2025年1月9日、世界中の内部監査担当者にとって大きな節目となりました。

内部監査の国際的な職能団体であるIIA（The Institute of Internal Auditors：内部監査人協会）が、新しい「グローバル内部監査基準（Global Internal Audit Standards、以下GIAS）」を正式発効させたのです。

それまで長年にわたって内部監査の実務を支えてきた「内部監査の専門的実施のための国際基準（IPPF：International Professional Practices Framework）」は、この日をもって正式に更新されました。

「基準が変わった」と聞くと、まず頭に浮かぶのは「自社の監査手続きを見直す必要があるのか」「何が変わったのかをどうやって把握すればよいのか」という不安ではないでしょうか。とりわけ日本企業では、金融商品取引法に基づく内部統制報告制度（いわゆるJ-SOX）への対応と並行して新基準を消化しなければならないため、実務担当者の負担は小さくありません。

この記事では、グローバル内部監査基準の全体像を整理したうえで、旧基準からの主な変更点、日本企業への実務的な影響、そして現場で「つまずきやすいポイント」まで丁寧に解説します。制度や用語の説明に終始せず、「では実際にどう動けばよいのか」という視点を軸に構成していますので、監査担当者から経営企画・CFOまで幅広くご活用ください。

グローバル内部監査基準の全体像を理解する

GIASが生まれた背景と目的

グローバル内部監査基準がなぜ今この時期に改訂されたのか。その背景を知ることは、新基準の意図を正しく読み解くうえで欠かせません。

IIAは旧IPPF体系を2001年に発行して以来、幾度かの改訂を重ねてきました。しかし、企業を取り巻く経営環境は急速に変化しています。ESGへの対応、サイバーリスクの増大、グローバルサプライチェーンの複雑化、そしてデジタルトランスフォーメーション（DX）の加速。これらの新たなリスク領域に対し、旧来の基準体系では「カバーしきれていない」という声が世界中の監査実務家から上がるようになっていました。

また、旧IPPFは「コア原則」「倫理綱要」「基準」「実施ガイダンス」という多層構造になっており、どこに何が書いてあるのかが分かりにくいという課題もありました。現場の担当者から「基準の全体像を把握するだけで時間がかかる」という声が多かったことも改訂の動機のひとつです。

GIASはこうした課題を解決するため、構造の整理・統合と内容の充実を同時に実現しています。具体的には「監査機能のガバナンス」「リスクベースアプローチの徹底」「CAEのリーダーシップ」という3つの柱を強化し、内部監査部門が組織の中でより戦略的な役割を果たせるよう設計されています。

5つのドメイン構成

旧IPPFが「属性基準」と「実施基準」という二軸で整理されていたのに対し、GIASは「5つのドメイン（領域）」で構成されています。これが新基準の最大の特徴のひとつです。

ドメイン1：内部監査の目的（Purpose of Internal Auditing）内部監査がなぜ存在するのか、組織にとってどのような価値を提供するのかを定義します。単なる「チェック機能」ではなく、組織の目標達成を支援するアシュアランス（保証）とアドバイザリー（助言）の両機能を担う存在であることが明確に示されています。

ドメイン2：倫理とプロフェッショナリズム（Ethics and Professionalism）内部監査人としての倫理的な行動規範と、専門家としての能力維持に関する要件を定めます。旧倫理綱要の内容がここに統合されており、誠実性・客観性・守秘義務・専門的能力という4つの原則が引き続き中核を成しています。

ドメイン3：内部監査機能のガバナンス（Governing the Internal Audit Function）取締役会・監査委員会・最高経営陣に対するCAEの報告関係や、内部監査憲章（チャーター）の整備など、内部監査部門の「組織的な位置づけ」に関する要件です。このドメインは旧基準に比べて大幅に強化されており、特にガバナンスの独立性に関する記述が詳細になっています。

