「グローバル内部監査基準™」（日本語版）の概要

2024年7月5日、内部監査人協会（以下、IIA）は、日本語版の「グローバル内部監査基準™」（以下、基準）を公表しました。「専門職的実施の国際フレームワーク」（International　Professional Practices Framework、以下、IPPF）は、前回、2017年に改定されており、今回の2024年改定は7年ぶりとなります。

今回の改定は、IIAによれば、世界中の実務家やステークホルダーからの質の高い内部監査へのニーズに応え、責任を果たせるようにすること、現在の内部監査のトレンドに照らした実務に対応することが狙いとされています。

新基準は、監査ガバナンスを強化するために内部監査部門長と取締役会、最高経営者とで協議すべき事項や、監査のリソースとして活用し得るテクノロジーなどについて、現行基準よりも踏み込んだ事例を提示しており、内部監査が責任を果たし、新しい実務に対応するための大きな指針になる内容となっています。

新基準は、2025年から適用であり、それまでの期間において、それぞれの内部監査部門において、取組みの変更や追加の検討など、対応に向けた必要な準備が求められることになります。

今回の基準の改定を受けて、内部監査部門には、自らが実施する内部監査の品質を担保し続けるために、新基準に即した対応が期待されます。その際に、内部監査部門長は、取締役会や最高経営者と積極的に議論の機会を設け、以下の内容に取り組むことが求められます。

IPPFは、前回の2017年公開版と比べて、フレームワーク全体の組み換えが行われ、Global Internal Audit Standards（＝「グローバル内部監査基準」）を主たる構成要素とし、「トピカルな要求事項」と「ガイダンス」を加えた内容で構成されています。

また、基準の内容は、2017年公表の「内部監査の専門的実施の国際基準」だけでなく、「必須のガイダンス」とされていた「内部監査の使命」「内部監査の定義」「内部監査の専門的実践の基本原則」「倫理綱要」、さらには、「推奨されるガイダンス」である「実施ガイダンス」の内容を一部組み込んだ構成に変更されました。

基準は、内部監査を有効に実施するための5つのドメインに紐づく15の指導的な原則で構成されています。これらは、内部監査人が原則を達成し、内部監査の目的を果たすことを支援しています。

ドメインⅠ　内部監査の目的

内部監査は、取締役会および経営管理者から独立し、リスクベースで、かつ客観的なアシュアランス、助言、インサイトおよびフォーサイトを提供することにより、組織体が価値を創造、保全、維持する能力を高めることが示されている。

ドメインⅡ　倫理と専門職としての気質

IIAの旧「倫理綱要」に代わるものであり、内部監査部門長、その他の個人、および内部監査業務を提供するあらゆる事業体を含む内部監査専門職に期待される行動が示されている。

ドメインⅢ　内部監査部門に対するガバナンス

内部監査部門を確立し、独立した位置付けにし、内部監査部門のパフォーマンスを監督するために、内部監査部門長が取締役会と緊密に協力するための要求事項が示されている。

ドメインⅣ 内部監査部門の管理

内部監査部門長は、内部監査基本規程および基準に従って内部監査部門を管理する責任を負っており、この責任には、戦略的計画、監査資源の獲得と配備、関係の構築、ステークホルダーとのコミュニケーション、および部門のパフォーマンスの確実な遂行と強化が含まれている。

ドメインⅤ 内部監査の実施

個々の内部監査業務を実施する際のステップは、内部監査業務全体に影響を与えることがあるため、下記の4つの事項が求められている。

• 内部監査人が効果的に個々の内部監査業務を計画すること
• 個々の内部監査業務の仕事を実施して発見事項と結論を作成すること
• 発見事項に対処する改善のための提言および改善措置の計画、またはそのどちらかを識別するため経営管理者と協力すること
• 個々の内部監査業務期間中および個々の内部監査業務の終了後にレビューの対象となる活動に責任を持つ経営管理者および従業員とコミュニケーションをとること

