本稿では、IIAの内部監査の専門職的実施の国際基準(以下、IIA国際基準)の考察を行っています。IIA国際基準は、アシュアランス業務とコンサルティング業務の両方を対象としていますが、本稿では主にアシュアランス業務を中心に考察を行っています。
目次
基準2000の概要
基準2000は、内部監査部門の管理について定めています。
| 2000 ─ 内部監査部門の管理 内部監査部門長は、内部監査部門が確実に組織体に価値を付加できるようにするために、内部監査部門を有効に管理しなければならない。 出所:IIA国際基準 |
基準2000の構成
基準2000 は、基準2010から2070にかけて、次の要素を示し、内部監査部門による年間の内部監査計画におけるポイントを定めています。
| 2010 ─(内部監査部門の)計画の策定 2020 ─ 伝達と承認 2030 ─ 監査資源の管理 2040 ─ 方針と手続 2050 ─ 連携と依拠 2060 ─ 最高経営者および取締役会への報告 2070 ─ 外部のサービス・プロバイダと、内部監査についての組織体の責任 出所:IIA国際基準 |
基準2010 – (内部監査部門の)計画の策定
基準2010は、リスクアセスメントに基づいた計画策定について定めています。具体的には、例えば、リスクマップの作成を行い、その結果に基づき、中期監査計画や年間監査計画を策定することが挙げられます。近年は、このリスクアセスメントの重要性が高まり、日本国内でも金融機関を中心に実務の高度化が進んでいます。
(リスク・ベースの監査計画を策定の流れの例)
基準2020 – 伝達と承認
基準2020は、計画の内容について、内部監査の指示・報告経路(レポーティングライン)であるCEO(最高経営者)と取締役会に承認を受けるよう定めています。具体的には、例えば、第4四半期に翌年度の年間監査計画を作成し、CEOと内容と協議したうえで、取締役会で決議することが挙げられます。
(監査計画を承認の流れの例)
| ①内部監査部門長による翌年度の内部監査計画のドラフト ②CEOとの内容の協議 ③取締役会での内容の審議・決議 出所:内部監査.info |
基準2030 – 監査資源の管理
基準2030は、基準2020で策定した計画を実行するために必要十分な資源を確保することを求めています。具体的には、年間監査計画の承認を受ける際に、併せて人員計画も含めることが挙げられます。例えば、現状10人の内部監査組織であって、中期的なゴールを達成するにあたり5人の増員が必要であれば、現状の10人から3年をかけて15人の増強するといった方針・計画を含めます。
(監査資源の計画例)
| ①中期監査計画における取組目標 ・2020年度 全10拠点中5拠点を対象に監査を実施 ・2021年度 全10拠点中10拠点を対象に監査を実施 ・2020年度 全10拠点中10拠点を対象に監査を実施+システム監査を実施 ②必要な監査資源の計画 ・2020年度 4人(内部監査部門長1名 + 監査人3人) ・2021年度 6人(内部監査部門長1名 + 監査人5人) ・2020年度 7人(内部監査部門長1名 + 監査人5人 + システム監査人1人) 出所:内部監査.info |
基準2040 – 方針と手続
基準2040は、内部監査の方針と手続を整備することを定めています。具体的には、例えば、内部監査規程と内部監査実施要領、内部監査マニュアル、及び各種テンプレート・雛形などの整備が挙げられます。一定規模以上の内部監査部門では、業務の標準化による体系的な内部監査の実施の重要性が高くなり、本項目の重要性が高くなります。
(内部監査の規程体系の例)
| ①内部監査規程 内部監査の目的や権限、体制、指示・報告経路などを定めます。 ②内部監査実施要領 内部監査規程を実施するための業務プロセスや体制の詳細を定めます。 ③内部監査マニュアル 実施要領を手順レベルまで詳細化したもので、日常の業務で参照されます。業務単位で作成することもあります。・ (例)拠点監査マニュアル (例)本部監査マニュアル (例)システム監査マニュアル、など 出所:内部監査.info |
基準2050 – 連携と依拠
2050は、組織内の他のアシュアランス機能への連携と依拠について定めています。これは、3つのディフェンスライン(3ラインディフェンス、3線モデル)の考え方に基づくものです。具体的には、例えば、1線の自己点検機能、2線のコンプライアンス検査機能などが挙げられます。基準2050は、内部監査が提供するアシュアランス機能は、これらのアシュアランス機能との重複をできるだけ避けるべきであるということを定めています。ただし、これは無条件に依拠するのではなく、これら他のアシュアランス機能の有効性を評価し、依拠できることを確かめることが前提となります。
(内部監査以外の代表的なアシュアランス機能)
| ①営業管理部門による自己点検 (例)顧客の同意の取得状況のチェック (例)申込書の押印漏れチェック (例)交際費の利用先・用途のチェック ②コンプライアンス部門によるコンプライアンス・モニタリング (例)労務管理・36協定違反のモニタリング (例)下請法の60日以内支払のモニタリング (例)証券会社における売買管理モニタリング、など ③外部専門家による診断・評価 (例)セキュリティ診断業者によるホームページの脆弱性診断 (例)コンサルティング会社による事業継続計画の実効性診断、など 出所:内部監査.info |
基準2060 – 最高経営者および取締役会への報告
2060は、定期的にCEO(最高経営者)と取締役会へ内部監査の状況を報告するよう定めています。具体的には、例えば、第4四半期に今年度の内部監査の実施結果等を取りまとめ、報告することが挙げられます。
(報告内容の項目例)
| ①今年度の内部監査計画の振り返り ②個別監査の結果サマリー ③個別監査の発見事項の一覧 ④課題と対応の方向性 ⑤翌年度の内部監査計画案 出所:内部監査.info |
基準2070 – 外部のサービス・プロバイダと、内部監査についての組織体の責任
2070は、組織が外部専門家などに内部監査機能をアウトソーシングしている場合などでも、最終的な責任は組織の内部監査部門にあることを定めています。具体的には、例えば、従業員30人の小規模な金融商品取引業者で、CEOが内部監査部門長を兼任し、実務はすべて監査法人にアウトソースしているとします。この場合でも、内部監査の品質に最終的な先人を有しているのは、内部監査部門長たるCEOであるといういとです。その責任を果たすためには、丸投げせず、内部監査計画の内容を理解し、実施結果をレビュー・監督することが必要となります。
[post_footer]
