【世界の内部監査の潮流】第9回:内部監査の新年の抱負 (by Richard Chambers氏)
こんにちは、HIROです。私は現在、米国のシリコンバレーで「世界の内部監査のベストプラクティス」や「内部監査における生成AI活用」の研究とコンサルティングに取り組んでいます。このシリーズでは、日本の内部監査人が普段触れる機会の少ない「世界の内部監査」に関する最新情報を、迅速かつ分かりやすくお届けします。特に、アメリカの内部監査はその進化が日本より10年以上先を行くと言われており、非常に参考になるケースが多いと感じています。
今回は、私が尊敬している元内部監査人協会(IIA)の会長兼 CEOのRichard Chambers氏のブログ記事から「2025年を迎えた内部監査の5つの新年の抱負」についてお伝えしたいと思います。この記事を読むことで、「新IIA基準」や「AI活用」「監査委員会との連携」など、これからの監査を取り巻く重要なポイントを理解することができます。
1. 2025年、内部監査に求められる5つの決意
1.1. 新IIA基準への準拠を優先し、継続的なコンプライアンスを目指す
今年から正式に適用が始まる新IIA基準(1月9日施行)は、内部監査の品質とパフォーマンスに対する新たな期待値を示しています。しかし実際のところ、多くの監査部門がこの時点でのフルコンプライアンスに間に合わない、という現実もあるようです。
コンプライアンスの締め切りを過ぎても、決して諦める必要はありません。まずは「あとどこが足りていないのか」を可視化し、埋めるべきギャップを明確にするところから始めましょう。その上で、監査委員会や経営陣に必要な改善計画とタイムラインを示しながら、“継続的なコンプライアンス監視”を組織的に行う体制を作ります。
特に新基準のPrinciple 12では、CAEが内部評価(セルフアセスメント)を継続的に行うことが求められています。外部評価でも、その内部評価の内容がどれだけしっかり進められているかが注目されます。重点的に評価すべきポイントやアクションプランは、サイバーセキュリティなど今後追加が見込まれる“Topical Requirements”と合わせて検討するのが効果的でしょう。
1.2. AIリテラシーを高め、組織への価値提供を加速する
最新のアンケートによれば、内部監査人が直面するリスクのなかで、AI活用に関する課題がNo.1として挙がっています。しかし、その一方で「企業内でどのようにAIが使われているかをよく理解していない」というCAEが依然として多いのが現状です。
AI技術は、企業のオペレーションやリスク管理を根本的に変えうる強力なツールです。内部監査がこの分野の専門性を持たないまま放置すると、AIの導入が拡大するのに伴い、リスクを見落とす危険性が高まります。
まずは、自部門での活用が現実的な“シンプルなAIツール”から試してみるのも良いでしょう。たとえば、定型的な監査調書作成やデータ分析の自動化など、比較的導入しやすい領域を選び、少人数のパイロットチームで成果を検証する。この“小さな成功体験”を積み上げることで、組織全体のAIリテラシーが自然に向上します。
1.3. 監査委員会とのコミュニケーションを強化し、透明性を担保する
監査委員会が受け取る情報に関して、明らかな誤情報(コミッション)よりも“必要な事実が伏せられる(オミッション)”ケースが多いのではないか、という問題が提起されています。これは経営陣がリスクや内部統制上の問題を“うまく表面化させない”ために、情報を意図的に隠す可能性があるということです。
内部監査人としては、経営陣から反対されようとも、監査委員会に必要な情報を正しく届ける責任があります。もちろん、経営陣との良好な関係を維持することも重要ですが、それ以上に“監査委員会が知らなければならない真実”は決して譲ってはいけない一線です。
実務的には「問題を指摘した際のディスカッションプロセスをどのように設計するか」「経営陣との意見のすり合わせが難航した時に、どのタイミングで監査委員会を巻き込むか」などの手順を明文化しておくと、余計なトラブルを未然に防ぎやすくなります。
1.4. 規制緩和の流れでも“リスクはなくならない”と説得する
2025年以降、政治的な変化や経済情勢によって“規制が減る”という予想がある場合、企業の一部からは「コンプライアンス部門や内部監査部門のコスト削減」が求められるかもしれません。実際、アメリカでは前政権時に大幅な規制緩和が行われたこともあり、今後もその流れが続く可能性があります。
