2024年7月5日、内部監査人協会(以下、IIA)は、日本語版の「グローバル内部監査基準™」(以下、基準)を公表しました。「専門職的実施の国際フレームワーク」(International Professional Practices Framework、以下、IPPF)は、前回、2017年に改定されており、今回の2024年改定は7年ぶりとなります。
今回の改定は、IIAによれば、世界中の実務家やステークホルダーからの質の高い内部監査へのニーズに応え、責任を果たせるようにすること、現在の内部監査のトレンドに照らした実務に対応することが狙いとされています。
新基準は、監査ガバナンスを強化するために内部監査部門長と取締役会、最高経営者とで協議すべき事項や、監査のリソースとして活用し得るテクノロジーなどについて、現行基準よりも踏み込んだ事例を提示しており、内部監査が責任を果たし、新しい実務に対応するための大きな指針になる内容となっています。
新基準は、2025年から適用であり、それまでの期間において、それぞれの内部監査部門において、取組みの変更や追加の検討など、対応に向けた必要な準備が求められることになります。
内部監査部門が取り組むべきこと
今回の基準の改定を受けて、内部監査部門には、自らが実施する内部監査の品質を担保し続けるために、新基準に即した対応が期待されます。その際に、内部監査部門長は、取締役会や最高経営者と積極的に議論の機会を設け、以下の内容に取り組むことが求められます。
|
グローバル内部監査基準の構成
IPPFは、前回の2017年公開版と比べて、フレームワーク全体の組み換えが行われ、Global Internal Audit Standards(=「グローバル内部監査基準」)を主たる構成要素とし、「トピカルな要求事項」と「ガイダンス」を加えた内容で構成されています。
また、基準の内容は、2017年公表の「内部監査の専門的実施の国際基準」だけでなく、「必須のガイダンス」とされていた「内部監査の使命」「内部監査の定義」「内部監査の専門的実践の基本原則」「倫理綱要」、さらには、「推奨されるガイダンス」である「実施ガイダンス」の内容を一部組み込んだ構成に変更されました。
基準は、内部監査を有効に実施するための5つのドメインに紐づく15の指導的な原則で構成されています。これらは、内部監査人が原則を達成し、内部監査の目的を果たすことを支援しています。
ドメインⅠ 内部監査の目的
内部監査は、取締役会および経営管理者から独立し、リスクベースで、かつ客観的なアシュアランス、助言、インサイトおよびフォーサイトを提供することにより、組織体が価値を創造、保全、維持する能力を高めることが示されている。
ドメインⅡ 倫理と専門職としての気質
IIAの旧「倫理綱要」に代わるものであり、内部監査部門長、その他の個人、および内部監査業務を提供するあらゆる事業体を含む内部監査専門職に期待される行動が示されている。
ドメインⅢ 内部監査部門に対するガバナンス
内部監査部門を確立し、独立した位置付けにし、内部監査部門のパフォーマンスを監督するために、内部監査部門長が取締役会と緊密に協力するための要求事項が示されている。
ドメインⅣ 内部監査部門の管理
内部監査部門長は、内部監査基本規程および基準に従って内部監査部門を管理する責任を負っており、この責任には、戦略的計画、監査資源の獲得と配備、関係の構築、ステークホルダーとのコミュニケーション、および部門のパフォーマンスの確実な遂行と強化が含まれている。
ドメインⅤ 内部監査の実施
個々の内部監査業務を実施する際のステップは、内部監査業務全体に影響を与えることがあるため、下記の4つの事項が求められている。
- 内部監査人が効果的に個々の内部監査業務を計画すること
- 個々の内部監査業務の仕事を実施して発見事項と結論を作成すること
- 発見事項に対処する改善のための提言および改善措置の計画、またはそのどちらかを識別するため経営管理者と協力すること
- 個々の内部監査業務期間中および個々の内部監査業務の終了後にレビューの対象となる活動に責任を持つ経営管理者および従業員とコミュニケーションをとること
主な改定の特徴
IPPFの2017年版から2024年版への改定においては、「属性基準」および「実施基準」の区分けに加え、解釈指針や適用準則が廃止される等の構成が変更されました。また、改定の際には、取締役会による監督や内部監査の戦略等が新たに追加され、内部監査の実務上の影響がある手法が明確に記載されています。
構成の変更に関する事項
2017年公表のIPPFから基準における、構成面の変更点は以下のとおりです。
- 「属性基準」および「実施基準」の区分けの廃止
2017年公表のIPPFにおいて、内部監査の業務の内容を明らかにするとともに、内部監査の実施状況を測る質的規準である「実施基準」、および内部監査を実施する組織や個人の属性に関する基準である「属性基準」の区分けがありましたが、基準においては、当該区分けは廃止されています。 - 「解釈指針」の廃止
2017年公表のIPPFにおいて、個々の基準の本文で用いられている用語や概念を明確にするためのものであった「解釈指針」は、基準においては、独立した項目として説明されていません。 - 「適用準則」の廃止
2017年公表のIPPFにおいて、「属性基準」および「実施基準」の細目として「適用準則」があり、アシュアランス業務またはコンサルティング業務の区別を設けて要求事項が説明されていましたが、基準においては、「適用準則」は含まれていません。
各要素の改定の特徴
(1)取締役会による監督
基準8.1 (取締役会による対話) |