ドメイン4：内部監査機能の管理（Managing the Internal Audit Function）CAEが内部監査機能を効果的に運営するために必要な資源管理・品質管理・リスクベース監査計画などを定めます。品質保証・改善プログラム（QAIP：Quality Assurance and Improvement Program）の要件がここに盛り込まれています。

ドメイン5：内部監査サービスの実施（Performing Internal Audit Services）個々の監査業務の計画・実施・報告・フォローアップに関する実務的な要件です。旧実施基準に相当する内容ですが、「コミュニケーション」の重要性が明示的に強調されています。

この5ドメイン構成は、内部監査部門の「存在意義→行動規範→組織的位置づけ→部門運営→個別業務実施」という流れに沿っており、現場の担当者が自分の業務がどのドメインに対応するかを直感的に把握しやすくなっています。

「原則」「基準」「考慮事項」の3層構造

各ドメインの内容は、「原則（Principles）」「基準（Standards）」「考慮事項（Considerations）」という3層で整理されています。

原則は、そのドメインが目指すべき姿を端的に示した上位概念です。基準は、原則を実現するための具体的な要件であり、「should（すべき）」「must（しなければならない）」という言葉で義務の強さを表現しています。考慮事項は、基準を実践するための指針やヒントであり、必ずしも遵守義務を伴うものではありません。

この3層構造を理解しておくと、監査計画や監査手続書を作成する際に「これはGIASの何番の基準に対応しているか」を意識しやすくなり、品質保証の観点からも効果的です。

旧IPPFからの主な変更点を整理する

「コア原則」が「目的」へと昇格

旧IPPFでは「コア原則（Core Principles）」として10項目が列挙されていましたが、GIASではドメイン1の「内部監査の目的」の中に再構成されました。単なる行動規範の羅列ではなく、「内部監査が組織にとって何のために存在するのか」という根本的な問いへの答えとして位置づけられています。

現場でよく見られる問題として、内部監査部門が「指摘件数を増やすこと」や「チェックリストを埋めること」を目的化してしまうケースがあります。GIASはこれを明確に否定しており、内部監査の本来の価値は「組織が目標を達成できるように支援すること」にあると繰り返し強調しています。この視点の転換は、特に監査の年次計画策定やトップマネジメントとのコミュニケーション場面で活用できます。

独立性・客観性の要件が強化

旧基準でも独立性は最重要事項のひとつでしたが、GIASではより細かい規定が設けられました。特に注目すべき点は「組織的な独立性（Organizational Independence）」の明確化です。

CAEは取締役会または監査委員会に直接報告できる地位を保持しなければならず、最高経営陣が監査結果を「圧力によって変更させる」ことを禁止する旨が明文化されています。日本の実務では、CAEが経営陣の直下に置かれているケースも少なくありません。そうした体制の場合、独立性の担保についてより慎重な設計が求められます。

実際の現場では、「この監査結果を公表すると役員が困る。少し表現を和らげてほしい」という非公式な圧力を受けるケースが報告されています。GIASはこういった場面でのCAEの立ち位置を明確にするためのよりどころになります。

リスクベースアプローチの具体化

「リスクに基づいて監査計画を立てる」という考え方自体は旧基準にもありましたが、GIASではその方法論がより具体的に示されました。監査宇宙（Audit Universe）の設定から個別監査のリスク評価まで、一貫した考え方が提示されています。

特に重要なのは「戦略的リスクと新興リスク（Emerging Risks）への対応」です。AIやサイバーセキュリティ、地政学的リスクなど、従来の業務プロセス監査では捉えきれないリスク領域についても、内部監査がカバーすべき範囲に含めることが明示されています。

「毎年同じ部門を同じ視点で監査しているだけでは不十分」という問題意識を持つCAEには、GIASの新興リスク対応の考え方が実践的な指針を与えてくれます。

品質保証・改善プログラム（QAIP）の義務化

QAIPはあらゆる内部監査機能に対して義務づけられており、内部評価と外部評価の両方を実施することが求められています。外部評価は原則として5年に一度、組織外の評価者によって実施される必要があります。

