効性を早期に確保するため、内部監査部門(第3の防衛線)に対し、導入プロジェクトの進行中にリアルタイムで助言を行い、設計の承認プロセスに加わるよう要請しました。この状況において、内部監査部門が独立性を維持しつつ果たすべき最も適切な対応はどれですか。
Correct
正解: 内部監査(第3の防衛線)の最も重要な原則は独立性と客観性です。監査人がシステムの設計、閾値の設定、または導入に関する意思決定に直接関与した場合、自らが構築に関わったものを自ら評価することになり、自己監査の脅威が生じます。したがって、助言を行う場合でも、最終的な意思決定は管理職(第1または第2の防衛線)に委ね、監査部門は客観的な評価ができる立場を維持しなければなりません。これは、FATFや各国の規制当局が求める「独立したテスト」の要件に合致する対応です。
不正解: 第2の防衛線と協力してパラメータ設定や閾値の決定に直接関与するアプローチは、管理責任の一部を担うことになり、監査の独立性を著しく損なうため不適切です。また、システムの技術的なITインフラのみに監査範囲を限定することは、AMLプログラム全体の有効性を評価するという監査の目的を果たせず、リスクベースのアプローチとして不十分です。監査結果の草案をコンプライアンス責任者のみに提出し、修正を待ってから取締役会に報告する手法は、取締役会に対する直接的な報告ラインというガバナンス構造を軽視しており、透明性の欠如を招きます。
ポイント: 内部監査部門は、システムの設計や運用に関する意思決定から独立を保つことで、客観的な保証(アシュアランス)を提供する役割を維持しなければならない。
Incorrect
正解: 内部監査(第3の防衛線)の最も重要な原則は独立性と客観性です。監査人がシステムの設計、閾値の設定、または導入に関する意思決定に直接関与した場合、自らが構築に関わったものを自ら評価することになり、自己監査の脅威が生じます。したがって、助言を行う場合でも、最終的な意思決定は管理職(第1または第2の防衛線)に委ね、監査部門は客観的な評価ができる立場を維持しなければなりません。これは、FATFや各国の規制当局が求める「独立したテスト」の要件に合致する対応です。
不正解: 第2の防衛線と協力してパラメータ設定や閾値の決定に直接関与するアプローチは、管理責任の一部を担うことになり、監査の独立性を著しく損なうため不適切です。また、システムの技術的なITインフラのみに監査範囲を限定することは、AMLプログラム全体の有効性を評価するという監査の目的を果たせず、リスクベースのアプローチとして不十分です。監査結果の草案をコンプライアンス責任者のみに提出し、修正を待ってから取締役会に報告する手法は、取締役会に対する直接的な報告ラインというガバナンス構造を軽視しており、透明性の欠如を招きます。
ポイント: 内部監査部門は、システムの設計や運用に関する意思決定から独立を保つことで、客観的な保証(アシュアランス)を提供する役割を維持しなければならない。
-
Question 16 of 30
16. Question
ある中堅銀行が、最新のAI技術を活用した取引モニタリングシステム(TMS)を導入することを決定しました。このプロジェクトにおいて、内部監査部門(第3の防衛線)が独立性を維持しつつ、システムの有効性を適切に評価するために取るべき最も適切な行動はどれですか。
Correct
正解: 内部監査部門(第3の防衛線)の核心的な役割は、経営陣や第1・第2の防衛線から独立した立場で客観的な保証を提供することです。AIなどの新しいテクノロジーを導入する際、監査人は設計や意思決定に直接関与してはなりませんが、導入プロセスのガバナンスや、第2の防衛線が行ったモデルバリデーションの適切性を評価することは求められます。稼働後に独立したテストを実施することで、システムの運用実効性を客観的に検証し、独立性を維持しながら組織に価値を提供することができます。
不正解: ベンダー選定への参加や検知ロジックの直接承認を行うアプローチは、監査人が将来的に自らの決定を監査することになるため、独立性と客観性を著しく損なう自己監査の脅威を生じさせます。また、専門知識の不足を理由に監査権限を第2の防衛線に完全に委譲するアプローチは、第3の防衛線としての独立した保証責任を放棄しており、ガバナンス構造上不適切です。さらに、十分なデータ蓄積を待つために監査を2年間延期するアプローチは、システム導入初期の重大なリスクや設定ミスを放置することになり、適時なリスク管理の観点から認められません。
ポイント: 第3の防衛線は、システムの設計や運用上の意思決定から独立性を保ちつつ、リスクベースのアプローチで適時に客観的な評価を行わなければならない。
Incorrect
正解: 内部監査部門(第3の防衛線)の核心的な役割は、経営陣や第1・第2の防衛線から独立した立場で客観的な保証を提供することです。AIなどの新しいテクノロジーを導入する際、監査人は設計や意思決定に直接関与してはなりませんが、導入プロセスのガバナンスや、第2の防衛線が行ったモデルバリデーションの適切性を評価することは求められます。稼働後に独立したテストを実施することで、システムの運用実効性を客観的に検証し、独立性を維持しながら組織に価値を提供することができます。
不正解: ベンダー選定への参加や検知ロジックの直接承認を行うアプローチは、監査人が将来的に自らの決定を監査することになるため、独立性と客観性を著しく損なう自己監査の脅威を生じさせます。また、専門知識の不足を理由に監査権限を第2の防衛線に完全に委譲するアプローチは、第3の防衛線としての独立した保証責任を放棄しており、ガバナンス構造上不適切です。さらに、十分なデータ蓄積を待つために監査を2年間延期するアプローチは、システム導入初期の重大なリスクや設定ミスを放置することになり、適時なリスク管理の観点から認められません。
ポイント: 第3の防衛線は、システムの設計や運用上の意思決定から独立性を保ちつつ、リスクベースのアプローチで適時に客観的な評価を行わなければならない。
-
Question 17 of 30
17. Question
ある中堅銀行が、人工知能(AI)を活用した新しい取引モニタリングシステム(TMS)を導入することになりました。AMLコンプライアンス部門(第2の防衛線)は、将来の監査で指摘を受けないよう、システムの検知閾値の設計段階から内部監査部門(第3の防衛線)が積極的に関与し、具体的なロジックの承認を行うよう要請しました。この状況において、内部監査部門が独立性を維持しつつ、組織のガバナンスを強化するために取るべき最も適切な対応はどれですか。
Correct
