「GIASが2025年1月から適用になったと聞いたが、自部門は何をすればよいのかがまだわからない」——こうした声は、内部監査の現場で今も数多く聞かれます。

グローバル内部監査基準（Global Internal Audit Standards、以下GIAS）は、IIA（国際内部監査人協会）が2024年1月に公表し、2025年1月9日から正式に適用が始まった内部監査の国際基準です。2017年以来7年ぶりの大改訂であり、5つのドメイン・15の指導的原則という新たな構造のもと、内部監査の役割・責任・実務手順が包括的に再定義されました。

基準そのものは一読しただけでは全体像をつかみにくく、「どこから手をつけるか」「自社の状況で何が優先課題か」を判断するだけでもひと苦労です。本記事では、GIASの成り立ちと全体構造をわかりやすく整理したうえで、5つのドメインそれぞれの内容と旧基準からの変化を解説します。そして「日本企業が特につまずきやすい論点はどこか」「ギャップ分析を進めるための現実的な手順は何か」という実務上の問いにも答えていきます。

GIAS対応の入口に立つ担当者から、具体的な実装方法を模索している実務者まで、読んでいただける内容です。

GIASとは何か、なぜ今改訂されたのか

内部監査の国際基準が7年ぶりに刷新された背景

IIAは1941年の創設以来、内部監査の専門的実施のための国際的な基準・フレームワークを整備してきました。その知識体系を統合したものが「専門職的実施の国際フレームワーク（IPPF：International Professional Practices Framework）」であり、GIASはこのIPPFの中核をなす基準文書です。

前回のIPPF改訂は2017年で、それから7年の間に内部監査を取り巻く環境は大きく変化しました。デジタル化・AIの急速な普及、ESG・サステナビリティへの社会的要請の高まり、コーポレートガバナンス改革の世界的な進展——これらの変化に対し、旧来の基準では対応しきれない部分が顕在化してきたことが、今回の改訂の根本的な動機です。

IIAが今回の改訂で目指したことは、大きく3つにまとめられます。第一に、世界中の実務家とステークホルダーが求める高品質な内部監査へのニーズに応えること。第二に、AI・データ活用など現在のトレンドに即した実務に対応すること。第三に、取締役会の関与強化を通じた監査ガバナンスの実質的な向上です。

日本語版は2024年7月に日本内部監査協会を通じて公表され、適用は英語版と同じ2025年1月9日から始まっています。

旧基準（2017年版IPPF）との構造的な違い

旧基準（2017年版IPPF）は、「必須のガイダンス」と「推奨されるガイダンス」という二層構造で構成されており、必須のガイダンスの中に「内部監査の使命」「基本原則」「定義」「倫理綱要」「基準（属性基準・実施基準）」が含まれていました。この構造は実務家からも「どの文書のどの部分が必須で、どの部分が推奨なのかわかりにくい」という声が多く寄せられていました。

GIASでは、これらの複数文書が一冊の基準書に統合されています。旧来の「倫理綱要」はGIASのドメインⅡに組み込まれ、「基本原則」は15の指導的原則として再編されました。また、旧基準で「属性基準」と「実施基準」という2区分だったものが廃止され、5つのドメインという新たな分類軸に整理されています。

さらに大きな構造的変化として、各基準の後に「適合していることの証拠の例」が追加された点があります。「この基準に適合していることを示すためには、どのような記録や行動が必要か」という具体的な例が明記されたことで、基準の解釈や自己評価がより行いやすくなりました。

GIASの全体構造：5つのドメインと15の原則

5つのドメインの全体像

GIASの核心は「5つのドメイン（Domain）」と「15の指導的原則（Principle）」です。ドメインとは内部監査活動の主要な領域を指し、各ドメインの下に複数の原則が設けられています。さらに各原則は、具体的な「基準」によって支えられており、基準は「要求事項（must）」「実施に当たって考慮すべき事項（should）」「適合していることの証拠の例」の3層で構成されています。