日本企業ではQAIPを形式的に実施しているケースも見受けられますが、GIASではその結果を取締役会・監査委員会に報告し、改善アクションを公式に管理することが求められています。「評価は実施したが、報告・改善のフォローアップまでは行っていない」という状態は、基準への非適合とみなされる可能性があります。

日本企業の内部監査への影響を考える

J-SOXとGIASの関係性

日本の上場企業にとって最も気になるのは、J-SOX（金融商品取引法に基づく内部統制報告制度）との関係ではないでしょうか。結論から言えば、両者は目的が異なるものの、相互補完的な関係にあります。

J-SOXは「財務報告の信頼性」に特化した内部統制の有効性評価を義務づける制度です。金融庁の「財務報告に係る内部統制の評価及び監査の基準」が根拠規範となります。一方でGIASは財務報告だけでなく、業務の有効性・効率性、法令遵守、資産の保全など、より広い意味でのガバナンス・リスク管理・内部統制（GRC）全体を対象としています。

現場でよくある誤解として「J-SOXの評価を実施していれば、GIASへの対応も完了している」というものがあります。しかしJ-SOXの評価範囲は財務報告リスクに絞られており、戦略リスクや非財務リスクはカバーしていません。GIASが求める「リスクベース年次監査計画」を策定する際には、J-SOX評価の対象外となっているリスク領域を意識的に盛り込む必要があります。

三様監査との整合性

日本では「三様監査」という考え方があります。これは、監査役（監査役会）監査・内部監査・会計監査（外部監査）の三者が連携して企業のガバナンスを支える仕組みです。GIASは外部の会計監査人や規制当局との連携についても言及しており、日本の三様監査の考え方とも整合しています。

具体的には、内部監査が外部監査人と監査範囲を調整し、重複や漏れを防ぐことが奨励されています。外部監査人の監査調書を内部監査に活用したり、逆に内部監査の成果を外部監査人が参照したりすることで、監査全体の効率を高める取り組みはGIASの趣旨に合致します。

ただし、実際には「外部監査人との情報共有の範囲をどこまで認めるか」という問題で悩む担当者も多いようです。この点については、社外取締役・監査委員会を交えた事前合意を文書化しておくことが現実的な対応策です。

グローバル展開企業が直面するリアルな課題

海外子会社や現地法人を持つ企業にとって、GIASへの対応はより複雑な問題を含みます。現地の法規制・文化・言語の違いを乗り越えながら、グローバルに統一された監査基準を運用しなければならないからです。

よくある現場の課題として、「海外現地法人の管理職は内部監査を『本社の監視ツール』と捉えており、協力的でない」というものがあります。GIASはこのような状況に対応するため、内部監査人がステークホルダーとの信頼関係を構築することの重要性を繰り返し強調しています。監査開始前のオープニングミーティングや、監査結果の共有プロセスを丁寧に設計することが解決の糸口になります。

また、海外子会社に対する監査では言語の壁が生じます。英語を共通言語とする場合でも、現地のビジネス慣行や規制に精通していないと監査の実効性が下がります。GIASはこうした専門知識の不足を補うために「外部の専門家を活用すること」を認めており、実務上の重要な選択肢となっています。

内部監査憲章を見直す必要性

内部監査憲章とは何かを改めて確認する

内部監査憲章（Internal Audit Charter）とは、内部監査機能の目的・権限・責任を定めた正式な文書であり、組織の最高意思決定機関（取締役会または監査委員会）によって承認されるものです。

GIASでは、内部監査憲章の整備を義務要件として明確に位置づけており、その内容として少なくとも以下の項目を盛り込むことが求められています。

• 内部監査機能の目的と権限の範囲

• CAEの職位と報告ライン（機能的報告先・管理的報告先の明確化）

• 記録・情報・資産へのアクセス権

• QAIPの実施に関する規定

• GIASへの準拠宣言

日本企業では「監査規程」として内部監査の枠組みを定めているケースが多いですが、これがGIASの求める内部監査憲章に相当するかどうかは、内容を精査する必要があります。