正解: 内部監査部門(第3の防衛線)の最も重要な原則は独立性と客観性です。新しいシステムの導入において、監査部門が設計プロセスを監視したり、コントロールの観点からアドバイスを提供したりすることは許容されますが、具体的な閾値の決定やロジックの承認といった経営判断に直接関与してはいけません。直接関与した場合、将来的に自らが関わった設計を評価することになり、「自己監査」のバイアスが生じて独立性が損なわれるためです。独立した立場を維持しつつ、実装後にその運用効果を検証することが、第3の防衛線としての正しい役割です。
不正解: コンプライアンス部門と共同で閾値を策定し、取締役会へ連名で報告するアプローチは、第2の防衛線と第3の防衛線の境界を消滅させ、監査の独立性を致命的に損なうため不適切です。また、品質保証(QA)機能を監査と混同し、テストシナリオの合格基準を定義する責任を負うことも、運用上の意思決定への関与にあたります。外部コンサルタントに設計の承認を委託し、その結果をそのまま監査報告書として採用する手法は、監査部門としての評価責任を放棄しており、独立した検証プロセスとはみなされません。
ポイント: 内部監査部門は、システムの設計や運用に関する意思決定への直接的な関与を避け、独立した立場からその有効性を客観的に評価しなければならない。
Incorrect
正解: 内部監査部門(第3の防衛線)の最も重要な原則は独立性と客観性です。新しいシステムの導入において、監査部門が設計プロセスを監視したり、コントロールの観点からアドバイスを提供したりすることは許容されますが、具体的な閾値の決定やロジックの承認といった経営判断に直接関与してはいけません。直接関与した場合、将来的に自らが関わった設計を評価することになり、「自己監査」のバイアスが生じて独立性が損なわれるためです。独立した立場を維持しつつ、実装後にその運用効果を検証することが、第3の防衛線としての正しい役割です。
不正解: コンプライアンス部門と共同で閾値を策定し、取締役会へ連名で報告するアプローチは、第2の防衛線と第3の防衛線の境界を消滅させ、監査の独立性を致命的に損なうため不適切です。また、品質保証(QA)機能を監査と混同し、テストシナリオの合格基準を定義する責任を負うことも、運用上の意思決定への関与にあたります。外部コンサルタントに設計の承認を委託し、その結果をそのまま監査報告書として採用する手法は、監査部門としての評価責任を放棄しており、独立した検証プロセスとはみなされません。
ポイント: 内部監査部門は、システムの設計や運用に関する意思決定への直接的な関与を避け、独立した立場からその有効性を客観的に評価しなければならない。
-
Question 18 of 30
18. Question
ある中堅銀行が、最新のAI技術を活用した取引モニタリングシステム(TMS)の導入を計画しています。このプロジェクトにおいて、内部監査部門(第3の防衛線)は、システムの有効性とコンプライアンスを確保するための役割を期待されています。内部監査部門がその独立性を維持しつつ、第3の防衛線としての責任を果たすために、監査計画の策定において最も適切な対応はどれですか。
Correct
正解: 内部監査部門(第3の防衛線)の最も重要な責務は、独立性と客観性を維持しながら、第1および第2の防衛線が適切に機能しているかを検証することです。AIモデルの設計やルール設定に直接関与することは「自己監査」の状況を生み出し、独立性を損なうリスクがあります。したがって、内部監査は設計そのものを行うのではなく、第2の防衛線(コンプライアンス部門やリスク管理部門)が行うモデルバリデーションのプロセスや、ガバナンスの枠組みが適切に設計・運用されているかを評価することに注力すべきです。これは、FATFや各国の規制当局が求める「独立したテスト」の原則に合致しています。
不正解: 設計段階からプロジェクトに参加しルールの策定を主導するアプローチは、将来的に自らが関与したプロセスを監査することになり、客観的な評価が不可能になるため不適切です。また、専門性を理由に第2の防衛線に評価を全面的に委ねることは、第3の防衛線としての保証提供義務を放棄することになり、組織全体のガバナンスに欠陥が生じます。さらに、運用開始から1年が経過するまで一切の関与を控えるというアプローチは、リスクベースの監査計画の観点から不適切であり、重大な設計上の欠陥が放置されるリスクを増大させます。内部監査は、開発プロセス中のガバナンスを適時にレビューすることが求められます。
ポイント: 内部監査部門は、システムの設計や運用に直接関与して独立性を損なうことなく、第1・第2の防衛線によるコントロールとガバナンスの有効性を検証しなければならない。
Incorrect
正解: 内部監査部門(第3の防衛線)の最も重要な責務は、独立性と客観性を維持しながら、第1および第2の防衛線が適切に機能しているかを検証することです。AIモデルの設計やルール設定に直接関与することは「自己監査」の状況を生み出し、独立性を損なうリスクがあります。したがって、内部監査は設計そのものを行うのではなく、第2の防衛線(コンプライアンス部門やリスク管理部門)が行うモデルバリデーションのプロセスや、ガバナンスの枠組みが適切に設計・運用されているかを評価することに注力すべきです。これは、FATFや各国の規制当局が求める「独立したテスト」の原則に合致しています。
不正解: 設計段階からプロジェクトに参加しルールの策定を主導するアプローチは、将来的に自らが関与したプロセスを監査することになり、客観的な評価が不可能になるため不適切です。また、専門性を理由に第2の防衛線に評価を全面的に委ねることは、第3の防衛線としての保証提供義務を放棄することになり、組織全体のガバナンスに欠陥が生じます。さらに、運用開始から1年が経過するまで一切の関与を控えるというアプローチは、リスクベースの監査計画の観点から不適切であり、重大な設計上の欠陥が放置されるリスクを増大させます。内部監査は、開発プロセス中のガバナンスを適時にレビューすることが求められます。
ポイント: 内部監査部門は、システムの設計や運用に直接関与して独立性を損なうことなく、第1・第2の防衛線によるコントロールとガバナンスの有効性を検証しなければならない。
-
Question 19 of 30
19. Question
ある中堅金融機関の内部監査人が、AMLプログラムの定期監査を実施しています。監査の過程で、第2次防衛線であるコンプライアンス部門が、トランザクション・モニタリング・システムの抽出ルールや閾値の設定に深く関与していることが判明しました。しかし、内部監査チームには、これらの複雑なアルゴリズムやモデルの妥当性を技術的に検証するための専門知識が不足しています。この状況において、監査の独立性と専門性を維持するために、内部監査人が取るべき最も適切な行動はどれですか。
Correct
