内部監査は組織のガバナンス、リスク・マネジメント、コントロールプロセスの有効性を評価し、改善に役立つ重要な機能です。その専門職的実施をグローバルに統一し、質の高い内部監査を推進するための指針となるのが「内部監査の専門職的実施の国際基準」です。

この記事では、「内部監査の専門職的実施の国際基準」（以下、国際基準）の概要、構成、重要な要求事項、関連用語について、IIA（内部監査人協会）が定める基準に基づき解説します。

目次

1. 内部監査の国際基準とは？ 

2. 国際基準の分類：人的基準と実施基準

3. 国際基準における重要な要求事項の抜粋

4.  国際基準で定義される主な用語 

5. IIAが提唱する3ラインモデル

6. 国際基準の策定および見直しプロセス

7. まとめ

内部監査の国際基準とは？

「内部監査の専門職的実施の国際基準」は、内部監査人協会（IIA）により策定され、一般社団法人日本内部監査協会が発行している基準です。この基準は、2013年1月1日から適用されています。

基準の概要と目的

この基準は、以下の目的を達成するためのフレームワークを提供します。

• 広範な付加価値の高い内部監査を実施し、推進すること。

• 内部監査の業務を評価するための基礎を確立すること。

• より高い組織的プロセスや業務の実施であるように支援すること。

内部監査部門は、客観的かつ適切なアシュアランスを行い、ガバナンス、リスク・マネジメントおよびコントロールの各プロセスの有効性と効率性に役立っているときに、組織体（およびその組織体の利害関係者）に価値を付加しているといえます。

基準の性質

この基準は、原則に志向した拘束的な性格を持つ要求事項です。 基準で使用される用語のうち、must（「しなければならない」）は無条件に遵守しなければならないことを示し、should（「すべきである」）は専門職的判断を行使し、基準からの逸脱を正当化できる状態があるときを除き、準拠することが当然のこととして期待される場合に用いられます。 内部監査人協会、内部監査部門、内部監査人は、この基準を遵守する義務があります。

国際基準の分類：人的基準と実施基準

国際基準は、大きく2つに分類されます。

1. 人的基準（Attribute Standards）

内部監査を実施する組織や個人の特性を定めたものです。

2. 実施基準（Performance Standards）

内部監査の業務の内容を明らかにするとともに、内部監査業務の実施を測定する質的評価規準となるものです。

国際基準における重要な要求事項の抜粋

ここでは、国際基準に定められている重要な要求事項の一部を抜粋して紹介します。

目的、権限および責任 (1000)

内部監査部門の目的、権限および責任は、IIAが定める内部監査の定義、倫理綱要および国際基準に則って、内部監査基本規程に正式に規定されなければならないとされています4。内部監査基本規程は、内部監査部門の目的、権限および責任を明確にする正式な文書です。

独立性および客観性 (1100)

内部監査部門は、組織体内の独立性を保持し、また、内部監査人は、業務を遂行する上で客観的な態度を保持しなければなりません。

組織上の独立性 (1110)

内部監査部門長は、内部監査基本規程を承認し、リスク・ベースの内部監査計画、予算、監査資源の計画を承認するよう、取締役会に提案しなければなりません。内部監査部門長は、内部監査部門の計画やその他の事項に対する遂行状況について取締役会から伝達を受けなければなりません。内部監査部門長は、取締役会に対し直接伝達し、そして直接の意思疎通を図らなければなりません。 内部監査部門は、内部監査の範囲の決定、その業務の遂行および結果の伝達について妨害を受けることがあってはなりません。

個人の客観性 (1120)

内部監査人は、公正不偏の態度を保持し、利害関係を有してはなりません。利害関係とは、内部監査人が、組織体にとって最大限得られる利益に相反するが、専門職としての、または個人としての利益を持つ状況のことです。

独立性または客観性の阻害 (1130)

内部監査人または内部監査部門長が独立性または客観性を阻害する可能性のある事象を認識した場合、その詳細を関連する当事者（内部監査基本規程が承認された内容に基づく）に開示しなければなりません。関連する当事者へ開示された独立性または客観性の阻害は、是正されるまで、その内部監査人または内部監査部門は関連する業務に対する責任を負うことができないとされています。 以前に責任を有した業務に対するアシュアランス業務を行う場合、その客観性は損なわれているとみなされます。監査以外のことで内部監査部門長が責任を有している職務を対象とする個々のアシュアランス業務は、内部監査部門外の者の監督下で行わなければなりません。 内部監査人は以前に自らが責任を有した業務に関し、コンサルティング・サービスを提供することがあってもよいとされています。依頼を受けたコンサルティング・サービスに関連して、内部監査人が独立性または客観性を損なう可能性がある場合は、個々のコンサルティング業務を引き受ける前に、依頼した部門にその事実を知らせなければなりません。