現場でよくある憲章の「形骸化」問題

内部監査憲章は一度作成すれば終わりではありません。GIASは定期的な見直しと更新を求めており、特に組織改編や事業戦略の変更があった際には速やかに改訂することが期待されています。

現場で頻繁に見られる問題は「憲章が5年以上更新されていない」というものです。これは形骸化の典型例であり、内部監査の権限や報告ラインが実態と乖離している場合があります。監査委員会の委員から「内部監査のカバー範囲がよくわからない」という声が出るときは、たいていこのような状況が背景にあります。

GIASへの準拠を機会として、憲章の棚卸しを行うことを強くお勧めします。特に「機能的報告先」と「管理的報告先」の明確化は、独立性の確保に直結するため、早急に対応すべき項目のひとつです。

憲章見直しの実践的なステップ

憲章の見直しを進める際の手順は、概ね以下の通りです。

まず現行の憲章（または監査規程）とGIASの該当箇所（特にドメイン3の基準）を並べて比較します。次に差異（ギャップ）を抽出し、「即座に対応が必要な事項」と「中長期で検討する事項」に分類します。その後、改訂案を作成して法務・コンプライアンス部門と調整したうえで、取締役会または監査委員会の承認を得ます。

このプロセスで注意すべきは、「憲章の改訂を内部監査部門だけで完結させない」という点です。憲章の承認権限は取締役会や監査委員会にありますが、承認を形式的なものにしないために、内容を事前に丁寧に説明し、質疑に応答できる準備をしておくことが重要です。

リスクベース監査計画の立て方

年次監査計画とGIASの要件

内部監査の年次計画（Annual Audit Plan）はGIASのドメイン4で詳細な要件が定められており、リスクベースアプローチに基づいて策定することが義務づけられています。

リスクベースアプローチとは、組織が直面するリスクの高さに応じて監査資源を優先配分する考え方です。すべての業務プロセスを毎年均等に監査するのではなく、「リスクが高い・変化が大きい・コントロールが弱い」領域を優先的に監査します。

年次計画の策定においてGIASが特に強調しているのは、以下の3点です。

第一に、経営戦略との連動です。組織の戦略目標と照らし合わせて、「戦略の達成を阻害するリスク」を監査計画に取り込むことが求められます。過去の監査結果だけを参照して計画を立てるのではなく、CFOや事業部門責任者との対話を通じて「経営が今最も心配していること」を拾い上げることが重要です。

第二に、新興リスクへの対応です。毎年繰り返す定型的な監査項目だけでなく、サイバーリスク・ESG・AIガバナンスなど新たに顕在化してきたリスクを計画に反映することが奨励されています。

第三に、計画の柔軟な見直しです。年初に策定した計画であっても、組織環境の変化に応じて年度途中で修正することが認められており、むしろ積極的に行うべきとされています。

監査宇宙の設定でよくある失敗

「監査宇宙（Audit Universe）」とは、内部監査の対象となりうるすべての業務プロセス・部門・拠点・リスクエリアの集合体です。これを正確に把握しないと、重要なリスクが監査計画から漏れてしまいます。

現場でよくある失敗として、「過去に問題が発生したことがある部門ばかりを監査宇宙に入れ、新設部門や成長中の事業ラインを見落とす」というものがあります。M&Aで取得した子会社、急拡大しているEC事業部、新たに設置されたサステナビリティ推進部門などは、内部統制が未整備なまま急成長している場合があり、リスクが高い傾向があります。

また、ITシステムや第三者委託先（アウトソーシング先、クラウドベンダーなど）を監査宇宙に含めていないケースも散見されます。GIASは第三者に委託した業務についても、組織のリスクとして内部監査がカバーすべきことを明確にしています。