5つのドメインは以下のとおりです。

この5つのドメインは、「内部監査とは何か（Ⅰ）」→「内部監査人がどう行動するか（Ⅱ）」→「内部監査部門をどう支えるか（Ⅲ）」→「内部監査部門をどう運営するか（Ⅳ）」→「個々の監査業務をどう実施するか（Ⅴ）」という論理的な流れで構成されており、全体を通して読むと内部監査という専門職の在り方が体系的に理解できる構造になっています。

ドメインⅠ：内部監査の目的

ドメインⅠは原則を持たず、GIASの基礎的な枠組みを定義する部分です。最も重要な変化は、内部監査の「目的」が新たに明文化されたことです。

GIASにおける内部監査の目的は、「独立した立場からリスクベースで客観的なアシュアランス、助言、インサイト（洞察）およびフォーサイト（予見）を提供することによって、組織体が価値を創造し、保全し、維持する能力を高めること」とされています。

ここで注目すべきは「フォーサイト」という概念の追加です。旧基準では、内部監査は主として「過去の事実と現在の状態の確認（アシュアランス）」を行う機能として位置づけられていました。GIASでは、「将来に向けたリスクの予見や洞察の提供（フォーサイト）」という前向きな機能が明示的に加わりました。これは、内部監査が単なる「監視者」から「組織の意思決定を支える戦略的パートナー」へと役割を拡張することを意味しています。

ドメインⅡ：倫理と専門職としての気質

5つの原則（原則1〜5）の内容

ドメインⅡには「誠実性の発揮（原則1）」「客観性の維持（原則2）」「専門的能力の発揮（原則3）」「専門職としての正当な注意の発揮（原則4）」「秘密の保持（原則5）」の5つの原則が定められています。

旧基準では「倫理綱要」として独立していた内容がGIASに統合されたことで、倫理規範が内部監査の基準そのものの中核として位置づけられることになりました。単に「倫理文書がある」という形式的な存在から、内部監査の日常的な実務行動の土台として倫理を機能させることが求められています。

特に実務上の影響が大きい変化のひとつが、「組織体内の倫理に関する期待事項と矛盾する行動を識別した場合、経営者や取締役会に報告する」という要求の明示です。内部監査人自身が倫理的に行動するだけでなく、組織全体の倫理的な行動に対して積極的に声を上げる役割が求められるようになっています。

現場でよく見られる状況として、コンプライアンス上の問題やコンダクト（役職員の行動）に関わるリスクを発見したが、「これは内部監査の範囲外ではないか」「経営陣との関係が難しくなるのではないか」という懸念から、報告を躊躇するケースがあります。GIASのこの要求事項は、そうした躊躇に対して「報告することが内部監査人の義務である」という明確な根拠を提供するものです。

「正当な注意の発揮」の実務的な意味

「専門職としての正当な注意の発揮（原則4）」は旧基準にも存在しましたが、GIASではその内容がより具体化されています。正当な注意とは、慎重で有能な内部監査人として期待される注意・スキル・判断力を発揮することを意味します。

実務で意識すべき点として、「デジタルテクノロジーを継続的に検討し、内部監査に効果的に活用すること」が正当な注意の一部として位置づけられるようになったことがあります。AIやデータ分析ツールが一般的になりつつある今、これらを活用しないまま従来の手法に固執することは、専門職として求められる「正当な注意」の観点からも問いが生じる可能性があるということです。

ドメインⅢ：内部監査部門に対するガバナンス

取締役会との関係が根本的に変わった

ドメインⅢは「取締役会による承認（原則6）」「独立した位置づけ（原則7）」「取締役会による監督（原則8）」の3原則で構成されています。このドメインは、GIASの改訂の中でも最も大きな変化が生じた領域のひとつであり、同時に日本企業が対応に苦労しやすい部分でもあります。