正解: 内部監査(第3次防衛線)は、AMLプログラムの有効性を客観的かつ独立した立場から検証する責任を負っています。監査チームに特定の技術的専門知識(データサイエンスや複雑なモデルバリデーションなど)が不足している場合、その領域を監査範囲から除外したり、被監査部門である第2次防衛線の成果物に全面的に依拠したりすることは、監査の質と独立性を損なうことになります。外部の専門家や、日常のAML業務に関与していない専門的な学内リソースを監査チームの監督下で活用することは、独立性を維持しながら専門的な検証を遂行するための正当なアプローチです。
不正解: 第2次防衛線が実施した品質保証(QA)の結果に全面的に依拠する手法は、第3次防衛線に求められる「独立したテスト」の原則に反します。また、技術的な検証を避けてガバナンスや規程の確認のみに範囲を限定することは、リスクベースの監査アプローチとして不十分であり、システムの運用実効性に関する重大な欠陥を見逃す可能性があります。IT部門による自己査定レポートを主な根拠とすることも、客観的な第三者による検証とは見なされず、監査の信頼性を担保できません。
ポイント: 内部監査は、専門知識が不足する領域においても、外部リソース等を適切に活用することで独立性を保ちつつ、第2次防衛線の成果物に過度に依拠しない客観的な検証を行わなければならない。
Incorrect
正解: 内部監査(第3次防衛線)は、AMLプログラムの有効性を客観的かつ独立した立場から検証する責任を負っています。監査チームに特定の技術的専門知識(データサイエンスや複雑なモデルバリデーションなど)が不足している場合、その領域を監査範囲から除外したり、被監査部門である第2次防衛線の成果物に全面的に依拠したりすることは、監査の質と独立性を損なうことになります。外部の専門家や、日常のAML業務に関与していない専門的な学内リソースを監査チームの監督下で活用することは、独立性を維持しながら専門的な検証を遂行するための正当なアプローチです。
不正解: 第2次防衛線が実施した品質保証(QA)の結果に全面的に依拠する手法は、第3次防衛線に求められる「独立したテスト」の原則に反します。また、技術的な検証を避けてガバナンスや規程の確認のみに範囲を限定することは、リスクベースの監査アプローチとして不十分であり、システムの運用実効性に関する重大な欠陥を見逃す可能性があります。IT部門による自己査定レポートを主な根拠とすることも、客観的な第三者による検証とは見なされず、監査の信頼性を担保できません。
ポイント: 内部監査は、専門知識が不足する領域においても、外部リソース等を適切に活用することで独立性を保ちつつ、第2次防衛線の成果物に過度に依拠しない客観的な検証を行わなければならない。
-
Question 20 of 30
20. Question
ある中堅金融機関の内部監査部門(第3の防衛線)は、年次のAML監査を計画しています。計画段階において、AMLコンプライアンス責任者(第2の防衛線)から、コンプライアンス部門が直近で実施した詳細な品質保証(QA)レビューの結果を提供され、効率性の観点からこのQA結果を監査の証拠としてそのまま採用し、重複するテストを省略してはどうかという提案を受けました。第3の防衛線の独立性と責任に関する国際的な基準に照らし、内部監査人が取るべき最も適切な対応はどれですか。
Correct
正解: 第3の防衛線である内部監査の主な役割は、第1および第2の防衛線から独立した立場で、組織のガバナンス、リスク管理、および内部統制の有効性を客観的に評価することです。第2の防衛線(コンプライアンス部門)が実施した品質保証(QA)の結果をリスク評価や計画策定の参考にすることは認められますが、監査の結論を導き出すためには、独自のサンプリングに基づいた独立したテストを実施しなければなりません。これにより、第2の防衛線の監視機能自体が適切に機能しているかを含め、AMLプログラム全体の有効性を保証することが可能になります。
不正解: 第2の防衛線の報告書を全面的に信頼して独自のテストを省略するアプローチは、第3の防衛線に不可欠な独立性と客観性を著しく損なうため不適切です。また、低リスク領域のテストを第2の防衛線に委託する手法は、防衛線間の境界線を曖昧にし、監査の独立した検証機能を無効化させます。外部監査人に特定の検証を依頼し、内部監査が特定の部門のみに集中する対応は、組織全体のAMLフレームワークを包括的に評価し、取締役会に対して独立した保証を提供するという内部監査の責任を放棄することにつながります。
ポイント: 第3の防衛線は、第2の防衛線の成果物を情報源として活用しつつも、独自の独立したテストを通じてAMLプログラムの有効性を検証し、独立性を維持しなければならない。
Incorrect
正解: 第3の防衛線である内部監査の主な役割は、第1および第2の防衛線から独立した立場で、組織のガバナンス、リスク管理、および内部統制の有効性を客観的に評価することです。第2の防衛線(コンプライアンス部門)が実施した品質保証(QA)の結果をリスク評価や計画策定の参考にすることは認められますが、監査の結論を導き出すためには、独自のサンプリングに基づいた独立したテストを実施しなければなりません。これにより、第2の防衛線の監視機能自体が適切に機能しているかを含め、AMLプログラム全体の有効性を保証することが可能になります。
不正解: 第2の防衛線の報告書を全面的に信頼して独自のテストを省略するアプローチは、第3の防衛線に不可欠な独立性と客観性を著しく損なうため不適切です。また、低リスク領域のテストを第2の防衛線に委託する手法は、防衛線間の境界線を曖昧にし、監査の独立した検証機能を無効化させます。外部監査人に特定の検証を依頼し、内部監査が特定の部門のみに集中する対応は、組織全体のAMLフレームワークを包括的に評価し、取締役会に対して独立した保証を提供するという内部監査の責任を放棄することにつながります。
ポイント: 第3の防衛線は、第2の防衛線の成果物を情報源として活用しつつも、独自の独立したテストを通じてAMLプログラムの有効性を検証し、独立性を維持しなければならない。
-
Question 21 of 30
21. Question
ある国際的な金融機関が、既存のルールベースの取引モニタリングシステムを、人工知能(AI)と機械学習を活用した高度なソリューションに移行するプロジェクトを開始しました。このプロジェクトは6ヶ月後の稼働を目指しており、コンプライアンス部門(第2の防衛線)が主導しています。内部監査部門(第3の防衛線)は、プロジェクトのガバナンスとコントロールの設計に関して助言を求められました。内部監査部門が、その独立性と客観性を維持しながら、組織のAMLプログラムの健全性に最も貢献できる行動はどれですか。
Correct