しかし、規制が緩和されたとしても、それによって“根本的なリスク”が消えるわけではありません。たとえば環境関連規制が緩んでも、サプライチェーンや取引先の安全性が保証されるわけではなく、ステークホルダーの目は厳しく残り続けます。ここで内部監査人がどのように“リスクの本質”を経営陣に説明し、必要なリソースを守るのかが鍵となります。
規制が消えればコンプライアンス要件は軽くなるかもしれませんが、それはむしろ“より戦略的・発展的な監査”に時間を使える機会でもあります。単なる“チェックリスト監査”ではなく、企業の価値創造に寄与するアドバイザリーを強化し、必要な予算を確保していく――そのための説得力ある議論を準備しておくことが重要でしょう。
1.5. “Connected Risk”を推進し、サイロ化を打破する
リチャード・チェンバース氏が提唱する「Connected Risk」とは、リスク管理のサイロ化を解消し、監査・リスク管理・コンプライアンス・情報セキュリティなどの機能を連携させる新しいコンセプトです。
従来のように、各部門がバラバラでリスク評価を行うと、監査範囲の重複や抜け漏れが起き、全体像が掴みにくくなります。一方で、データやプロセスを一元化して共有すれば、組織全体のリスクを包括的に把握し、迅速な意思決定が可能になります。
2025年は、これまでの“第1線・第2線・第3線”モデルをさらに発展させる大きな転換点となるかもしれません。具体的には、リスク管理やサイバーセキュリティを一体化したシステム導入や、全社的なリスクワークショップの開催などを通じて、リスク情報をリアルタイムに共有できる基盤を整える動きが加速しそうです。
監査部門としては、他部門と共通の用語やリスク指標を持ち、定期的に情報交換を行うフレームワークをリードすることが期待されます。こうした“つながったリスク管理”を実践することで、企業のレジリエンス強化と価値創出の両立が可能になるのです。
2. 新年の抱負を日本の内部監査でどう活かすか
2.1. 既存枠組みを再点検し、優先順位を再設定する
日本企業でも、ここ数年で内部監査の重要性が急速に認識されつつありますが、実際には“従来型の監査手法”を踏襲しているところが多いのが実態です。今回挙げた5つの抱負――すなわち「新基準の準拠」「AIリテラシー向上」「監査委員会との連携」「規制緩和への備え」「Connected Riskの推進」――は、どれも国内の企業にそのまま当てはまるテーマです。
まずは、既存の監査計画や評価手順を棚卸しし、自社の優先課題と照らし合わせてみましょう。AI活用が遅れているのか、監査委員会への報告体制に不備があるのか、それとも人材確保や育成の面で困難を抱えているのか。その結果を踏まえ、注力すべき領域を明確にします。
2.2. 小さな一歩から大きな成果につなげる
欧米の先進事例を見ると、「一気に大規模な改革をして内部監査体制を激変させた」という成功談がある一方で、日本では“大きな変化”に対するハードルが高い企業文化も少なくありません。そこで、あえて部分的・段階的な取り組みを重ね、“成功体験”を積むやり方がおすすめです。
たとえば、AIの導入を考えるなら、まずは定型的な抽出検査だけでも自動化し、その効果を数字で示す。そこから徐々に高度な分析やリスク予測モデルに発展させていく。あるいは監査委員会との関係改善も、最初は週1回の短いミーティングを設け、少しずつコミュニケーションフローを増やしていくといったステップを踏むのです。
イギリスの作家J.R.R.トールキンの言葉にもあるように、「Little by little, one travels far.(少しずつ、一歩ずつが遠くまで行く鍵になる)」という考え方が、2025年の内部監査改革を成功させるうえでのヒントになるでしょう。
この記事は内部監査業界の発展のために、無料で記事を投稿しているので、「いいね」や「フォロー」で応援いただけると励みになります。それでは、次回の記事でお会いしましょう!
本記事の引用元:
Richard Chambers, “It’s 2025! 5 Internal Audit Resolutions for the New Year,”
https://www.auditboard.com/blog/5-internal-audit-resolutions-for-2025/