旧基準では、内部監査部門の独立性確保と報告ラインの整備が主な要求事項でした。GIASでは、これに加えて「取締役会が内部監査部門を積極的に監督すること」が明示的な要求事項として設けられています。具体的には、取締役会（または監査委員会・監査役会）が内部監査部門長と直接コミュニケーションを取り、内部監査に対する期待を伝え、業務の優先順位付けを支援することが求められています。

従来のモデルでは「内部監査部門が計画を立て、経営陣の承認を得て実施し、結果を報告する」という流れが一般的でした。GIASが求めるモデルでは、「取締役会が内部監査の方向性や優先事項を形成する議論に参加し、内部監査部門長が取締役会に直接アクセスできるチャネルを持つ」という関係性に変わります。

日本のガバナンス慣行における現実的な課題は、会社法上の機関設計（監査役設置会社・監査等委員会設置会社・指名委員会等設置会社）によってCAEと取締役会の関係のあり方が異なることです。指名委員会等設置会社では監査委員会が内部監査部門を監督する仕組みが整いやすい一方、監査役設置会社では内部監査部門が取締役会と直接対話する機会が少ない場合があります。GIASの要求を形式的にコピーするのではなく、自社の機関設計に応じた解釈と実装が求められます。

「負託事項」の明確化という新要件

ドメインⅢにはもうひとつ重要な要求事項があります。「内部監査の負託事項（Charter）」の明確化です。GIASでは、内部監査の負託事項に含めるべき事項が旧基準より具体的に規定されており、内部監査の目的・GIASへの準拠へのコミットメント・組織上の位置づけ・独立性の確保方法・報告ラインなどが明記されることが求められています。

現場でよくある問題として、「内部監査規程（またはチャーター）は10年前に作ったものがそのまま残っており、GIASどころか現在の業務実態にも合っていない」というケースがあります。GIASへの対応の第一歩として、自部門の内部監査規程を見直し、GIASの要求事項を反映した形に更新することは、比較的着手しやすい具体的なアクションのひとつです。

ドメインⅣ：内部監査部門の管理

「内部監査の戦略」という新しい概念

ドメインⅣは「戦略的な計画策定（原則9）」「監査資源の管理（原則10）」「効果的なコミュニケーション（原則11）」「品質の向上（原則12）」の4原則で構成されています。

このドメインで最も注目される変化が、「内部監査の戦略」に関する要求事項の新設です。GIASでは、内部監査部門長（CAE）が取締役会・最高経営責任者と協議のうえ、内部監査部門のビジョン・戦略目標・それを支える取り組みを文書化した「内部監査の戦略」を策定することが求められています。

ビジョンとは「今後3〜5年後の内部監査部門の目指すべき姿」を指し、戦略目標はそのビジョンを実現するための達成可能な目標です。これらは組織体の戦略・目標が変化した際に都度見直すことが求められており、内部監査が組織の方向性と常に整合していることを確保する仕組みです。

現場の実態を見ると、「毎年の監査計画（Annual Audit Plan）は策定しているが、3〜5年先を見据えた戦略的なビジョンを文書化したことがない」という部門は非常に多くあります。年次計画の策定と中長期戦略の策定は別物であり、後者はCAEが取締役会と積極的に対話しながら共同で設計するものとGIASは位置づけています。

実務上の取り組み方としては、まず「取締役会・経営陣が内部監査に何を期待しているか」を明文化することから始めることをお勧めします。期待を言語化できていない状態でビジョンを策定しても、組織の方向性と乖離したものになりかねません。取締役会や監査委員会との対話を通じて「期待の棚卸し」を行い、それを踏まえてビジョンを設定するプロセスが、GIASの意図する「戦略の共同設計」につながります。

品質のアシュアランスと改善のプログラム（QAIP）が必須義務に

ドメインⅣのもうひとつの重要な変化が、「品質のアシュアランスと改善のプログラム（QAIP：Quality Assurance and Improvement Program）」の必須義務化です。

旧基準でもQAIPは定められていましたが、GIASではすべての内部監査部門がQAIPを策定・実施することが「しなければならない（must）」という義務表現で明示されました。