正解: 内部監査部門(第3の防衛線)の核心的な役割は、第1および第2の防衛線による管理態勢の有効性を独立した立場から評価することです。新しいAIシステムの導入という重要な変革期において、設計段階でコントロールの適切性について客観的な助言を行うことは、組織のリスク管理能力を高めるために推奨されます。しかし、独立性を維持するためには、システムの仕様決定、パラメータの承認、実装作業といった経営陣の責任に属する意思決定プロセスには関与してはなりません。客観的な評価を提供しつつ、将来的に運用状況を独立して検証できるよう監査計画を策定することが、国際的な内部監査基準およびAML監査の原則に合致した対応です。
不正解: プロジェクトチームの正式なメンバーとして承認プロセスに加わるアプローチは、自らが意思決定に関与した対象を後に監査することになり、自己監査の脅威が生じ、独立性が著しく損なわれます。また、システム稼働後まで一切の関与を拒否するアプローチは、設計上の重大な欠陥を早期に発見する機会を失わせ、組織に不必要なリスクをもたらすため、現代のリスクベース監査の観点からは不適切です。さらに、第2の防衛線の品質保証(QA)機能を代行するアプローチは、防衛線モデルにおける役割の境界を曖昧にし、組織全体のチェック・アンド・バランスの機能を弱める結果となります。
ポイント: 内部監査部門は、新システムの設計段階で客観的な助言を提供できるが、独立性を保つために意思決定や実装には関与せず、事後の独立した検証を担保しなければならない。
Incorrect
正解: 内部監査部門(第3の防衛線)の核心的な役割は、第1および第2の防衛線による管理態勢の有効性を独立した立場から評価することです。新しいAIシステムの導入という重要な変革期において、設計段階でコントロールの適切性について客観的な助言を行うことは、組織のリスク管理能力を高めるために推奨されます。しかし、独立性を維持するためには、システムの仕様決定、パラメータの承認、実装作業といった経営陣の責任に属する意思決定プロセスには関与してはなりません。客観的な評価を提供しつつ、将来的に運用状況を独立して検証できるよう監査計画を策定することが、国際的な内部監査基準およびAML監査の原則に合致した対応です。
不正解: プロジェクトチームの正式なメンバーとして承認プロセスに加わるアプローチは、自らが意思決定に関与した対象を後に監査することになり、自己監査の脅威が生じ、独立性が著しく損なわれます。また、システム稼働後まで一切の関与を拒否するアプローチは、設計上の重大な欠陥を早期に発見する機会を失わせ、組織に不必要なリスクをもたらすため、現代のリスクベース監査の観点からは不適切です。さらに、第2の防衛線の品質保証(QA)機能を代行するアプローチは、防衛線モデルにおける役割の境界を曖昧にし、組織全体のチェック・アンド・バランスの機能を弱める結果となります。
ポイント: 内部監査部門は、新システムの設計段階で客観的な助言を提供できるが、独立性を保つために意思決定や実装には関与せず、事後の独立した検証を担保しなければならない。
-
Question 22 of 30
22. Question
ある中堅銀行の内部監査部門は、次年度のAML監査計画を策定しています。第2次防衛線であるコンプライアンス部門は、最近、フィンテック企業との提携拡大に伴い、顧客リスクと地理的リスクが上昇したことを示す全社的AMLリスクアセスメント(EWRA)を完了しました。内部監査人が監査の範囲とサンプリング手法を決定する際、独立性を維持しつつ、リスクベースのアプローチを最も適切に反映する行動はどれですか。
Correct
正解: 内部監査部門(第3次防衛線)は、リスクベースのアプローチに従い、第2次防衛線が作成した全社的AMLリスクアセスメント(EWRA)を監査計画の重要なインプットとして活用する必要があります。しかし、独立性を維持し、保証(Assurance)を提供する役割を果たすためには、第2次防衛線の評価結果を無批判に受け入れるのではなく、その評価手法やデータの正確性を批判的に検討(検証)した上で、独自の判断で高リスク領域を特定し、監査リソースを配分することが求められます。これにより、第2次防衛線のコントロール自体が適切に機能しているかどうかも評価対象に含めることができます。
不正解: 第2次防衛線のリスクアセスメント結果をそのまま受け入れ、低リスク領域を完全に除外するアプローチは、第2次防衛線の判断ミスやコントロールの欠陥を見逃す可能性があり、監査の独立性と客観性を損ないます。また、独立性を守るために第2次防衛線の情報を一切参照しない手法は、組織内の既存の知見を活用できず、効率的かつ効果的なリスクベース監査の原則に反します。さらに、第2次防衛線が実施した品質保証(QA)の結果をそのまま監査証拠として採用することは、第3次防衛線に義務付けられている「独立したテスト」の要件を満たさず、監査の信頼性を低下させます。
ポイント: 第3次防衛線は、第2次防衛線のリスクアセスメントを基礎としつつも、独自の検証を通じて独立性を保ちながらリスクベースの監査範囲を決定しなければならない。
Incorrect
正解: 内部監査部門(第3次防衛線)は、リスクベースのアプローチに従い、第2次防衛線が作成した全社的AMLリスクアセスメント(EWRA)を監査計画の重要なインプットとして活用する必要があります。しかし、独立性を維持し、保証(Assurance)を提供する役割を果たすためには、第2次防衛線の評価結果を無批判に受け入れるのではなく、その評価手法やデータの正確性を批判的に検討(検証)した上で、独自の判断で高リスク領域を特定し、監査リソースを配分することが求められます。これにより、第2次防衛線のコントロール自体が適切に機能しているかどうかも評価対象に含めることができます。
不正解: 第2次防衛線のリスクアセスメント結果をそのまま受け入れ、低リスク領域を完全に除外するアプローチは、第2次防衛線の判断ミスやコントロールの欠陥を見逃す可能性があり、監査の独立性と客観性を損ないます。また、独立性を守るために第2次防衛線の情報を一切参照しない手法は、組織内の既存の知見を活用できず、効率的かつ効果的なリスクベース監査の原則に反します。さらに、第2次防衛線が実施した品質保証(QA)の結果をそのまま監査証拠として採用することは、第3次防衛線に義務付けられている「独立したテスト」の要件を満たさず、監査の信頼性を低下させます。
ポイント: 第3次防衛線は、第2次防衛線のリスクアセスメントを基礎としつつも、独自の検証を通じて独立性を保ちながらリスクベースの監査範囲を決定しなければならない。
-
Question 23 of 30
23. Question
ある中堅銀行の内部監査部門(第3の防衛線)は、マネー・ローンダリング防止(AML)プログラムの定期監査を実施しています。監査計画の段階で、AMLコンプライアンス責任者(第2の防衛線)から、効率性と一貫性を確保するために、コンプライアンス部門が直近の品質保証(QA)レビューで使用したサンプリング手法とデータセットをそのまま監査でも使用するよう提案されました。この状況において、内部監査人が独立性を維持し、効果的な監査を実施するために取るべき最も適切な行動はどれですか。
