【世界の内部監査の潮流】第14回:グローバル内部監査基準の要点とは?
こんにちは、HIROです。私は現在、米国のシリコンバレーで「世界の内部監査のベストプラクティス」や「内部監査における生成AI活用」の研究とコンサルティングに取り組んでいます。このシリーズでは、日本の内部監査人が普段触れる機会の少ない「世界の内部監査」に関する最新情報を、迅速かつ分かりやすくお届けします。特に、アメリカの内部監査はその進化が日本より10年以上先を行くと言われており、非常に参考になるケースが多いと感じています。
今回は、私が尊敬している元内部監査人協会(IIA)の会長兼 CEOのRichard Chambers氏のブログ記事の内、2024年第2位のものをピックアップして、最新のIIA(Institute of Internal Auditors)による新基準「グローバル内部監査基準」についてお伝えしたいと思います。この記事を読むことで、この新基準の具体的な変更点や、日本の内部監査人が準備すべきポイントについて理解することができます。
1. 新基準「グローバル内部監査基準」のポイント
1.1. なぜ「グローバル内部監査基準」が登場したのか
2024年1月9日、IIA(The Institute of Internal Auditors)は長年の議論と世界各地のステークホルダーからの意見を集約し、「グローバル内部監査基準」(以下、新基準)を公開しました。正式な適用開始日は2025年1月9日とされ、約1年の猶予期間が設けられました。
従来の「国際的な専門実務枠組み(IPPF)」は複数の要素が重なり合って形成され、内部監査人からは「分かりにくい」「体系が複雑」という声も少なからず聞かれました。そこで今回、まったく新しい構造とアプローチで再構築されたのが「グローバル内部監査基準」です。旧IPPFの考え方を引き継ぎながらも、より包括的かつ実践に即した形へアップデートされており、内部監査機能の質を高めるための指針として期待が集まっています。
1.2. 新基準で示される「パブリックインタレスト(公共の利益)」への視点
今回の新基準で特に注目されるのが、「パブリックインタレスト(公共の利益)を守る」という意識をこれまで以上に強く打ち出している点です。内部監査は本来、企業のリスク管理やガバナンスを監督することで社会全体へ良い影響をもたらす行為と位置づけられています。たとえば、財務報告の透明性やコンプライアンスの遵守が確保されれば、その企業に投資する株主や取引先など、多くのステークホルダーが恩恵を受けるからです。
新基準では、CAE(Chief Audit Executive)が所属組織の利益を守ると同時に、社会全体や業界全体にも目を向ける姿勢を強調します。これは、たとえば企業不祥事の早期発見や防止を図ることで、社会の信頼を守る責務を再認識させるものでもあります。グローバル企業の場合、国や地域によって「公共の利益」の解釈が異なることもあるでしょうが、だからこそ監査人が倫理観を持って行動する重要性が一段と高まっているのです。
2. 日本の監査現場が押さえるべき7つの知識
2.1. パブリックインタレストへの新たな強調
新基準では、「内部監査はパブリックインタレストに資するための活動である」と明記されています。日本においても、内部監査の目的が自社の安定・成長だけでなく、“社会に対する透明性と説明責任の確保”につながるという考え方は徐々に浸透しつつあります。
しかし、「公益を考慮する」と言ってもピンと来ない方もいるかもしれません。たとえば、銀行における融資審査の公正さや、医薬品業界での品質管理の厳格化は、直接的に社会の安心・安全に結びつきます。こうした視点を社内だけでなく、広くステークホルダー全体の目線から監査業務に落とし込むことが、新基準の趣旨を具現化する第一歩となるでしょう。
2.2. 体系の再構築とシームレス化
旧IPPFは「1000番台」「2000番台」といった番号や、行動規範を示すコード・オブ・エシックス、実践ガイダンスなどがバラバラに存在し、初心者にはやや分かりにくい面がありました。新基準では5つのドメイン(領域)と15の原則を中心軸に、「必須要件(Requirements)」と「実施上の考慮事項(Considerations for Implementation)」をまとめて提示する構成になっています。
つまり、重要な要件と具体的な実務上のヒントがひとつの枠組みに統合されたため、文書としてはやや長大になったものの、情報を横断的につかみやすい形に変わりました。ただし、これまでIPPFの番号に合わせて構築していた監査手順書や監査ソフトウェアなどは、新基準に合わせてアップデートが必要になります。日本企業でも監査マニュアルの改訂や、文書管理システムの参照番号変更といった作業が発生する可能性が高いので、早めに計画を立てることが賢明でしょう。
2.3. より具体的かつ厳格化された要件