アジャイル監査の取り入れ方

近年、内部監査の世界でも「アジャイル監査（Agile Auditing）」という考え方が注目されています。これは、ソフトウェア開発で用いられるアジャイル手法を内部監査に応用したもので、短いサイクルで監査を実施・フィードバックし、速やかに改善につなげることを目的としています。

GIASはアジャイル監査を直接規定しているわけではありませんが、「リスク環境の変化に迅速に対応すること」「コミュニケーションの頻度と質を高めること」という考え方は、アジャイル監査の哲学と親和性が高いといえます。

実際にアジャイル手法を取り入れている内部監査部門では、従来の「6〜8週間かけて1つの監査を完結させる」スタイルから、「2週間のスプリントを繰り返して早期に予備的な所見を共有する」スタイルに移行するケースが増えています。経営陣への情報提供を速めることで、問題を「監査報告書が出た後」ではなく「問題が小さいうち」に対処できるメリットがあります。

監査報告書の品質を高める

GIASが求めるコミュニケーション要件

GIASのドメイン5では、個別監査業務の実施とともに「コミュニケーション」に関する要件が詳しく定められています。内部監査の価値は、優れた調査だけでなく、その結果を適切に伝えることによってはじめて実現されるという考え方が根底にあります。

報告書に求められる要件として、GIASは「正確性・客観性・明瞭性・簡潔性・建設的提言・完全性・適時性」という7つの特性を示しています。これらはすべて、報告書の受け手が求める内容を的確に提供するための原則です。

特に「建設的提言（Constructive）」という観点は、日本の実務において意識的に強化すべき点です。問題点を指摘するだけでなく、「では経営はどうすべきか」という改善の方向性を示すことが監査報告書の価値を高めます。

「所見が長すぎて読まれない」問題への対処

内部監査の現場でよく聞かれる悩みのひとつが、「監査報告書が長すぎて経営陣に読んでもらえない」という問題です。詳細な指摘事項を記載すればするほど報告書は厚くなり、逆に重要なメッセージが伝わりにくくなるというジレンマです。

この問題への実践的な解決策として、「エグゼクティブサマリー（Executive Summary）」の活用が挙げられます。報告書の冒頭に1〜2ページの要約を設け、「最も重要な発見事項」「リスクの大きさ」「求めるアクション」を明確に提示します。詳細な説明は本文に委ね、経営陣はサマリーを見てどこに注目すべきかを判断できる構成にします。

また、「所見の重要性分類（High / Medium / Low）」を明確にすることも効果的です。重要度の高い所見には特別なハイライトを付け、経営が優先的に対処すべき事項を視覚的に示します。

フォローアップの仕組みを整備する

GIASは監査所見に対するフォローアップを明確な義務として定めています。監査報告書を発行して終わりではなく、被監査部門が改善措置を講じたかどうかを確認し、その結果を記録することが求められます。

現場で見られる問題として「改善期限を設定したが、フォローアップをしないまま年度が変わってしまった」というケースがあります。これを防ぐには、改善措置の進捗を追跡するためのトラッキングシステム（専用のシステムでなくとも、Excelベースの管理台帳でも可）を整備し、定期的にCAEが全所見の状況を確認するプロセスを設けることが現実的です。

特に「High」評価の重要所見が長期間未対応のまま残っている場合は、CAEが取締役会や監査委員会に報告する義務があります。「経営陣が対応を先延ばしにしているリスク」を上位のガバナンス機関に伝えることは、CAEの重要な責務のひとつです。

内部監査人の能力開発とGIAS

専門的能力の維持に関する新要件

GIASのドメイン2では、内部監査人が専門家としての能力を継続的に維持・向上させることが義務づけられています。これは旧基準から引き継がれている要件ですが、GIASではより具体的な期待値が示されています。