Correct
正解: 内部監査(第3の防衛線)の核心的な役割は、第1および第2の防衛線から完全に独立した立場で客観的な保証(アシュアランス)を提供することです。第2の防衛線であるコンプライアンス部門が実施する品質保証(QA)活動は、管理態勢の一部であり、監査はそのQA活動自体の有効性も含めて検証する立場にあります。したがって、監査人が自らのリスク評価に基づき、独立してサンプリング手法や範囲を決定することは、監査の独立性と客観性を担保するために不可欠な要件です。
不正解: コンプライアンス部門の手法をそのまま採用するアプローチは、第2の防衛線の不備を監査が見逃すリスク(監査リスク)を高め、独立した検証としての機能を果たせなくなります。また、テスト自体をコンプライアンス部門に委託するアプローチは、第3の防衛線に義務付けられている「独立したテスト」の原則に明確に違反します。さらに、被監査対象であるコンプライアンス責任者から監査計画の承認を得るアプローチは、監査部門の独立した権限を著しく損ない、ガバナンス上の重大な欠陥となります。
ポイント: 第3の防衛線は、第2の防衛線の成果物や手法に過度に依存せず、独自のリスク評価に基づいた独立したテストを通じて客観的な保証を提供しなければならない。
Incorrect
正解: 内部監査(第3の防衛線)の核心的な役割は、第1および第2の防衛線から完全に独立した立場で客観的な保証(アシュアランス)を提供することです。第2の防衛線であるコンプライアンス部門が実施する品質保証(QA)活動は、管理態勢の一部であり、監査はそのQA活動自体の有効性も含めて検証する立場にあります。したがって、監査人が自らのリスク評価に基づき、独立してサンプリング手法や範囲を決定することは、監査の独立性と客観性を担保するために不可欠な要件です。
不正解: コンプライアンス部門の手法をそのまま採用するアプローチは、第2の防衛線の不備を監査が見逃すリスク(監査リスク)を高め、独立した検証としての機能を果たせなくなります。また、テスト自体をコンプライアンス部門に委託するアプローチは、第3の防衛線に義務付けられている「独立したテスト」の原則に明確に違反します。さらに、被監査対象であるコンプライアンス責任者から監査計画の承認を得るアプローチは、監査部門の独立した権限を著しく損ない、ガバナンス上の重大な欠陥となります。
ポイント: 第3の防衛線は、第2の防衛線の成果物や手法に過度に依存せず、独自のリスク評価に基づいた独立したテストを通じて客観的な保証を提供しなければならない。
-
Question 24 of 30
24. Question
ある国際的な金融機関の内部監査部門は、コンプライアンス部門から新しい取引モニタリング・システム(TMS)の導入プロジェクトへの参画を要請されました。コンプライアンス部門は、過去の監査指摘事項を確実に反映させ、規制当局の期待に応えるシステムを構築するために、監査人の専門的な知見に基づいた閾値の選定とリスク・スコアリング・モデルの承認を求めています。この銀行は半年後に重要な規制当局による検査を控えており、経営陣もプロジェクトの成功を最優先事項としています。このような状況において、内部監査人が独立性を維持しながら果たすべき最も適切な役割はどれですか。
Correct
正解: 内部監査(第3の防衛線)の最も重要な原則は独立性と客観性です。監査人がシステムの設計、閾値の設定、または意思決定プロセスに直接関与した場合、自らが構築を支援した管理態勢を後に自ら監査するという「自己監査」の懸念が生じ、客観的な評価が不可能になります。ただし、監査人が持つ専門知識を組織のために活用することは推奨されており、意思決定権を持たないアドバイザリー的な立場で、規制上の期待値や必要なコントロールの枠組みについて助言を行うことは、独立性を維持しつつ組織に貢献する適切な方法です。最終的な設計の責任は第1および第2の防衛線が負い、監査人は導入後に独立した立場からその有効性を検証する必要があります。
不正解: プロジェクトの正式なメンバーとして設計に参加し、閾値の承認を行うアプローチは、監査人が第2の防衛線の機能を代行することを意味し、独立性を著しく損なうため不適切です。また、将来の監査指摘を避けるために設計に関与するという動機は、監査の本来の目的である客観的な保証提供を妨げます。一方で、システムの稼働後1年間一切の関与を拒否するというアプローチは、組織のリスク管理能力を向上させるための建設的な対話を制限しすぎており、現代の内部監査に求められる付加価値提供の観点から最善とは言えません。さらに、他部署の責任者が署名することを条件に実務作業を代行するアプローチも、実質的な作業内容が執行業務である以上、形式的な署名だけで独立性の欠如を正当化することはできません。
ポイント: 内部監査人は、第1・第2の防衛線の執行責任や意思決定を代行することなく、アドバイザリーを通じてコントロールの期待値を伝え、事後的に独立した検証を行うことで独立性を維持すべきである。
Incorrect
正解: 内部監査(第3の防衛線)の最も重要な原則は独立性と客観性です。監査人がシステムの設計、閾値の設定、または意思決定プロセスに直接関与した場合、自らが構築を支援した管理態勢を後に自ら監査するという「自己監査」の懸念が生じ、客観的な評価が不可能になります。ただし、監査人が持つ専門知識を組織のために活用することは推奨されており、意思決定権を持たないアドバイザリー的な立場で、規制上の期待値や必要なコントロールの枠組みについて助言を行うことは、独立性を維持しつつ組織に貢献する適切な方法です。最終的な設計の責任は第1および第2の防衛線が負い、監査人は導入後に独立した立場からその有効性を検証する必要があります。
不正解: プロジェクトの正式なメンバーとして設計に参加し、閾値の承認を行うアプローチは、監査人が第2の防衛線の機能を代行することを意味し、独立性を著しく損なうため不適切です。また、将来の監査指摘を避けるために設計に関与するという動機は、監査の本来の目的である客観的な保証提供を妨げます。一方で、システムの稼働後1年間一切の関与を拒否するというアプローチは、組織のリスク管理能力を向上させるための建設的な対話を制限しすぎており、現代の内部監査に求められる付加価値提供の観点から最善とは言えません。さらに、他部署の責任者が署名することを条件に実務作業を代行するアプローチも、実質的な作業内容が執行業務である以上、形式的な署名だけで独立性の欠如を正当化することはできません。
