【世界一流の内部監査】第33回:IIAの新基準(グローバル内部監査基準)とは?
こんにちは、HIROです。私は現在、米国のシリコンバレーで「世界の内部監査のベストプラクティス」や「内部監査における生成AI活用」の研究とコンサルティングに取り組んでいます。
このシリーズでは、日本の内部監査人が普段触れる機会の少ない「世界の内部監査」に関する最新情報を、迅速かつ分かりやすくお届けします。特に、アメリカの内部監査はその進化が日本より10年以上先を行くと言われており、非常に参考になるケースが多いと感じています。
今回は、海外の記事を引用しながら、国際内部監査人協会(IIA)が公表した新しいグローバル内部監査基準(Global Internal Audit Standards)の内容と、それが私たちの監査実務にもたらすインパクトについてお伝えしたいと思います。この記事を読むことで、IIAの新基準が目指す理念や導入ポイントを理解することができます。
私が以前解説したこちらの記事も参考にしてください。
1. 新しい「グローバル内部監査基準」の概要と注目ポイント
1.1. 新基準が掲げるゴールとは
2025年1月9日、IIAの新しいグローバル内部監査基準が正式に施行されました。これは、2024年1月に最終リリースされた基準を実行段階に移す大きな節目となります。背景には「内部監査の品質と整合性を全世界で底上げしよう」という狙いがあり、特に戦略的アプローチ、ステークホルダーとの関係強化、内部監査の成果指標や説明責任の明確化に重きが置かれています。
この新基準は、多数のステークホルダーからの声を反映しており、内部監査人、サービスプロバイダー、各国の規制当局など幅広い層が参加したグローバルな協議の成果物です。リリース後1年で25言語に翻訳され、約60万回もダウンロードされるなど、世界中の内部監査コミュニティから大きな注目を浴びている点が特徴的です。
1.2. 具体的に何が変わったのか
では、新基準にはどのような新要素が含まれているのでしょうか。IIAによると、主な改訂点は以下の通りです。
- ガバナンス・フレームワークの強化
企業環境が急激に変化する中で、内部監査がより敏捷性を発揮し、リスクや課題に対して即応できるようにガバナンスの規定が見直されました。監査部門が単独で動くのではなく、経営陣や取締役会との連携を強める構造が求められています。
- セクター別および小規模監査チーム向けのガイダンス追加
公共部門や小規模の監査部門でも、新基準を使いやすいように工夫がなされています。部門規模や業種によっては監査の進め方が大きく異なるため、柔軟に対応できるフレームワークが整えられています。
- 地理的・文化的多様性への対応
企業が世界各地に拠点を構える現代、内部監査部門も多様な文化・規制の中で業務を行います。新基準では、地域特有のリスク環境やコンプライアンス要件に合わせてフレキシブルに適用できるよう配慮されています。
- 重点領域としてのサイバーセキュリティ
サイバー攻撃が組織に甚大な被害をもたらすリスクが高まる中、サイバーセキュリティ関連の監査を強化するためのガイダンスが盛り込まれています。IT部門との連携はもちろん、経営戦略との整合性をチェックする視点が強調されています。
- 内部監査の業績評価と説明責任
内部監査の有効性をどう測定し、誰がどのような責任を負うのかといった点が、より明確化されました。監査結果を定量的に評価する仕組みを構築し、組織全体にとっての価値を可視化する手法が提案されています。
1.3. IPPF(International Professional Practices Framework)の進化とこれから
今回の新基準は、IIAが長年にわたって策定・改訂を続けてきた「国際的な職業実務フレームワーク(IPPF)」の一部を担う位置づけです。IIAはさらに「Topical Requirements」というセクションを追加し、サイバーセキュリティ、サードパーティ・リスク、企業カルチャー、事業のレジリエンスなど、注目度の高いリスク領域に対する監査要件を順次公表するとしています。
2025年以降も、内部監査に求められる視点は多様化し続けることが予想されます。IIAはその変化に対応するべく、継続的にガイダンスをアップデートし、教育や普及活動を行っていく意向を示しています。
2. 新基準を日本の内部監査実務にどう活かすか