熟達した専門的能力および専門職としての正当な注意 (1200)

内部監査（アシュアランスおよびコンサルティング）の個々の業務は、熟達した専門的能力と専門職としての正当な注意とをもって遂行されなければなりません。

熟達した専門的能力 (1210)

内部監査人は自らの責任を果たすために必要な「知識・技能・その他の能力」を備えていなければなりません。さらに内部監査部門は部門の責任を果たすために必要な「知識・技能・その他の能力」を、部門総体として備えているかまたは備えるようにしなければなりません。適切な専門的認証や資格（公認内部監査人（CIA）など）を得ることが奨励されています。 個々のアシュアランス業務に必要な知識等を欠く場合は、内部監査部門長は部門外から適切な助言と支援を得なければなりません。 内部監査人は、不正のリスクを評価し組織体がそのリスクを管理する手段を評価するための、十分な知識を有していなければなりませんが、不正の発見と調査に第一義的な責任を負う者と同等の専門知識を持つことは期待されていません。 内部監査人は重要な情報技術（IT）のリスクおよびコントロール手段の十分な知識と、活用可能なテクノロジー・ベースの監査技法を身につけていなければなりませんが、すべての内部監査人がIT監査業務に第一義的な責任を負う者と同等の専門知識を持つことは期待されていません。

専門職としての正当な注意 (1220)

内部監査人は、平均的にしてかつ十分な慎重さと能力を備える内部監査人に期待される注意を払い技能を適用しなければなりません。専門職としての正当な注意とは全く過失のないことを意味するものではありません。アシュアランス業務の目標達成に必要な業務範囲、手続適用対象の複雑性・重要性、ガバナンス、リスク・マネジメント、コントロールの各プロセスの妥当性と有効性などに配慮する必要があります。

品質評価プログラム (1300)

内部監査部門長は、内部監査部門の活動の有効性を評価するために、品質評価プログラムを策定し、維持しなければなりません6。品質評価プログラムは、内部監査の定義、倫理綱要および国際基準への適合性を評価するための継続的モニタリングと定期的評価から構成されます。 外部評価は、組織体外の適格にしてかつ独立した評価実施者または評価チームによって、最低でも５年に１度は実施されなければなりません。内部監査部門長は取締役会と外部評価の形式と頻度、評価実施者の適格性と独立性について話し合わなければなりません。

内部監査部門の管理 (2000)

内部監査部門長は、部門を有効に管理するための計画、伝達、資源管理に関する責任を負います。

（内部監査部門の）計画の策定 (2010)

内部監査部門長は、組織体のゴールと調和するように内部監査部門の業務の優先順位を決定するために、リスク・ベースの監査の計画を策定しなければなりません。内部監査部門長はリスク・ベースの監査の計画を策定する責任があり、組織体のリスク・マネジメントのフレームワークを考慮したり、必要に応じて監査計画を見直し、調整したりしなければなりません。 個々のアシュアランス業務について、内部監査部門の計画は、少なくとも年に１度実施される文書化されたリスク評価に基づかなければなりません。

伝達と承認 (2020)

内部監査部門長は、重要な中途の変更を含め、内部監査部門の計画および必要な監査資源について、最高経営者および取締役会に伝達し、レビューと承認を受けなければなりません。

監査資源の管理 (2030)

内部監査部門長は、承認された計画を遂行するのに必要な監査資源が、適切、十分であることを確実にしなければなりません。

業務の性質 (2100)

内部監査部門は、組織体のガバナンス、リスク・マネジメントおよびコントロールの各プロセスを評価し、それらの有効性を高めることに貢献しなければなりません。

リスク・マネジメント (2120)

内部監査部門は、組織体のガバナンス、業務および情報システムに関するリスク・エクスポージャー（リスクに曝されている度合い）を評価しなければなりません。評価対象には、組織体の戦略目標の達成状況、財務および業務に関する情報の信頼性とインテグリティ、業務とプログラムの有効性と効率性、資産の保護が含まれます。組織体のリスク・マネジメント・プロセスは、継続的な管理活動または独立的評価あるいはその双方を通じてモニターされます。