ポイント: 内部監査人は、第1・第2の防衛線の執行責任や意思決定を代行することなく、アドバイザリーを通じてコントロールの期待値を伝え、事後的に独立した検証を行うことで独立性を維持すべきである。
-
Question 25 of 30
25. Question
ある中堅銀行の内部監査部門(第3の防衛線)は、最近アップグレードされた取引モニタリングシステム(TMS)の有効性を検証するためのAML監査を計画しています。計画段階において、AMLコンプライアンス責任者(第2の防衛線)は、アラート処理プロセスについては既にコンプライアンス部門内で詳細な品質保証(QA)レビューを実施済みであるため、今回の監査範囲からは除外し、システムの技術的な実装状況にのみ焦点を当てるよう提案しました。この状況において、内部監査人が第3の防衛線としての独立性と責任を維持するために取るべき最も適切な行動はどれですか。
Correct
正解: 第3の防衛線である内部監査部門は、第1および第2の防衛線から完全に独立して機能する必要があります。第2の防衛線(コンプライアンス部門)が行う品質保証(QA)は管理側によるモニタリング活動であり、内部監査が提供する「独立した保証」の代わりにはなりません。監査人は、他部署からの要請や既存の自己点検結果に左右されることなく、独自のリスク評価に基づいて監査範囲を決定し、必要に応じて第2の防衛線の活動自体の有効性も検証する責任があります。
不正解: 第2の防衛線のQA結果をそのまま受け入れて検証を省略するアプローチは、第3の防衛線に求められる独立した客観的な評価を損なうため不適切です。また、被監査部門であるコンプライアンス部門と共同で監査プログラムを策定することは、監査の独立性と客観性を脅かす「自己監査」の懸念を生じさせます。取締役会への報告については、監査範囲の制限が実質的に監査の遂行を不可能にする場合に検討されるべきですが、まずは監査人が専門家としての判断に基づき、独立して範囲を決定することが優先されます。
ポイント: 内部監査は第2の防衛線の活動から独立していなければならず、他部署のQA結果にかかわらず独自のリスク評価に基づき監査範囲を決定すべきである。
Incorrect
正解: 第3の防衛線である内部監査部門は、第1および第2の防衛線から完全に独立して機能する必要があります。第2の防衛線(コンプライアンス部門)が行う品質保証(QA)は管理側によるモニタリング活動であり、内部監査が提供する「独立した保証」の代わりにはなりません。監査人は、他部署からの要請や既存の自己点検結果に左右されることなく、独自のリスク評価に基づいて監査範囲を決定し、必要に応じて第2の防衛線の活動自体の有効性も検証する責任があります。
不正解: 第2の防衛線のQA結果をそのまま受け入れて検証を省略するアプローチは、第3の防衛線に求められる独立した客観的な評価を損なうため不適切です。また、被監査部門であるコンプライアンス部門と共同で監査プログラムを策定することは、監査の独立性と客観性を脅かす「自己監査」の懸念を生じさせます。取締役会への報告については、監査範囲の制限が実質的に監査の遂行を不可能にする場合に検討されるべきですが、まずは監査人が専門家としての判断に基づき、独立して範囲を決定することが優先されます。
ポイント: 内部監査は第2の防衛線の活動から独立していなければならず、他部署のQA結果にかかわらず独自のリスク評価に基づき監査範囲を決定すべきである。
-
Question 26 of 30
26. Question
ある金融機関の内部監査部長に対し、AMLコンプライアンス責任者から以下のメッセージが届きました。「6ヶ月前に稼働を開始した新しい取引モニタリングシステムについてですが、コンプライアンス部門(第2次防衛線)ですでに詳細な品質保証(QA)レビューを完了し、必要な修正対応も進めています。監査リソースの重複を避け、効率化を図るため、今回の内部監査の範囲からは当該システムの技術的検証を除外していただきたいと考えています。」この状況において、第3次防衛線としての独立性と責任を維持するために、内部監査人が取るべき最も適切な対応はどれですか。
Correct
正解: 第3次防衛線(内部監査)の役割は、第1次および第2次防衛線から完全に独立した立場で、組織の内部管理態勢の有効性を客観的に評価することにあります。第2次防衛線(コンプライアンス部門)が品質保証(QA)を実施している場合でも、監査人はそのQAプロセス自体の妥当性を検証する「監査の監査」を行うとともに、リスクベースのアプローチに従って独自のテストを実施しなければなりません。これにより、経営陣や取締役会に対して、第2次防衛線の監視機能が適切に働いているかを含めた包括的な保証を提供することが可能になります。
不正解: コンプライアンス部門のQA結果を全面的に受け入れて監査範囲を限定するアプローチは、第3次防衛線に求められる独立性と客観性を著しく損なうものであり、不適切です。また、新システムの監査を1年後まで延期するという判断は、導入初期に発生しやすい重大な欠陥や設定ミスを見逃すリスクを高め、適時な保証提供という監査の目的に反します。規制当局への即時報告については、内部のガバナンス体制(監査委員会への報告や協議など)を適切に経ることなく外部へエスカレーションするものであり、組織内の問題解決プロセスとして過剰かつ不適切です。
ポイント: 第3次防衛線は、第2次防衛線の活動を評価の対象としつつ、独立した立場から独自の検証を行うことで、組織全体のガバナンスの有効性を担保しなければならない。
Incorrect
正解: 第3次防衛線(内部監査)の役割は、第1次および第2次防衛線から完全に独立した立場で、組織の内部管理態勢の有効性を客観的に評価することにあります。第2次防衛線(コンプライアンス部門)が品質保証(QA)を実施している場合でも、監査人はそのQAプロセス自体の妥当性を検証する「監査の監査」を行うとともに、リスクベースのアプローチに従って独自のテストを実施しなければなりません。これにより、経営陣や取締役会に対して、第2次防衛線の監視機能が適切に働いているかを含めた包括的な保証を提供することが可能になります。
不正解: コンプライアンス部門のQA結果を全面的に受け入れて監査範囲を限定するアプローチは、第3次防衛線に求められる独立性と客観性を著しく損なうものであり、不適切です。また、新システムの監査を1年後まで延期するという判断は、導入初期に発生しやすい重大な欠陥や設定ミスを見逃すリスクを高め、適時な保証提供という監査の目的に反します。規制当局への即時報告については、内部のガバナンス体制(監査委員会への報告や協議など)を適切に経ることなく外部へエスカレーションするものであり、組織内の問題解決プロセスとして過剰かつ不適切です。
ポイント: 第3次防衛線は、第2次防衛線の活動を評価の対象としつつ、独立した立場から独自の検証を行うことで、組織全体のガバナンスの有効性を担保しなければならない。
