本稿では、IIAの内部監査の専門職的実施の国際基準(以下、IIA国際基準)の考察を行っています。IIA国際基準は、アシュアランス業務とコンサルティング業務の両方を対象としていますが、本稿では主にアシュアランス業務を中心に考察を行っています。
目次
基準2100の概要
基準2100は、個別監査の内容について定めています。
| 2100 ─ 業務(work)の内容 内部監査部門は、専門職として規律ある姿勢で、体系的な、かつリスク・ベースの手法を用いて、組織体のガバナンス、リスク・マネジメントおよびコントロールの各プロセスを評価し、各々の改善に貢献しなければならない。内部監査人に先見性があり、内部監査人による評価が新たな洞察を提供し、将来への影響に注意を払っている場合には、内部監査の信頼性と価値は高まる。 出所:IIA国際基準 |
基準2100の構成
基準2100は、基準2110から2130にかけて、次の点を示し、内部監査の対象を定めています。
| 2110 ─ ガバナンス 2120 ─ リスク・マネジメント 2130 ─ コントロール 出所:IIA国際基準 |
ここからは、それそれの基準の概要と説明していきたいと思います。
2110 ─ ガバナンス
基準2110は、ガバナンスプロセスの評価について定めています。IIA国際基準におけるガバナンスとは、取締役会が組織の目標達成に向けて指示及びモニタリングするためのプロセス等のことです。基準2110では、戦略や業務上の意思決定や経営管理上の意思決定、そして取締役会・会計監査人・各種委員会など、事業活動全般において、このガバナンスプロセスが有効に機能しているかを評価することを求めています。具体的には、例えば、個別監査において、監査対象における稟議・決裁プロセスの整備・運用状況の有効性を評価することや、テーマ監査として全社的なガバナンスプロセスを評価することが挙げられます。有効性を評価する視点としては、具体的には、例えば、次のようなポイントが挙げられます。
(ガバナンスプロセスの有効性を評価する視点の例)
| ①報告の適時性・適切性 必要な情報が適時適切な内容で意思決定者に報告されているか ②議論の十分性 意思決定機関で十分な議論が行われているか ③記録の十分性 意思決定に係る経緯・記録が十分に保管されているか 出所:内部監査.info |
2120 ─ リスク・マネジメント
基準2110は、リスクマネジメントプロセスの評価について定めています。IIA国際基準におけるリスクマネジメントとは、一般的なリスクマネジメントと同じで、組織のリスクを識別・評価・管理するためのプロセスのことです。基準2120では、重大なリスクが洗い出されているか、コントロールの設定状況が組織のリスクアペタイト(選好)と合致しているかなどの観点から、リスクマネジメントプロセスの有効性を評価することを求めています。具体的には、例えば次のような点が挙げられます。
(リスクマネジメントプロセスの有効性を評価する視点の例)
| ①ユニバースの網羅性 リスクマップのユニバースの網羅性が確保されているか。 (例)部署別のユニバースですべての部署が表現されていない (例)業務別のユニバースですべての業務が表現されていない (例)グループのユニバースですべての子会社が表現されていない、など ②リスクカテゴリーの網羅性 リスクカテゴリーの網羅性が確保されているか。また、特定のリスクが過度に重視されるなどカテゴリーに偏りがないか。 (例)財務リスクが表現されていない (例)外部委託管理リスクが表現されていない (例)品質リスクだけが過度に重視され10個以上に分解されている、など ③リスク評価の考え方 リスクが固有リスク・コントロール・残存リスクに分解され、それぞれについて評価基準が用意され、組織的・体系的に評価が実施されているか ④評価結果の合理性 個々のリスクの評価結果に非合理的なものがないか。 出所:内部監査.info |
2130 ─ コントロール
基準2130は、コントロールの有効性と効率性の評価について定めています。IIA国際基準におけるコントロールとは、一般的なコントロールとと同じで、リスクを管理(目標達成を支援するため)するための措置としています。基準2130は、コントロールを評価する対象として、戦略や財務、業務、資産保全、コンプライアンス等に係るガバナンス、業務、情報システムなどを挙げています。
(コントロールプロセスの有効性を評価する視点の例)
| ①規程類・マニュアル類 ・規程類・マニュアル類が存在しているか ・最終更新からの経過期間が長期にわたっていないか ・妥当な内容で策定されているか ・周知・浸透しているか、など ②実施体制 ・要員の数は足りているか(量的十分性) ・実施者の能力・経験は足りているか(質的十分性) ・自己点検とモニタリングが有効に機能しているか、など ③IT化・自動化 ・対象件数の多い場合、IT化等により網羅性が確保されているか ・作業ミスを未然に防止するための自動化が行われているか、など 出所:内部監査.info |