【要求事項-取締役会の必須条件(抜粋)】 ・内部監査部門長とコミュニケーションを図り、内部監査部門がその負託事項をどのように果たしているかを理解する。 ・内部監査部門長が内部監査部門の優先順位を決定するのを支援するために、組織体の戦略、目標及びリスクに関する取締役会の見解を伝える。 |
基準8.2 (監査資源) |
【要求事項-取締役会の必須条件(抜粋)】 ・内部監査への負託事項を果たし、内部監査の計画を達成するのに十分な監査資源を内部監査部門に提供するために、最高経営者と協働する。 |
基準8.4 (品質の外部評価) |
【要求事項―取締役会の必須条件(抜粋)】 ・独立した適格な評価者又は評価チームによる内部監査部門の品質の外部評価を実施する計画について、内部監査部門長と議論する。 ・品質の外部評価又は独立した検証を伴う自己評価の完全な結果を、評価者から直接受け取ることを要求する。 |
基準8.1、8.2、8.4の要求事項では、内部監査部門に対する取締役会の監督に関して、取締役会および最高経営者の必須条件が明記されています。
2017年公表のIPPFでは、取締役会および最高経営者の役割と責任は明記されていなかったため、内部監査部門長は、取締役会および最高経営者とコミュニケーションのうえ、再度役割と責任について、検討・定義することが求められます。
(2)内部監査の戦略
基準9.2 (内部監査の戦略) |
【要求事項(抜粋)】 内部監査部門長は、組織体の戦略目標と成功を支援し、取締役会、最高経営者及びその他の主要なステークホルダーの期待事項に沿う内部監査部門の戦略を策定、実行しなければならない。 |
基準9.2では、内部監査部門の戦略の策定が要求事項であり、当該戦略には、内部監査部門のビジョン、戦略目標、およびこれらを支える取組みを含めることが求められています。
2017年公表のIPPFでは要求されていない新しい要求事項であり、既存の内部監査の中期計画等にこれらの要素が含まれない場合には、追加検討が求められます。検討の際には、組織体の戦略および目標に加え、取締役会や最高経営者の内部監査への期待を検討することも重要です。
(3)内部監査の手法
基準10.3 (テクノロジーに係る資源) |
【要求事項(抜粋)】 内部監査部門長は、内部監査部門が内部監査のプロセスを支えるテクノロジーを有していることを確実なものにするように努めなければならない。内部監査部門が使用しているテクノロジーを定期的に評価し、有効性と効率性を向上させる機会を追求しなければならない。 |
基準10.3において、テクノロジーが監査資源として明記された点が、2024年改定の大きなポイントです。
新たなシステム投資を求める基準ではないものの、「内部監査部門が使用しているテクノロジーを定期的に評価し、有効性と効率性を向上させる機会を追求しなければならない」との要求事項に照らし、戦略立案時や、年度監査計画の策定時における検討は必要と考えます。例示で、列挙されている技術としては以下のようなものがあります。
- 監査管理システム
- ガバナンス、リスク・マネジメント、およびコントロールのプロセスのマッピングアプリケーション
- データサイエンス、およびデータアナリティクスを支援するツール
- コミュニケーション、および協働を支援するツール
(4)発見事項・結論の評価
基準14.3 (発見事項の評価) |
【要求事項(抜粋)】 内部監査人は、個々の内部監査業務の潜在的な各発見事項を評価し、各発見事項の重大性を判断しなければならない。個々の内部監査業務の潜在的な発見事項を評価する際、内部監査人は、可能であれば根本原因を識別し、潜在的な影響を判断し、問題の重大性を評価するために、経営管理者と協力しなければならない。 |
基準14.5 (個々の内部監査業務の結論) |
【要求事項(抜粋)】 内部監査人は、当該個々の内部監査業務の目標と経営管理者の目標に照らして、当該個々の内部監査業務の結果を要約した個々の内部監査業務の結論を作成しなければならない。個々の内部監査業務の結論には、個々の内部監査業務の発見事項を集めて評価した、総合的な重大性に関する内部監査人の専門職としての判断を要約しなければならない。 |
基準14.3では、個々の内部監査業務を通じて得られた発見事項の重大性を評価・判断すること、および基準14.5では、個々の内部監査業務の結論には、各発見事項を集めて評価した総合的な重大性の判断を要約することが求められます。
2017年公表のIPPFでは、発見事項および結論の伝達は求められていたものの、それらの評価・重大性の判断までは要求されていませんでした。現在、発見事項および結論の重大性の評価を実施していない内部監査部門は、その格付けまたは優先順位付けの手法を確立させたうえで、評価を実施することが求められます。
さいごに
基準の日本語版の公表に伴い、 企業の内部監査部門は、内部監査のトレンドを考慮しつつ、各ステークホルダーから高い内部監査へのニーズに応え、責任を果たすことが期待されています。
特に、新基準が求める内部監査部門長と取締役会、最高経営者とで協議すべき事項への対応や、監査リソースとしてのテクノロジーの活用など、新しい実務にも対応すること等が求められています。
内部監査部門は、2025年の新基準の適用に向け、新基準の要求事項を理解し準備を開始することが必要です。
執筆者
KPMGコンサルティング
パートナー 関 克彦
アソシエイトパートナー 安田 壮一
シニアマネジャー 澤井 寛明
マネジャー 福井 美菜子
コンサルタント 浅野 安莉沙
関連リンク
本稿に関連したサービス/インサイトを紹介します。