-
Question 27 of 30
27. Question
ある中堅銀行の内部監査部門は、次年度のAML監査計画を策定しています。コンプライアンス部門(第2の防衛線)は、最近導入されたフィンテック企業との提携に伴うリスクを反映した、最新の全社的AMLリスクアセスメント(EWRA)を完了しました。内部監査人が、第3の防衛線としての独立性を維持しつつ、リスクベースのアプローチを効果的に適用するために取るべき最も適切な行動はどれですか。
Correct
正解: 内部監査(第3の防衛線)は、リスクベースの監査を遂行するために第2の防衛線が作成した全社的リスクアセスメント(EWRA)を活用することが期待されます。しかし、独立性を維持するためには、そのアセスメントの結果をそのまま受け入れるのではなく、まずアセスメントの作成プロセス、使用されたデータ、および方法論の妥当性を独自に検証しなければなりません。この検証プロセスを経て初めて、EWRAの結果を監査の範囲設定やリソース配分の根拠として信頼することができ、組織全体のガバナンスの有効性を客観的に評価することが可能になります。
不正解: コンプライアンス部門の評価を無批判に受け入れ、低リスク領域を完全に監査対象から除外するアプローチは、第2の防衛線自体のコントロール不備を見逃す可能性があり、監査リスクを増大させます。また、独立性を強調するあまり第2の防衛線の成果物を一切参照しないことは、組織内の既存の知見を無視することになり、監査の効率性と戦略的な焦点が欠如する原因となります。さらに、監査計画の段階でコンプライアンス部門に対して具体的な業務手法の修正を直接指示することは、監査人が業務執行に関与することを意味し、将来的にその業務を客観的に監査できなくなるという独立性の侵害を招きます。
ポイント: 内部監査人は、第2の防衛線の成果物を独自に検証した上でリスクベースの計画に組み込むことにより、独立性と監査の効率性を両立させる必要がある。
Incorrect
正解: 内部監査(第3の防衛線)は、リスクベースの監査を遂行するために第2の防衛線が作成した全社的リスクアセスメント(EWRA)を活用することが期待されます。しかし、独立性を維持するためには、そのアセスメントの結果をそのまま受け入れるのではなく、まずアセスメントの作成プロセス、使用されたデータ、および方法論の妥当性を独自に検証しなければなりません。この検証プロセスを経て初めて、EWRAの結果を監査の範囲設定やリソース配分の根拠として信頼することができ、組織全体のガバナンスの有効性を客観的に評価することが可能になります。
不正解: コンプライアンス部門の評価を無批判に受け入れ、低リスク領域を完全に監査対象から除外するアプローチは、第2の防衛線自体のコントロール不備を見逃す可能性があり、監査リスクを増大させます。また、独立性を強調するあまり第2の防衛線の成果物を一切参照しないことは、組織内の既存の知見を無視することになり、監査の効率性と戦略的な焦点が欠如する原因となります。さらに、監査計画の段階でコンプライアンス部門に対して具体的な業務手法の修正を直接指示することは、監査人が業務執行に関与することを意味し、将来的にその業務を客観的に監査できなくなるという独立性の侵害を招きます。
ポイント: 内部監査人は、第2の防衛線の成果物を独自に検証した上でリスクベースの計画に組み込むことにより、独立性と監査の効率性を両立させる必要がある。
-
Question 28 of 30
28. Question
ある中堅銀行が、人工知能(AI)を活用した新しい取引モニタリングシステム(TMS)を導入しました。コンプライアンス部門(第2の防衛線)は、システムのパラメータ設定とモデルの検証に深く関与しました。導入から6ヶ月が経過し、内部監査部門(第3の防衛線)がこのシステムの有効性を評価することになりました。内部監査人が独立性を維持しつつ、AML監査の目的を達成するために最も適切に実施すべき行動はどれですか。
Correct
正解: 第3の防衛線である内部監査の役割は、第1および第2の防衛線による管理態勢が意図した通りに機能しているかを、独立した客観的な立場から評価することです。特にAIや機械学習を用いた新しい取引モニタリングシステム(TMS)を導入した場合、内部監査人はそのモデルのガバナンス、データの正確性、閾値設定の妥当性、およびアラート処理の運用状況を独自に検証しなければなりません。これにより、組織全体のAML/CFTフレームワークの有効性を保証することができます。
不正解: コンプライアンス部門(第2の防衛線)が作成したレポートに全面的に依拠するアプローチは、独立した検証という内部監査の本質的な責任を果たしておらず、不適切です。また、監査人がシステムの閾値設定やパラメータの調整に直接関与することは、将来的に自らが関与したプロセスを監査することになり、独立性と客観性を著しく損なう「自己監査」の禁止に抵触します。さらに、規制当局の指示があるまで監査を延期することは、リスクベースのアプローチに基づく適時な監査実施の原則に反し、組織を潜在的なリスクにさらすことになります。
ポイント: 内部監査は、第2の防衛線の成果物に過度に依拠することなく、独立した立場から新しいテクノロジーの設計と運用の有効性を包括的に検証しなければならない。
Incorrect
正解: 第3の防衛線である内部監査の役割は、第1および第2の防衛線による管理態勢が意図した通りに機能しているかを、独立した客観的な立場から評価することです。特にAIや機械学習を用いた新しい取引モニタリングシステム(TMS)を導入した場合、内部監査人はそのモデルのガバナンス、データの正確性、閾値設定の妥当性、およびアラート処理の運用状況を独自に検証しなければなりません。これにより、組織全体のAML/CFTフレームワークの有効性を保証することができます。
不正解: コンプライアンス部門(第2の防衛線)が作成したレポートに全面的に依拠するアプローチは、独立した検証という内部監査の本質的な責任を果たしておらず、不適切です。また、監査人がシステムの閾値設定やパラメータの調整に直接関与することは、将来的に自らが関与したプロセスを監査することになり、独立性と客観性を著しく損なう「自己監査」の禁止に抵触します。さらに、規制当局の指示があるまで監査を延期することは、リスクベースのアプローチに基づく適時な監査実施の原則に反し、組織を潜在的なリスクにさらすことになります。
ポイント: 内部監査は、第2の防衛線の成果物に過度に依拠することなく、独立した立場から新しいテクノロジーの設計と運用の有効性を包括的に検証しなければならない。
-
Question 29 of 30
29. Question