業務計画 (2200)

内部監査人は、個々の内部監査業務の目標、範囲、資源配分、作業プログラムを策定しなければなりません。

個々の業務目標 (2201, 2210.C1, 2210.C2)

内部監査（アシュアランスおよびコンサルティング）の個々の業務目標は、依頼部門と合意されなければなりません。ただし、コンサルティング業務については、内部監査人が経営管理者としての責任を負うことなく、価値を付加し、組織体のガバナンス、リスク・マネジメントおよびコントロールの各プロセスを改善することを意図するものであり、組織体の価値、戦略および目標に適合していなければなりません。内部監査部門長は、依頼された個々のコンサルティング業務を引き受けるかについて、組織体のリスクの管理を改善させ、価値を付加し、組織体の業務改善を図ることができるかどうかの可能性をもとに判断すべきです。

個々の業務範囲 (2220)

設定された個々の業務の範囲は、個々の業務の目標を達成するのに十分でなければなりません。アシュアランス業務の範囲は、第三者の管理下にあるものを含め、関連するシステム、記録、人および物的財産を考慮に入れなければなりません。コンサルティング業務においては、内部監査人は合意された目標に取り組むために個々の業務の範囲が十分であることを確実にしなければなりません。

個々の業務への資源配分 (2230)

内部監査人は、個々の業務の内容や複雑さの評価、時間の制約および利用可能な資源に基づき、個々の業務の目標を達成するための適切かつ十分な資源を決定しなければなりません。

個々の業務の作業プログラム (2240)

内部監査人は、個々の業務の目標を達成するための作業プログラムを作成し、文書化しなければなりません。作業プログラムは、個々のアシュアランス業務の実施過程に関する情報を、識別・分析・評価し、かつ収集、分析、解釈、文書化する手続を含まなければなりません。

結果の伝達 (2400)

内部監査人は、内部監査（アシュアランスおよびコンサルティング）の個々の業務の結果を伝達しなければなりません。

伝達の規準 (2410)

伝達には、適切な、結論、改善のための提言および改善措置の計画とともに、個々の業務の目標とその範囲を含めなければなりません。 個々のアシュアランス業務の結果の最終的伝達には、状況に応じ、内部監査人の意見および結論の双方またはそのいずれかを含めなければなりません。意見や結論を表明する場合、最高経営者、取締役会およびその他の利害関係者の期待を考慮に入れなければならず、また十分かつ信頼でき、適切にして有用な情報に基づかなければなりません。個々の業務レベルにおける意見は、結果についての評点付け（rating）、結論またはその他の記述である場合があり、特定のプロセスなどに関係している場合があります。

進捗状況のモニタリング (2500)

内部監査部門長は、経営管理者へ伝達された内部監査（アシュアランスおよびコンサルティング）の個々の業務の結果について、その対応状況をモニターする仕組みを確立し、維持しなければなりません。 アシュアランス業務については、経営管理者による改善措置が有効に実施されていること、あるいは改善措置をとらないことによるリスクを最高経営者が許容していることをモニターし、確実にするためのフォローアップ・プロセスを構築しなければなりません。コンサルティング業務の結果への対応状況は、依頼部門と合意された範囲でモニターしなければなりません。

リスク受容についての伝達 (2600)

内部監査部門長は、組織体にとって受容できないのではないかとされる水準のリスクを経営管理者が受容していると結論付けた場合、その問題について最高経営者と話し合わなければなりません。内部監査部門長は、それでもなおその問題が解決されていないと判断したとき、そのことを取締役会に伝達しなければなりません。経営管理者によって受容されたリスクは、アシュアランス業務やコンサルティング業務、以前の内部監査の結果へのモニタリング、あるいはその他の手段により識別されることがあります。そのリスクを解決することは内部監査部門長の責任ではありません。

国際基準で定義される主な用語

国際基準では、基準の理解に不可欠ないくつかの用語について定義が定められています。ここではその一部を紹介します。

価値を付加する（Add Value）

内部監査部門が、客観的かつ適切なアシュアランスを行い、ガバナンス、リスク・マネジメントおよびコントロールの各プロセスの有効性と効率性に役立っているときに、内部監査部門は、組織体（およびその組織体の利害関係者）に価値を付加しているといえます。

内部監査基本規程（Charter）

内部監査部門の目的、権限および責任を明確にする正式な文書です。組織体における内部監査部門の地位を確固にし、内部監査業務の遂行に関連する、記録・人・物的な財産についての証拠資料入手（access）の権限を認め、内部監査の活動の範囲を明確にするものです。