特に注目すべきは、「テクノロジーに関する理解」が求められていることです。データ分析、RPA（Robotic Process Automation）、AIなどのテクノロジーが内部監査の実務に与える影響を理解し、適切に活用できることが現代の内部監査人に求められるスキルとして明記されています。

「システムのことは情報システム部門に任せればいい」というスタンスでは、GIASが求める専門性水準を満たすことが難しくなりつつあります。監査人全員がプログラムを書ける必要はありませんが、データ分析ツールを活用して大量データからリスクシグナルを検出する能力は、今後ますます重要性を増すでしょう。

CIAを取得・維持する意義

公認内部監査人（CIA：Certified Internal Auditor）は、IIAが認定する内部監査の国際資格です。GIASが正式発効したことにより、CIA試験の出題範囲も更新されており、新基準の内容が試験に反映されています。

CIAを取得することの実務的なメリットは、単に資格欄に追記できること以上にあります。GIASの体系を試験勉強を通じて系統立てて理解できるため、「なぜこの手続きを行うのか」という根拠を明確に説明できるようになります。これは監査対象部門の協力を取り付けるうえでも、社外取締役や監査委員会に内部監査の価値を説明するうえでも有効です。

また、CIAを維持するためには継続専門教育（CPE：Continuing Professional Education）の単位取得が必要です。これは「常に学び続ける内部監査人」であることの証明でもあります。

内部監査チームの多様性について

GIASは「多様性と包摂性（Diversity and Inclusion）」についても言及しており、内部監査チームが多様なスキル・経験・視点を持つことを奨励しています。

これは採用の問題だけでなく、監査計画や個別業務の設計にも関係します。例えば、財務・会計のバックグラウンドを持つメンバーだけでチームが構成されている場合、テクノロジーリスクや人事・労務関連のリスクを適切にカバーするうえでの限界が生じます。外部の専門家をゲスト監査人として招聘したり、被監査部門の経験者を内部監査に取り込んだりすることで、チーム全体の専門的多様性を高めることが可能です。

GIASへの準拠状況を評価する方法

準拠評価のフレームワーク

自社の内部監査機能がGIASにどの程度準拠しているかを自己評価（内部評価）する方法として、IIAが提供する「GIASコンフォーマンス評価ツール」の活用が推奨されます。ドメインごとに設問が設けられており、現状のプラクティスを基準の要件と照らし合わせることができます。

自己評価に加え、外部評価も定期的に実施することが義務づけられています。外部評価は、IIAから認定を受けた評価者や、他社の内部監査部門との相互評価（ピアレビュー）という形で実施することが一般的です。外部評価の最大の価値は「自社では気づきにくい盲点を発見できること」にあります。内部だけでは当たり前になってしまっている実務慣行が、外部の目から見ると非効率だったり、基準に合致していなかったりするケースは珍しくありません。

「部分的準拠」の場合の対処法

GIASに完全準拠していない状態で監査報告書に「GIASへの準拠」と記載することは認められていません。ただし、特定の基準に準拠していない正当な理由がある場合には、その旨を開示することが認められています（いわゆる「コンプライ・オア・エクスプレイン」の考え方）。

実務上重要なのは、「なぜ準拠できていないのか」を分析し、改善の優先順位をつけることです。リソース不足・組織構造上の制約・経営の理解不足など、理由はさまざまです。準拠できていない項目を隠すのではなく、「現状・課題・改善計画」を取締役会や監査委員会に透明性をもって報告することが、長期的な信頼構築につながります。

外部評価の準備で現場がよくつまずくポイント

外部評価の前に内部監査部門が準備を進める際、実際の現場でよくつまずくポイントをいくつか紹介します。

まず「監査調書の整備不足」です。実施した監査手続きと発見事項が監査調書に適切に文書化されていないと、外部評価者は実際に監査が行われたかどうかを確認することができません。「監査は実施したが記録が残っていない」という状況は、外部評価において最も厳しく評価されます。