ある中堅銀行の内部監査部門(第3の防衛線)は、コンプライアンス部門(第2の防衛線)が6ヶ月前に導入した新しい取引モニタリングシステムの有効性を評価する計画を立てています。コンプライアンス責任者は、導入時に広範な品質保証(QA)テストを実施し、その結果を詳細な報告書としてまとめているため、監査チームはそのQA結果を信頼し、テストを省略して他の高リスク領域にリソースを集中させるべきだと主張しています。この状況において、内部監査人が取るべき最も適切な行動はどれですか。
Correct
正解: 内部監査(第3の防衛線)の役割は、第1および第2の防衛線による管理態勢の有効性を独立した立場から検証することです。第2の防衛線が行った品質保証(QA)の結果は有用な参考資料となりますが、監査人はそのQAプロセス自体の妥当性を評価した上で、独自のサンプリングやテストを通じてシステムが意図通りに機能しているかを直接確認しなければなりません。これにより、組織全体のAMLプログラムに対する客観的な保証が提供されます。
不正解: コンプライアンス部門のQA結果を無批判に受け入れることは、第3の防衛線としての独立性を欠き、検証の客観性を失わせるため不適切です。また、監査人が業務上の意思決定プロセス(モニタリング委員会など)に直接関与することは、将来的な監査において自己監査の懸念が生じ、独立性を著しく損なうことになります。外部ベンダーの報告書やガバナンスの確認のみに監査範囲を限定するアプローチでは、実際の運用におけるリスクやシステムの有効性を十分に評価できず、監査の目的を達成できません。
ポイント: 内部監査人は、第2の防衛線の活動を評価の対象としつつ、独自の独立したテストを実施することで、AMLプログラムの有効性を客観的に保証しなければならない。
Incorrect
正解: 内部監査(第3の防衛線)の役割は、第1および第2の防衛線による管理態勢の有効性を独立した立場から検証することです。第2の防衛線が行った品質保証(QA)の結果は有用な参考資料となりますが、監査人はそのQAプロセス自体の妥当性を評価した上で、独自のサンプリングやテストを通じてシステムが意図通りに機能しているかを直接確認しなければなりません。これにより、組織全体のAMLプログラムに対する客観的な保証が提供されます。
不正解: コンプライアンス部門のQA結果を無批判に受け入れることは、第3の防衛線としての独立性を欠き、検証の客観性を失わせるため不適切です。また、監査人が業務上の意思決定プロセス(モニタリング委員会など)に直接関与することは、将来的な監査において自己監査の懸念が生じ、独立性を著しく損なうことになります。外部ベンダーの報告書やガバナンスの確認のみに監査範囲を限定するアプローチでは、実際の運用におけるリスクやシステムの有効性を十分に評価できず、監査の目的を達成できません。
ポイント: 内部監査人は、第2の防衛線の活動を評価の対象としつつ、独自の独立したテストを実施することで、AMLプログラムの有効性を客観的に保証しなければならない。
-
Question 30 of 30
30. Question
ある中堅金融機関の内部監査部門(第3の防衛線)は、次年度のAML監査計画を策定しています。AMLコンプライアンス責任者(第2の防衛線)は、監査の効率性を高めるという名目で、監査範囲の特定やサンプリング手法の選定に深く関与することを申し出ました。また、経営陣は、現在導入を進めているAIを活用した不正検知システムの設計段階において、内部監査人が「リアルタイムのアドバイザー」としてプロジェクトチームに常駐し、承認プロセスの一部を担うことを求めています。この状況において、内部監査人が独立性を維持するために取るべき最も適切な行動はどれですか。
Correct
正解: 第3の防衛線である内部監査部門は、第1および第2の防衛線から独立した立場で保証を提供する必要があります。監査計画の策定において、AMLコンプライアンス部門(第2の防衛線)からリスク情報の提供を受けることは有効ですが、監査範囲や手法の最終決定権は監査部門が保持しなければなりません。また、AIシステムのような新規プロジェクトにおいて、設計段階で助言を行うことは組織に付加価値を与えますが、意思決定や承認プロセスに直接関与すると、将来そのシステムを監査する際に「自己監査」の状況が生じ、客観性が損なわれます。したがって、助言的役割に限定し、運営上の責任を負わないことが独立性維持の鍵となります。
不正解: AMLコンプライアンス責任者に監査計画の決定権を委ねるアプローチは、監査の独立性を根本から否定するものであり、不適切です。また、システムの設計段階で承認権限を持つことは、自らが行った判断を後に評価することになり、客観的な監査が不可能になります。一方で、情報の遮断や協議の完全な拒否は、リスクベースの監査計画策定に必要な情報を欠くことになり、組織全体のガバナンスを弱体化させる恐れがあります。外部委託を利用する場合であっても、内部監査人にはその業務の妥当性を監督し、独自の結論を導き出す責任があり、外部の報告書を無批判に追認するだけでは、第3の防衛線としての職責を果たしたことにはなりません。
ポイント: 内部監査人は、組織への助言を通じて付加価値を提供しつつも、意思決定や運営責任を回避することで、将来の監査における客観性と独立性を厳格に維持しなければならない。
Incorrect
正解: 第3の防衛線である内部監査部門は、第1および第2の防衛線から独立した立場で保証を提供する必要があります。監査計画の策定において、AMLコンプライアンス部門(第2の防衛線)からリスク情報の提供を受けることは有効ですが、監査範囲や手法の最終決定権は監査部門が保持しなければなりません。また、AIシステムのような新規プロジェクトにおいて、設計段階で助言を行うことは組織に付加価値を与えますが、意思決定や承認プロセスに直接関与すると、将来そのシステムを監査する際に「自己監査」の状況が生じ、客観性が損なわれます。したがって、助言的役割に限定し、運営上の責任を負わないことが独立性維持の鍵となります。
不正解: AMLコンプライアンス責任者に監査計画の決定権を委ねるアプローチは、監査の独立性を根本から否定するものであり、不適切です。また、システムの設計段階で承認権限を持つことは、自らが行った判断を後に評価することになり、客観的な監査が不可能になります。一方で、情報の遮断や協議の完全な拒否は、リスクベースの監査計画策定に必要な情報を欠くことになり、組織全体のガバナンスを弱体化させる恐れがあります。外部委託を利用する場合であっても、内部監査人にはその業務の妥当性を監督し、独自の結論を導き出す責任があり、外部の報告書を無批判に追認するだけでは、第3の防衛線としての職責を果たしたことにはなりません。
ポイント: 内部監査人は、組織への助言を通じて付加価値を提供しつつも、意思決定や運営責任を回避することで、将来の監査における客観性と独立性を厳格に維持しなければならない。