QAIPは「継続的な監視」と「定期的な評価」の2つから構成されます。継続的な監視とは、日常的な内部監査業務の中で品質を継続的に確認することです。監査調書のレビュー、フィールドワーク中のスーパービジョン、発見事項の妥当性確認などがこれに当たります。定期的な評価には「内部評価（自己評価）」と「外部評価」があり、外部評価はGIASでは少なくとも5年に1回の実施が求められています。

現場でよく聞く困りごとのひとつが、「QAIPの仕組みを整えたいが、少人数の内部監査部門では自分たちで自分たちを評価することが難しい」という問題です。小規模な部門では、全員が監査業務を担っているため、品質管理専任のリソースを確保することが難しいケースがあります。こうした場合、「共同評価」——他の組織の内部監査部門と協力して相互に評価を行う手法——や、内部監査専門のコンサルタントによる外部評価の活用が現実的な選択肢となります。

ドメインⅤ：内部監査業務の実施

一連の監査プロセスがより詳細に規定された

ドメインⅤは「リスクベースの計画策定（原則13）」「内部監査業務の実施（原則14）」「結果の伝達とフォローアップ（原則15）」の3原則で構成されており、個々の監査業務の実施手順を網羅しています。

このドメインは旧基準に比べて実務上のガイダンスが大幅に充実しており、「監査手続書の作成方法」「データアナリティクスの活用方法」「アシュアランス業務とアドバイザリー業務の区別」など、日々の監査実務に直接関わる内容が詳述されています。

「実施に当たって考慮すべき事項」の項では、監査計画の立て方・リスクアセスメントの手順・サンプリングの考え方・インタビュー手法・監査調書の整備・報告書の作成まで、監査プロセスの一連の流れに沿った実践的なガイダンスが提供されています。「基準の条文だけではどう実装すればよいかわからない」という従来の悩みに対して、GIASはより具体的なヒントを提供しようとしています。

発見事項の重大性評価が義務化された実務への影響

ドメインⅤで最も実務への影響が大きい変化が、「発見事項の重大性評価の義務化」です。旧基準では発見事項の伝達は求められていましたが、その重大性を体系的に評価・判断するプロセスまでは明示的に要求されていませんでした。

GIASでは、内部監査人が個々の発見事項について以下を行うことが必須とされています。

• 根本原因の識別：なぜその問題が発生しているのかを特定する

• 潜在的な影響の判断：発見事項が組織に与える可能性のある影響を評価する

• 重大性の判定：問題の重大性を評価し、軽微・中程度・重大などの区分で判断する

さらに、個々の業務の結論には「発見事項を集めて評価した総合的な重大性の判断」を要約することも求められています。発見事項を列挙するだけでなく、「全体として、このプロセスの内部統制はどのような状態にあるか」という総合評価を報告書に含めることが必要になるわけです。

この要求への対応でよく見られる現場の反応が、「発見事項の格付けシステムを新たに設計する必要があるが、どのような基準で格付けするのかが難しい」というものです。重大性の判断基準には定型の正解があるわけではなく、組織の規模・業種・リスクプロファイルに合わせた基準を自部門で設計する必要があります。

実務的なアプローチとして、最初は「高・中・低」の三段階評価から始め、各段階に対応する具体的な判断基準（例：財務的影響の規模、発生頻度、コントロールの失効可能性、経営目標への影響）を文書化することをお勧めします。複雑な評価体系を最初から設計しようとすると判断が難しくなり、結局使われないまま終わることがあります。シンプルな基準から始めて、実際の運用を通じて徐々に精緻化していく方法が現実的です。

GIASへの対応：ギャップ分析から実装までの進め方

ギャップ分析の優先順位をどうつけるか

GIASには膨大な要求事項が含まれており、すべてを一度に対応しようとすると収拾がつかなくなります。対応を進めるうえで最初に行うべきは「ギャップ分析」——つまり「自部門の現状とGIASの要求との乖離を特定する作業」です。