新基準では、従来のIPPFよりも「ここまでしなければならない」というレベルが明確になっています。これまでは「原則的な方針を示し、具体的な手段は各社の裁量に任せる」傾向が強かったのですが、例えば内部監査の計画立案や監査証拠の評価手続など、いくつかの分野では「具体的にどう実施するか」が必須要件として定義されました。
たとえばドメインV(Performing)では、監査証拠の取り扱いや保証業務と助言業務(アドバイザリー)の区分などに関して、一定のプロセスを踏むことが“must”として明記されています。コンサルティング的な活動(助言業務)は監査の枠外と考えていた日本企業にとっては、新しい視点で内部監査の活動を整理し直すきっかけになるでしょう。
2.4. アシュアランス(保証)とアドバイザリー(助言)の境界線が曖昧に
旧IPPFではコンサルティング(助言)とアシュアランス(監査・保証)の違いが明確に区分されていました。しかし、新基準では両者を厳密に分けるというより、「必要に応じて柔軟に応用する」方向にシフトしています。日本の監査部門においても、「コンサルティングは監査と独立した別部門の領域」という考え方を見直し、内部監査人が組織改善を後押しする役割を担う場面が増えるかもしれません。
ただし、新基準でも特定のスタンダード(例:13.2、13.3など)で、“アドバイザリー活動の場合でも最低限守るべき基準”が提示されています。企業研修を行う、経営層へのアドバイスを行う、政策策定を支援するといった業務を行うときであっても、「監査としての客観性や品質保証」は損なわれないように留意する必要があります。
2.5. 内部監査の戦略・関係構築・コミュニケーション強化
新基準では、「監査戦略」「ステークホルダーとの関係構築」「コミュニケーション」に関する標準が新設されました。具体的には、ドメインIII(Governing)およびドメインIV(Managing)で、内部監査責任者(CAE)が何をどのように伝え、どんな戦略を立案すべきかを示す要件が含まれています。
たとえば、スタンダード9.2(内部監査戦略)では、3〜5年先を見越した監査機能のビジョンや目的を定義し、明確な手段を策定することが求められます。またスタンダード11.1(ステークホルダーとの関係構築)では、経営陣や取締役会、その他の利害関係者とどのように協力関係を築くかが細かく記載されています。これは日本企業においても、内部監査が“孤立したチェック機能”に留まらず、リスク管理や戦略策定のパートナーとして認知されるために不可欠な要素となるでしょう。
2.6. パフォーマンス測定に対する新要求
新基準では、内部監査のパフォーマンスを測定し、継続的に改善することを義務づけるスタンダード12.2が登場しました。これにより、監査計画の達成度やリスクカバレッジの広さだけでなく、組織のキーロールプレイヤー(取締役会や経営陣)が内部監査に何を期待しているのか、その期待にどれだけ応えられているかを継続的にモニタリングする必要があります。
たとえば日本では、「監査計画の完了率」を最重要KPIとするケースが多いですが、新基準では「リスクの変化に応じて計画を柔軟に組み替え、優先度を再評価する」姿勢が強く求められます。もし“完了率100%”をゴールにしてしまうと、本来取り組むべきリスクへの対応が後手に回る恐れがあるのです。CAEは、新基準が掲げる“戦略的かつ柔軟性のある監査スタイル”とパフォーマンス測定を、どのように両立させるかをしっかり検討する必要があります。
2.7. 品質評価のハードルが上がる
最後に、新基準では内部評価と外部評価(Quality Assessment)の両方で「基準準拠だけでなく、設定したパフォーマンス目標の達成状況」を評価対象に含むよう求められています。さらに、外部評価を担当するチームには最低でも1名以上、現役のCIA(公認内部監査人)の資格保有者がいることなど、新しい要件が追加されました。
この点は日本の監査部門にとっては、評価の際に専門性のあるアセッサー(評価者)を確保する手間やコストが増大する可能性があります。2025年に外部評価の実施を予定している企業は、旧IPPFで評価を受けるタイミングを前倒しし、同時に新基準に基づくギャップアセスメント(不足部分の診断)を行うことで、スムーズに移行できるように準備しておくとよいでしょう。
この記事は内部監査業界の発展のために、無料で記事を投稿しているので、「いいね」や「フォロー」で応援いただけると励みになります。それでは、次回の記事でお会いしましょう!
本記事の引用元:
Patty Miller & Richard Chambers, “7 Things Every Internal Auditor Should Know About the New Standards,”
https://www.auditboard.com/blog/7-things-every-internal-auditor-should-know-about-the-new-standards/