本稿では、IIAの内部監査の専門職的実施の国際基準(以下、IIA国際基準)の考察を行っています。IIA国際基準は、アシュアランス業務とコンサルティング業務の両方を対象としていますが、本稿では主にアシュアランス業務を中心に考察を行っています。
目次
基準1200/1210の概要
本稿では、基準1200/1210について解説します。基準1200/1210は、次のように内部監査人の能力と専門職としてはらうべき注意について定めています。
| 1200 ─ 熟達した専門的能力および専門職としての正当な注意 内部監査(アシュアランスおよびコンサルティング)の個々の業務は、熟達した専門的能力と専門職としての正当な注意とをもって遂行しなければならない。 1210 ─ 熟達した専門的能力 内部監査人は、自らの職責を果たすために必要な「知識、技能およびその他の能力」を備えていなければならない。内部監査部門は、部門の責任を果たすために必要な「知識、技能およびその他の能力」を、部門総体として備えているか、または備えるようにしなければならない。 出所:IIA国際基準 |
では、内部監査人には、具体的にどのような「知識、技能およびその他の能力」(以下、専門性)と注意が必要なのでしょうか。まず、専門能力からみていきたいと思います。
内部監査人の専門性
内部監査人の専門性は、一般的に次のように分けることができます。
| ①監査の専門性 ②業務の専門性 ③特定分野の専門性 出所:内部監査.info |
①監査の専門性
まず、監査の専門性について説明します。監査は専門的な知識を必要とする業務であり、その遂行にあたっては、監査に関する正しい知識が必要です。例えば、独立性・客観性とは何なのか、なぜ必要なのか、どのような状態が求められるのかであるとか、リスクアプローチとは何なのか、なぜ必要なのか、どのように実施するのか、といった具合です。この監査に関する専門性を有しているということを客観的に証明するにあたって、最も分かりやすい方法が監査関連の認定資格を取得していることです。具体的には、公認内部監査人(CIA)、公認情報システム監査人(CISA)、公認会計士などが挙げられます。
(監査知識・経験を裏付ける代表的な資格)
| ①公認内部監査人(CIA) ②公認情報システム監査人(CISA) ③公認会計士、など 出所:内部監査.info |
②業務の専門性
次に業務の専門性について説明します。内部監査は、自らの組織のリスクとコントロールを識別・評価するにあたり、自らの組織の事業がどのように展開されているのか、それぞれの業務や機能がどのような体制・プロセスで実際されているのか、これらに潜在するリスクはどのようなものがあり、どのようにコントロールしているのか、といったことを理解している必要があります。この業務に関する専門性を有していることを客観的証明するにあたって、最も分かりやすい方法が、監査対象の業務や機能の経験を有するメンバーで構成されていることです。具体的には、例えば、小売業であれば、店舗での販売経験、仕入やマーチャンダイズ経験、そして在庫管理といった本業の経験が挙げられますし、銀行業でいえば、法人営業、個人営業、市場業務などが挙げられます。
(業務知識を裏付ける要素の例)
| ①業務の経験年数(営業部門に15年在籍した、総務部長経験がある等) ②業務に関する資格(建築士、証券外務員、BATIC等)、など 出所:内部監査.info |
③特定分野の専門性
最後に、特定分野の専門性を説明します。組織が直面する重要なリスクは、本業に関するもの以外の周辺領域にも多く存在します。具体的には、例えば、会計・税務に関するリスク、情報システム・情報セキュリティに関するリスク、法令違反やコンプライアンス違反に関するリスクなど、様々なリスクがあります。このように、内部監査人には、様々な専門的能力が求められます。しかし、これらすべてを一人の内部監査人や自らの組織だけで確保する必要があるのでしょうか。答えはノーです。
(近年注目される代表的な特定分野の例)
| ①サイバーセキュリティ財務・会計・税務 ②AML/CFT(マネー・ローンダリング及びテロ資金供与対策) ③システムリスク管理 ④財務・会計・税務 ⑤サステナビリティ(ESG/ SDGs)、など 出所:内部監査.info |
1210.A1
基準1210.A1では、必要な知識、技能、能力が欠けている場合は、部門外から適切な助言と支援を受けなければならないとしており、部門外からの支援を受けることが求められています。一般的には次のようなアプローチがあります。
| ①外部専門家の活用 ②CSA(Control Self Assessment)の活用 出所:内部監査.info |
①外部専門家の活用
外部専門家の活用については、例えば、監査法人など、内部監査のアドバイザリーサービスを提供しているサービスプロバイダーと業務委託契約を締結し、内部監査や会計・税務、情報システム・情報セキュリティ、コンプライアンスといった特定領域の専門家から助言を受けることが挙げられます。
②CSA(Control Self Assessment)の活用
CSAの活用とは、内部監査部門が監査対象領域に対する専門性が不足している場合に行われる手法です。監査対象部門に対して、リスクとコントロールの自己評価を行ってもらい、その結果を踏まえて監査計画を立てていきます。
1210.A2
次に、不正リスクについて解説したいと思います。どのような組織でも、不正リスクは存在します。したがって内部監査でも不正リスクは重要なリスクの一つとして考慮しなければなりません。 基準1210.A2には、内部監査人は、組織にある不正リスクとコントロールを評価するために十分な知識を持たねばならないとしています。一方で、不正調査の専門家レベルの知識(例:公認不正検査士(CFE)資格保有など)は不要としており、あくまでも内部監査の一環として不正リスクの評価を行う水準が求められています。具体的には、例えば、不正リスクに関する体系的で十分な研修を受講していることが挙げられます。
1210.C1
1210.C1には、内部監査部門がコンサルティング業務の依頼を受けた場合の注意点を記しています。依頼に対して必要な専門性を欠く場合は、辞退するか、部外者の知見を活用せよとしています。これは例えば、内部監査部門に対して、「不正競争防止法に関する研修」といった専門的な知見が求められる依頼があったとして、内部監査部門の要員では、その遂行に十分な品質を確保できないと判断した場合は、辞退するか、社内・社外の弁護士などに依頼するといったことが挙げられます。
[post_footer]