ギャップ分析のアプローチとして、以下のステップが有効です。

ステップ1：GIASの要求事項を「must（必須）」と「should（考慮）」に分類する

GIASでは「must」と明記されている要求事項が確認すべき優先事項です。「should」は重要ですが、対応の優先度は組織の状況に応じて判断できます。

ステップ2：5つのドメインごとに現状を確認する

自部門の規程・プロセス・記録を確認し、ドメインごとに「充足」「部分的充足」「未充足」を仕分けします。特に旧基準に存在しなかった要求事項——内部監査の戦略、発見事項の重大性評価、取締役会との直接対話の仕組み——は「未充足」になりやすい項目です。

ステップ3：「未充足」項目を影響の大きさと対応の難易度で整理する

影響が大きく、かつ対応が比較的容易な項目から着手することが、限られたリソースを効果的に使うコツです。たとえば内部監査規程（チャーター）の更新は、比較的短期間で対応できる一方で、GIASへの適合を示す重要な文書として取締役会や監査委員会にも意義が伝わりやすいアクションです。

特に日本企業が対応に苦労しやすい3つの論点

GIASへの対応において、日本企業に特有の難しさが伴う論点が3つあります。

①取締役会との直接対話の設計

GIASはCAEと取締役会の直接対話を強く求めていますが、日本の多くの企業では内部監査部門の報告先は経営陣（CFO・社長）であり、取締役会・監査委員会との直接の対話の場が限られているケースがあります。機関設計の見直しを含む中長期的な課題として捉えつつ、まず監査委員会（または監査役）との定期的な情報共有の場を設けることから始めることが現実的なアプローチです。

②内部監査の戦略の策定

「3〜5年後のビジョン」を策定する文化・経験がない部門では、この作業が非常に難しく感じられます。大企業の経営計画策定部門が行うような精緻な戦略文書を最初から求める必要はなく、「今後3年間でこの3点を優先的に改善する」という方向性を示した簡潔な文書からスタートし、毎年の見直しを繰り返すことでブラッシュアップしていく方が持続可能です。

③QAIPの実質化

形式的なチェックリストを作ることはできても、「実際に監査品質が向上したかどうかを測定する」という実質的な評価が難しいという声はよく聞かれます。品質を測る指標（KPI）の設定——たとえば、発見事項1件あたりの監査工数、フォローアップでの是正完了率、被監査部門からの満足度スコアなど——を具体化し、毎年の推移を追うことで、QAIPが「文書で終わる」のを防ぎやすくなります。

金融機関向けの動向：金融庁のGIAS整合性確認

2025年6月、金融庁が設置した「金融機関の内部監査高度化に関する懇談会」が報告書を公表し、金融庁が従来示してきた「3つの論点」「段階別評価」がGIASの5つのドメイン・各原則と整合的であることが確認されました。金融機関の内部監査担当者にとっては、金融庁のモニタリングとGIASへの対応が相互に連動している実態を理解したうえで対応を進めることが重要です。

GIASと日本内部監査協会の「内部監査基準」との関係

二つの基準をどう使い分けるか

GIASが国際基準であるのに対し、日本内部監査協会が制定・公表している「内部監査基準」は日本独自の基準です。GIASを参照しながらも、日本の法令・企業文化・ガバナンス慣行を踏まえた内容が盛り込まれています。

両基準の使い分けの基本的な考え方は、「国際的な内部監査の専門職的実施の水準」を示す基準としてGIASを参照し、「日本の法的・慣行的文脈」に対応する際に日本内部監査協会の基準を補完的に活用するというものです。

例えば、会社法・金融商品取引法に基づく内部統制の評価に関連する実務については、日本内部監査協会の実務指針が実用的なガイダンスを提供しています。一方、グローバルに活動する企業で「国際基準への準拠」を対外的に示す必要がある場合や、CIA（公認内部監査人）資格との整合性を重視する場合には、GIASを中心に据えることが適切です。