本稿では、IIAの内部監査の専門職的実施の国際基準(以下、IIA国際基準)の考察を行っています。IIA国際基準は、アシュアランス業務とコンサルティング業務の両方を対象としていますが、本稿では主にアシュアランス業務を中心に考察を行っています。
目次
基準1320/1321/1322の概要
基準1320は、品質のアシュアランスと改善のプログラム(以下、QAIP)に関する報告、及び、適合・不適合の表現の使用ついて定めています。
| 1320 ─ 品質のアシュアランスと改善のプログラムに関する報告 内部監査部門長は、品質のアシュアランスと改善のプログラムの結果を、最高経営者および取締役会に伝達しなければならない。その開示内容には、次の事項を含めるべきである。 ①内部評価と外部評価について、その範囲と頻度 ②潜在的な利害の衝突も含めて評価実施者または評価チームの適格性と独立性 ③評価実施者の結論 ④改善措置の計画 出所:IIA国際基準 |
この実施に当たっては、具体的には、例えば、第4四半期に年間の内部監査の結果報告の一部として、QAIPの結果を報告することが一般的です。
①内部評価と外部評価の範囲と頻度
一つ目の内部評価と外部評価の範囲と頻度は、具体的には、例えば、継続的モニタリングであれば、当年度に実施したすべての個別監査を対象に実施したこと、定期的自己評価であれば、内部監査部門の全ての活動について倫理綱要と基準との適合を評価したことを報告することなどが挙げられます。外部評価であれば、前回実施から5年以内に内部監査部門の活動すべてを対象に実施したことを報告することなどが挙げられます。
(範囲と頻度の例)
| ①継続的モニタリングの範囲 (例)当年度に実施したすべての個別監査を対象に実施 (例)当年度に実施したすべての個別監査から10%をサンプリング、など ②外部評価の頻度 ・5年に1回のフル外部評価 ・3年に1回のフル外部評価、など 出所:内部監査.info |
②潜在的な利害の衝突も含めて、評価実施者または評価チームの適格性と独立性
二つ目の評価チームの適格性と独立性については、具体的には、例えば、内部評価であれば、継続的モニタリングは、評価対象の監査チームとは別のチームの責任者が担当したこと、定期的自己評価は、個別監査に従事しない品質評価担当者や内部監査部門長が行ったことを報告することなどがあげられます。また、外部評価であれば、外部評価を担当した者(例:監査法人等)が過去1年間に内部監査部門への業務提供は行っていないこと、また会計監査人でもないことを報告することなどが挙げられます。
(評価チームの独立性を確保する手法の例)
| ①内部評価 ・個別監査に直接関与していない企画チームが担当する ・個別監査に直接関与していない内部監査部門長が担当する、など ②外部評価 ・外部評価の担当者から過去1年間にアドバイザリーを受けていないこと ・会計監査人でないこと、など 出所:内部監査.info |
③評価実施者の結論
三つ目の評価実施者の結論は、具体的には、例えば、内部評価であれば、継続的モニタリングは、当年度の全ての個別監査を対象に網羅的に実施し、定期的自己評価も内部評価の総合評価がGC(一般的に適合している)であること、そして外部評価でも総合評価をGCと評価していることを整理して報告することなどが挙げられます。
(評価実施者の結論を構成する要素の例)
| ①継続的モニタリングをすべての個別監査に実施したこと ②定期的自己評価の総合評価がGCであること ③外部評価の総合評価がGCであること 出所:内部監査.info |
それでは、次に、適合・不適合の表現について説明します。
1321/1322 – IPPFへの適合/不適合の表現
基準では、次のように適合・不適合の表示・開示について定めています。
| 1321 ─ 「内部監査の専門職的実施の国際基準に適合している旨の表現の使用 「内部監査部門は、『内部監査の専門職的実施の国際基準』に適合している」旨の表明は、品質のアシュアランスと改善のプログラムの評価結果によって裏付けられる場合に限り適切である。 1322 ─ 不適合の開示 「倫理綱要」または「基準」に不適合であることが、内部監査部門の全般的な監査範囲または業務に影響を与えている場合には、内部監査部門長は、不適合であることとその影響を最高経営者および取締役会に開示しなければならない。 |
1321 ─IPPFへ適合している旨の表現の使用
一部の組織では、内部監査部門が監査報告書などに、自分たちの内部監査が『内部監査の専門職的実施の国際基準』に適合していることを記載することなどを通じて、監査対象部門に内部監査の品質の高さを示しています。これは、主に内部監査の地位や権威付けを向上することを目的として行われます。また、外部への開示資料の一部にこの内容を掲載することにより、外部のステークホルダーに対するアピールに利用する例もあります。基準では、こうした利用にあたり、前提として内部評価及び外部評価が行われていること(QAIPに裏付けられていること)を求めています。
1322 ─ 不適合の開示
基準1322は、現在の内部監査が倫理綱要や基準に不適合であり、それが原因で内部監査部門の全般的な監査範囲や業務に問題が出ている場合は、内部監査部門長から、CEOおよび取締役会にその事実を開示するよう求めています。これは具体的には、例えば、営業部門から営業管理システムへのアクセスを拒否される(基準1000の不適合)状況があるなどして、結果として営業拠点の監査が十分に行えなくなったような場合、その事実を開示する、といったことが挙げられます。
(不適合による問題が出ているケースの例)
| ①基準への重大な不適合があり問題が出ているケース (例)被監査部門から日常的に情報へのアクセスを拒否され、監査に必要な情報を十分に入手できない状態にある(基準1000の不適合) (例)内部監査部門がリスク管理部門の一部となっており、また取締役会に対する報告経路もないことから、常に監査結果を変更するよう圧力がかけられている(基準1100の不適合)、など ②倫理綱要に重大な不適合があり問題が出ているケース (例)現状の内部監査人は、監査に必要な専門能力が著しく不足している (例)内部監査人1名が監査の機密情報を意図的に漏えいさせた、など 出所:内部監査.info |