IPPFの2017年版から2024年版への改定においては、「属性基準」および「実施基準」の区分けに加え、解釈指針や適用準則が廃止される等の構成が変更されました。また、改定の際には、取締役会による監督や内部監査の戦略等が新たに追加され、内部監査の実務上の影響がある手法が明確に記載されています。

2017年公表のIPPFから基準における、構成面の変更点は以下のとおりです。

• 「属性基準」および「実施基準」の区分けの廃止
  2017年公表のIPPFにおいて、内部監査の業務の内容を明らかにするとともに、内部監査の実施状況を測る質的規準である「実施基準」、および内部監査を実施する組織や個人の属性に関する基準である「属性基準」の区分けがありましたが、基準においては、当該区分けは廃止されています。
• 「解釈指針」の廃止
   2017年公表のIPPFにおいて、個々の基準の本文で用いられている用語や概念を明確にするためのものであった「解釈指針」は、基準においては、独立した項目として説明されていません。
• 「適用準則」の廃止
  2017年公表のIPPFにおいて、「属性基準」および「実施基準」の細目として「適用準則」があり、アシュアランス業務またはコンサルティング業務の区別を設けて要求事項が説明されていましたが、基準においては、「適用準則」は含まれていません。

（1）取締役会による監督

基準8.1、8.2、8.4の要求事項では、内部監査部門に対する取締役会の監督に関して、取締役会および最高経営者の必須条件が明記されています。

2017年公表のIPPFでは、取締役会および最高経営者の役割と責任は明記されていなかったため、内部監査部門長は、取締役会および最高経営者とコミュニケーションのうえ、再度役割と責任について、検討・定義することが求められます。

（2）内部監査の戦略

基準9.2では、内部監査部門の戦略の策定が要求事項であり、当該戦略には、内部監査部門のビジョン、戦略目標、およびこれらを支える取組みを含めることが求められています。

2017年公表のIPPFでは要求されていない新しい要求事項であり、既存の内部監査の中期計画等にこれらの要素が含まれない場合には、追加検討が求められます。検討の際には、組織体の戦略および目標に加え、取締役会や最高経営者の内部監査への期待を検討することも重要です。

（3）内部監査の手法

基準10.3において、テクノロジーが監査資源として明記された点が、2024年改定の大きなポイントです。
新たなシステム投資を求める基準ではないものの、「内部監査部門が使用しているテクノロジーを定期的に評価し、有効性と効率性を向上させる機会を追求しなければならない」との要求事項に照らし、戦略立案時や、年度監査計画の策定時における検討は必要と考えます。例示で、列挙されている技術としては以下のようなものがあります。

• 監査管理システム
• ガバナンス、リスク・マネジメント、およびコントロールのプロセスのマッピングアプリケーション
• データサイエンス、およびデータアナリティクスを支援するツール
• コミュニケーション、および協働を支援するツール

（4）発見事項・結論の評価

基準14.3では、個々の内部監査業務を通じて得られた発見事項の重大性を評価・判断すること、および基準14.5では、個々の内部監査業務の結論には、各発見事項を集めて評価した総合的な重大性の判断を要約することが求められます。

2017年公表のIPPFでは、発見事項および結論の伝達は求められていたものの、それらの評価・重大性の判断までは要求されていませんでした。現在、発見事項および結論の重大性の評価を実施していない内部監査部門は、その格付けまたは優先順位付けの手法を確立させたうえで、評価を実施することが求められます。

基準の日本語版の公表に伴い、 企業の内部監査部門は、内部監査のトレンドを考慮しつつ、各ステークホルダーから高い内部監査へのニーズに応え、責任を果たすことが期待されています。

特に、新基準が求める内部監査部門長と取締役会、最高経営者とで協議すべき事項への対応や、監査リソースとしてのテクノロジーの活用など、新しい実務にも対応すること等が求められています。

内部監査部門は、2025年の新基準の適用に向け、新基準の要求事項を理解し準備を開始することが必要です。

KPMGコンサルティング
パートナー　関 克彦
アソシエイトパートナー　安田 壮一
シニアマネジャー　澤井 寛明
マネジャー　福井 美菜子
コンサルタント　浅野 安莉沙