2.1. 日本企業が直面する課題と新基準の有効性
日本の監査現場では、コンプライアンス遵守や財務報告のチェックに重点が置かれがちです。しかし、グローバル化やIT化の進展により、内部監査に求められる役割は大幅に変容してきています。サプライチェーンのマルチナショナル化、サイバー攻撃の巧妙化、エシカル(倫理的)リスクの増加など、多面的なリスクに対応する必要があるからです。
今回の新基準は、こうしたリスクの広がりに応えるため、戦略・ガバナンス・テクノロジーにわたる包括的なフレームワークを打ち出しています。たとえばサイバーセキュリティの項目では、単にシステムの脆弱性を指摘するだけでなく、「経営判断や組織文化といった全社的な観点からセキュリティを統合的に管理する必要性」を強調しています。日本企業でも、IT担当部署だけに任せきりではなく、経営トップや事業部門と連携してリスクを管理する取り組みが不可欠になるでしょう。
2.2. 新しいガバナンス枠組みへの移行ポイント
新基準では「内部監査の戦略的活用」や「ステークホルダーとの関係構築」が特に強調されています。これを日本企業が導入する際、次のようなポイントに留意するとスムーズです。
(1) 経営トップとの対話を強化する
内部監査が経営戦略を理解し、ビジネス上の優先順位を把握しているかどうかが鍵になります。監査部門単独ではなく、取締役会やリスク管理部門との定期的なコミュニケーションをセットし、リスクアセスメントの方針をすり合わせておくことが大切です。
(2) KPI(重要業績評価指標)の見直し
新基準では、内部監査のパフォーマンスをどう測定し、どう説明責任を果たすかがより明確化されています。たとえば「監査レポートの実行率」や「経営への改善提案数」だけでなく、リスク低減への寄与度やステークホルダー満足度など、新しい尺度を導入してみるのも一案です。
(3) 部門・機能を超えた連携体制の構築
企業がグローバル展開しているほど、監査対象は多岐にわたります。加えて、サプライチェーンや外部委託先へのリスク評価も重要度を増しています。新基準が示すサードパーティ・リスク対応やレジリエンス確保の要件を念頭に、法務部門・調達部門・情報システム部門などと連携し、情報を共有し合う仕組みを作ることが必要です。また、外部の内部監査専門家に一部の監査業務をアウトソーシング/コソーシングすることも考える必要があります。
2.3. 小規模監査チームや公共セクターへの影響
日本には大企業だけでなく、中小企業や自治体など多種多様な組織があります。IIAの新基準には、小規模監査部門や公共部門向けのガイダンスも含まれています。たとえば人数が限られたチームでも、リスクを優先度に沿って効果的に洗い出せるよう、監査のプロセスや手法の標準化が推奨されています。
また、公共セクターの場合はステークホルダーが市民や議会など広範囲に及ぶため、説明責任や透明性が特に重要視されます。新基準の採用によって、自治体や政府系機関でも組織運営の透明性向上に寄与し、より信頼性の高い監査機能を構築できるメリットがあります。
2.4. 実践に向けたステップ:研修と継続的学習
新基準を理解するうえで欠かせないのが、監査人自身の学習意欲とトレーニングの機会です。IIAは、ウェビナーやオンラインコースなどの学習プログラムを多数用意していますし、国内でもIIAジャパンが研修やセミナーを随時開催しています。
さらに、部門内で勉強会を開催したり、監査人同士が事例を共有し合う場を作ったりすることで、組織全体のナレッジを底上げすることができます。私が知っている大手メーカーの内部監査部門では、海外子会社のリスク報告事例を日本の本社チームで共有するオンラインセッションを定期的に行い、トラブル事例から学んだ教訓を標準化手順に反映させる取り組みをしています。こうした地道な活動が、新基準の定着を後押しするのです。
この記事は内部監査業界の発展のために、無料で記事を投稿しているので、「いいね」や「フォロー」で応援いただけると励みになります。
それでは、次回の記事でお会いしましょう!
引用元:
“The IIA’s New Global Standards Take Effect,” InternalAudit360.com (January 17, 2025)
https://internalaudit360.com/the-iias-new-global-standards-take-effect/