内部監査部門長（Chief Audit Executive）

内部監査基本規程、内部監査の定義、倫理綱要および国際基準に従って、内部監査部門を有効に管理する責任を有する組織体の高い階層の地位（senior position）にある者をさします。

倫理綱要（Code of Ethics）

内部監査人協会（IIA）の「倫理綱要」は、内部監査の専門職と内部監査の実践に関する「原則」であるとともに、内部監査人に期待される行動を叙述した「行為規範」です18。内部監査業務を提供する当事者および組織体の両者に適用され、世界中の内部監査の専門職の倫理的な素養を高める目的があります。

利害関係（Conflict of Interest）

組織体にとって最大の利益とならないか、あるいは利益とならないように見られるすべての関係。利害関係は、個人がその義務と責任とを客観的に履行する能力を妨げることになります。

コンサルティング・サービス（Consulting Services）

依頼部門への助言およびそれに関連した業務活動である。個々の業務の内容と範囲は、依頼部門との合意によるものであり、また内部監査人が経営管理者としての責任を負うことなく、価値を付加し、組織体のガバナンス、リスク・マネジメントおよびコントロールの各プロセスを改善することを意図します。

内部監査部門（Internal Audit Activity）

組織体の運営に関し価値を付加し、また改善するために行われる（designed）、独立にして、客観的なアシュアランス業務およびコンサルティング・サービスを提供する、部門、部、コンサルタントのチーム、または、その他の専門家をいいます。

専門職的実施の国際フレームワーク（IPPF）

内部監査人協会（IIA）により公表された正式なガイダンスを体系化する概念的なフレームワーク。拘束的な性格を持つ（Mandatory）ガイダンスと、強く推奨される（Strongly Recommended）ガイダンスの２種類から構成されます。

テクノロジー・ベースの監査技法（Technology-Based Audit Techniques）

汎用監査ソフトウェア、テストデータ・ジェネレイター、コンピュータ・監査プログラム、専門監査ユーティリティ、およびコンピュータ支援監査技法（ＣＡＡＴｓ）のような、すべての自動化された監査ツールをいいます。

IIAが提唱する3ラインモデル

従来の内部監査の考え方に加えて、近年、IIAが提唱する「3ラインモデル」が注目されています。これは、組織の中で3つの役割を分け、内部監査部門だけでなく他の部門とも役割を分担して組織全体の目的を達成するという考え方です。目的の達成と価値の創造を重視しています。

3ラインモデルでは、以下の3つの機能に役割を分けています。

第1線：事業部門。顧客に対する製品やサービスの提供とリスクの管理を担います23。

第2線：管理部門。リスクに関連する事項について、専門知識を踏まえた支援、モニタリングを行います。

第3線：内部監査。事業目的を達成するために、独立した客観的なアシュアランス（保証）や助言を行います。

第1線、第2線がそれぞれの役割で統制を図り、第3線の役割である内部監査がその統制の有効性を監査して、役割を分担しながら組織目標を達成するという考え方です。

国際基準の策定および見直しプロセス

この国際基準の策定および見直しは、継続的なプロセスとして行われます。内部監査人協会の国際内部監査基準審議会（The International Internal Audit Standards Board）は、基準の発表に先立ち広範囲にわたる意見を求め議論を積み重ねています。これには公開草案のプロセスで、パブリック・コメントを全世界に要請することを含んでいます。公開草案は内部監査人協会のウェブサイトに掲示されるだけでなく、すべての地域の内部監査人協会に配付されます。

まとめ

「内部監査の専門職的実施の国際基準」は、内部監査の質を維持・向上させ、組織の目的達成に貢献するために不可欠なものです。この基準は、内部監査人が専門職として従うべき原則や要求事項を明確に定義しており、その理解と適用は内部監査部門および個々の内部監査人にとって非常に重要です。

基準の構成、人的基準と実施基準の分類、独立性や客観性、熟達した専門的能力といった基本原則、そして具体的な業務計画や結果伝達、モニタリングに関する要求事項を理解することで、より効果的で信頼性の高い内部監査を実施することが可能になります。また、基準で定義される用語や、IIAが提唱する3ラインモデルといった概念を知ることも、内部監査の実務および理論の理解を深める上で役立ちます。

継続的に見直される国際基準の最新動向を常に把握し、組織の内部監査活動に適切に反映させていくことが求められています。