IIA国際基準の考察(1000 ─ 目的、権限および責任)

本稿では、IIAの内部監査の専門職的実施の国際基準(以下、IIA国際基準)の考察を行っています。IIA国際基準は、アシュアランス業務とコンサルティング業務の両方を対象としていますが、本稿では主にアシュアランス業務を中心に考察を行っています。

目次

基準1000の概要

本稿では基準1000について考察します。基準1000は、組織の内部監査基本規程(以下、内部監査規程)について定めています。

1000 ─ 目的、権限および責任
内部監査部門の目的、権限および責任は、内部監査人協会(IIA)が定める「内部監査の使命」および「国際フレームワーク」の必須の構成要素(「内部監査の専門職的実施の基本原則」、「倫理綱要」、「基準」および「内部監査の定義」)に適合し、内部監査基本規程において正式に定義されなければならない。内部監査部門長は、内部監査基本規程を定期的に見直し、改定が必要な場合には、最高 経営者および取締役会に改定案を提出し、承認を求めなければならない。

解釈指針:
内部監査基本規程は、内部監査部門の目的、権限および責任を明確にする正式な文書である。内部監査基本規程は、組織体における内部監査部門の地位を確固たるものにし、取締役会に対する内部監査部門長の職務上の指示・報告関係の内容を示すとともに、内部監査(アシュアランスおよびコンサルティング)の個々の業務の遂行に関連する、記録・人・物的財産へのアクセス権限を認め、内部監査の活動の範囲を明確にするものである。内部監査基本規程の最終承認権限は、取締役会にある。

出所:内部監査.info

簡単に言うと、基準1000は、組織が行う内部監査と、IIAの考える内部監査が整合していてね、ということです。

具体的に必要な対応

基準の適合(GC:一般的に適合している)に向けては、具体的には、例えば、次のような対応が挙げられます。

①内部監査規程とIPPFの比較分析

過去に基準1000への適合を確認したことがない場合、まず最初に、例えば、以下のような観点から、自社の内部監査規程とIPPFの比較分析を行います。

(例)自社の内部監査の目的がIIAの内部監査の使命と整合しているか
(例)自社の内部監査の定義がIIA国際基準の内部監査の定義と整合しているか
(例)自社の内部監査規程にIIAの基本原則の要素が織り込まれているか
(例)自社の内部監査規程に IIAの倫理綱要の要素が織り込まれているか
(例)自社の内部監査規程にIIA国際基準の重要な要素が反映されているか

出所:内部監査.info

この過程で差異を識別した場合には、その解消に向けて検討を行います。必ずしもIIA国際基準にすべて合わせる必要はありませんが、よく検討したうえで適用の要否を判断するべきです。また、実施にあたっては、基準1311の内部評価(年一回実施する定期的自己評価)のタイミングに併せて行うと効率的に実施することができます。

②年一回の見直し

2年目以降も同様に、 組織が行う内部監査とIIAの考える内部監査が整合しているかという観点から、上記①を行います。2年目以降は、自社の内部監査の体制やプロセスに変更があった部分を中心に差分を確認していくことで効率的に確認ができます。但し、注意が必要なのは、前回OKだったから、今回もOKでいいや、という考えに陥らないことです。外部環境の変化や、内部監査への期待の変化などを踏まえ、必要に応じてゼロベースで再考することが大切です。また、数年に一度、IPPFの内容が更新されることがあります。その際には、年一回の見直しにおいて、その影響をよく見極める必要があるでしょう。

③改定時の決裁(CEOと取締役会)

内部監査規程を改訂する場合は、CEO(最高経営者)と取締役会の両方に承認を得る必要があります。最終決定は取締役会です。これはなぜでしょうか。理由は、内部監査がCEO(最高経営者)だけのものではないからです。よく「内部監査は、社長の目となり、腕となって働くべきである」という趣旨の言葉を聞くことがあります。これは間違ってはいないのですが、十分ではありません。内部監査には、 取締役会(特に監査委員等)の目となり腕となり、執行のトップであるCEO(最高経営者)を監視する役割もあります。そのため、基準でも CEO(最高経営者) と取締役会への2系統の指示・命令系統(デュアル・レポーティングライン)を確保することを求めています。

1000.A1と1000.C1

1000.A1と1000.C1には、アシュアランス業務とコンサルティング業務の内容を内部監査規程に明記するよう定めています。具体的には、例えば、内部監査規程にそれぞれの目的や定義及び対象などを定めることが挙げられます。それぞれの定義は、IIA国際基準の巻末の用語集にある以下の内容が参考になるでしょう。

Assurance Services〈アシュアランス業務〉
組織体のガバナンス、リスク・マネジメントおよびコントロールの各プロセスについて独立的評 価を提供する目的で、証拠を客観的に検証すること。例として、財務、業務遂行、コンプライアンス、システム・セキュリティおよびデュー・ディリジェンスなどに関する個々のアシュアランス業務が挙げられる。

Consulting Services〈コンサルティング業務〉
助言およびそれに関連した依頼者向けの業務活動であって、その活動の内容と範囲は、依頼者との合意によるものであり、内部監査人が経営管理者としての職責を負うことなく、価値を付加し、組織体のガバナンス、リスク・マネジメントおよびコントロールの各プロセスを改善することを意図したものである。例として、診断、助言、ファシリテーションおよび教育訓練が挙げられる。

現在、海外を含めてほとんどの内部監査部門では、アシュアランス業務の提供が中心で、コンサルティング業務はほとんど行われていません。 しかし、コンサルティング業務については、 内部監査の独立性を確保しつつ、価値を発揮するための枠組みとして重要な機能であり、実践を意識して志向していくことが大切です。

基準1010の概要

基準1010は、内部監査部門長(CAE)が最高経営者および取締役会と、「内部監査の使命」および「国際フレームワーク」の必須の構成要素について十分協議すべきとしています。これは基準1000における内部監査規程の定期的な見直しと、その改訂の検討過程で実現されます。

参考資料

ここからは、具体的なサンプルや事例を紹介します。

①IIAのモデル規程

IIAの会員向けウェブサイトで、モデル内部監査規程が公表されています。

IIA – Model Internal Audit Activity Charter

内容は、 取締役会が内部監査部門長(CAE)の報酬を承認するよう定めるなど、欧米のガバナンスモデルを強く意識したものとなっています。また、取締役会や内部監査部門長(CAE)の役割・責任も明記されています。品質評価についても定めており、まさにIIA国際基準を実践するための規定となっています。実際の日本企業がこのChaterをそのまま利用できることは少ないと思いますが、指名委員会設置会社や監査等委員会を設置している企業には親和性があり、実際に一部の企業ではCharterの要素を一部意識して取り入れている事例も見受けられます。

②内部監査規程の事例

EU圏に本社が所在する大規模な金融機関では、内部監査規程(Charter)を外部に開示しています。これらの内容は、IIAのModel Internal Audit Activity Charterを意識した内容になっていることが多く見受けられます。

Bank of England

RBS

ING

Aviva plc

[post_footer]

関連記事