次に「QAIPの実施記録がない」問題です。品質保証プログラムとして何らかの取り組みを行っていても、その結果が文書として残っていなければ「実施していない」と同義とみなされます。

最後に「フォローアップ管理が不完全」な問題があります。改善措置の追跡台帳が存在しても、最新の状況が反映されていなかったり、一部の所見がトラッキングシステムから漏れていたりするケースが見られます。

2025年以降の内部監査を展望する

デジタル化が変える監査の姿

GIASの発効と時を同じくして、内部監査の実務そのものも大きな転換点を迎えています。テクノロジーの活用が内部監査の「当たり前」になりつつある時代が、すぐそこまで来ています。

データ分析（Data Analytics）の活用は、すでに先進的な内部監査部門では標準化されつつあります。100%の取引データを分析して異常値を検出したり、統計的手法でリスクの高い取引を自動フラグアップしたりすることで、サンプリングに頼っていた従来の監査より広いカバレッジが実現できます。

AI（人工知能）の活用も急速に進んでいます。文書レビューの自動化、自然言語処理を使った契約書の内容分析、過去の監査報告書からの知見抽出など、AIが監査人の「思考のパートナー」として機能するケースが出始めています。ただし、AIの判断を鵜呑みにせず、内部監査人が最終的な判断を行う構造を維持することは、GIASの観点からも不可欠です。

ESGと内部監査の交点

ESG（環境・社会・ガバナンス）への対応は、投資家・取引先・規制当局からの期待として急速に高まっています。内部監査がESGリスクをどのようにカバーすべきかは、今まさに多くの企業が模索しているテーマです。

GIASは内部監査の対象をESG領域にも広げることを否定していませんが、「どの程度深くカバーするか」は各組織のリスクプロファイルと監査資源によって異なります。少なくとも、年次監査計画を策定する段階でESGリスクを評価プロセスに組み込み、優先度を明示的に判断することが求められます。

「ESGは広報やサステナビリティ部門の仕事であり、内部監査が関与する領域ではない」という認識は、GIASの精神とは相いれません。ESGに関連するリスク（非財務情報の虚偽報告、サプライチェーンの人権問題、炭素排出データの正確性など）は、組織の信頼性と存続可能性に直結する重大リスクとして捉える必要があります。

内部監査の「戦略的パートナー」化

GIASが全体を通じて最も強調しているメッセージのひとつが、「内部監査は単なるコンプライアンスの番人ではなく、経営の戦略的パートナーであるべき」という点です。

これを実現するためには、CAEが経営会議や取締役会にどのような形で関与しているか、CEOやCFOが内部監査をどのように活用しているかという組織文化の問題にも踏み込む必要があります。

実際に「戦略的パートナー」として機能している内部監査部門の特徴として、以下の点が挙げられます。監査計画の策定段階からCEO・CFOとの対話があること、監査結果を経営意思決定に活用してもらえるよう報告フォーマットを工夫していること、そして被監査部門から「監査を受けてよかった」という声が聞かれることです。

まとめ

2025年1月に発効したグローバル内部監査基準（GIAS）は、内部監査の目的・倫理・ガバナンス・管理・実施という5つのドメインで構成された新たな国際基準です。旧IPPFからの主な変更点として、独立性要件の強化・リスクベースアプローチの具体化・QAIPの義務化などが挙げられ、日本企業の実務にも直接的な影響を及ぼします。

J-SOXとの整合性を維持しながらGIASへの準拠を進めるためには、内部監査憲章の見直し・年次監査計画へのリスクベースアプローチの徹底・監査報告書の質の向上・フォローアップ管理の整備という4つの軸で取り組むことが有効です。

デジタル化・ESGへの対応・戦略的パートナーとしての役割強化という大きなトレンドのなかで、GIASは内部監査部門が組織に貢献できる範囲をさらに広げるための指針を提供しています。