内部監査基準改訂の背景および主な改訂点-その1

平成 26 年 6 月 1 日
一般社団法人日本内部監査協会

T 改訂の背景

内部監査基準の改訂は次のような背景を意識してである。


第1は、内部監査の法的環境の変化である。先ず、会社法(平成17年7月制定)で、企業

統治をめぐる各機関設計のあり方、業務の適正を確保するための体制、より高い透明性の要

請等々は、それらへの前提として内部監査が果たすべき役割への理解を強めた。

これとともに、金融商品取引法(平成19年5月改正)での平成20年4月1日以降開始する事業年度から

適用の内部統制報告書に対する公認会計士または監査法人による監査証明制度の行政的措置 は、

企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る

内部統制の評価及び監査に関する実施基準」における内部統制への知識を組織体およびその

集団に対し劇的に広めた。

また続いて金融商品取引法における法令違反等事実発見への公認

会計士または監査法人の対応に関する定めも内部監査での不正への対応に大きな影響を与えた。


これらから内部監査の実施環境は著しく変化した。


第2は、平成16年以降の組織体をめぐる多数の不祥事の露見である。近代内部監査は不正

の発見を目的として19世紀に実施されたことに始まる。その後の内部監査は不正・誤謬の発

見、そして不正・誤謬の発見目的の後退とそれらの発生防止目的への転換、さらには合理性

の評価を志向した業務監査、そして経営監査へと展開されてきた。

しかしながら、近年露見されている組織体の不祥事はこれまでの組織人の常識を覆すものであった。

ここに内部監査においても不正リスクの識別を再考し、それに対する制度的対応を考慮せざるを

得なくなってきた。


第3は、自由競争市場を前提とした組織体の活動は、激変する市場環境から絶えずビジネ

ス・リスクを識別し、それに適切に対応することが求められるにいたっている。

内部監査もローテーションで監査対象箇所を監査するといった方法ではなくて、リスクを識別し、高い

リスクのある個所を重点的に監査するのでなければ、組織体に役立つ内部監査とはされなく

なってくる可能性がある。


第4は、戦略の選択にともない識別されたリスクに迅速に対応した筋肉質の組織体である

ために、ガバナンス・プロセス、リスク・マネジメント、コントロールの体系的な内部監査

が求められる。この必要は、日本経済の沈滞期において、また、リーマン・ブラザースの破

綻、および平成23年東北地方太平洋沖地震にみられた自然災害等々への対応において直面し

たことである。


第5は、企業集団管理の高度化、生産拠点の海外への比重の増加、ITセキュリティの重

視、個人情報保護への関心の増大等々、およそ10年間における企業活動の変化は著しい。

内部監査はこれらに関しての問題点を先取りしてリスクを評価し、監査を実施しなければ

ならなかった。

ii
第6は、IIA「内部監査の専門職的実施の国際基準」(以下「国際基準」という)は内

部監査環境の変化や内部監査自体の進展を背景にして、平成16年の内部監査基準改訂以降数

次にわたり変更が行われてきている。これまで、我が国の内部監査基準への準拠は基本的に

は「国際基準」にも準拠していることになるように内部監査基準を改訂してきた。

これを踏襲し続けるために、「国際基準」における数次にわたる改訂箇所を我が国において

採用可能にして合理的と認められる限り尊重することが求められる。


U 主な改訂点

改訂された主な点は次のとおりである。

(1)  内部監査の独立性に関し、これまでは「組織上、原則として、最高経営者に直属し」

    とされていたが、これを「組織上、最高経営者に直属し、職務上取締役会から指示を受

    け」(2.2.1)とした。ガバナンスを重視する近年の外部環境を意識してのことである。

(2)  内部監査人の責任および権限について、従来、「組織体の基本規程として明らかにさ

   れなければならない。」とされていたが、これを「組織体の基本規程として明記されな

   ければならない。」(2.3.1)とし、内部監査部門長の責任として「当該基本規程を適時に

   見直し、最高経営者および取締役会の承認を得なければならない。」(2.3.2)とした。

   内部監査基本規程において内部監査人の責任および権限が明確にされ、常に適用可能であ

   るようにすることを求めた。

(3)  内部監査の品質管理は、これまでの内部監査基準においてもそれを実施することが求

   められていたが、定期的内部評価を「少なくとも年に1回、実施されなければならない。」

   (4.2.2)としたほか、外部評価についても、「5年ごとに実施されることとする。」を「少

   なくとも5年ごとに実施されなければならない。」(4.2.3)と改め、内部監査部門自体の

   リスクに対応するために、内部監査の品質を向上するための一方法として内部評価と外

   部評価の実施を求めることにした。

(4)  内部監査部門の運営に関し、監査対象箇所の量的増大とそれのより高い質的複雑化か

   ら、「中・長期基本方針」を策定することの重要性を認識し、「内部監査部門長は、組織

   体の中・長期計画に関連した内部監査部門の中・長期基本方針を策定し……」(5.1.2)、

   「最高経営者および取締役会の承認を受けなければならない。」(5.1.3)とした。

(5) 組織体の激変する運営環境に適応し、組織体のニーズにミートした内部監査を実施し、

   監査部門自体のリスクを軽減するために監査環境への弾力的適応が重視される。

   このために「内部監査部門長は、組織体内外の環境に重大な変化が生じた場合には、

   必要に応じリスク評価の結果を見直し、内部監査計画の変更を検討しなければならない。」(5.2.2)

   とした。

(6)  監査対象業務における専門的内容の精緻化とそれが組織体内において多岐にわたるこ

   とから、これらのすべてに内部監査人が適応することに限界がみられるようになり、そ

   れら業務に対する監査を外部に委託することが必要とされる場合が生じてきている。

   これまでの基準でもこれに関する定めをしていたが、責任範囲を明らかにしていなかった。

   そこで、「内部監査部門長は、内部監査業務を外部に委託する場合であっても、当該業

   務に責任を負わなければならない。」(5.6.1)と改訂した。


(7)  内部監査の対象範囲を、「組織体およびその集団に係るガバナンス・プロセス、リス

   ク・マネジメントおよびコントロールに関連するすべての経営諸活動」(6.0.1)として

   おり、前基準での「組織体内のすべての業務活動」に比して対象範囲が狭いように考え

   られるかもしれない。しかしながら、ガバナンス・プロセス、リスク・マネジメント、

   コントロールの評価に関連する活動は、組織体の業務活動のほとんどを網羅しており、

   組織体の集団管理を含めていることで内部監査の対象範囲は拡張されている。

   しかも、 ガバナンス・プロセスやリスク・マネジメント、コントロールが体系的に統合されて

   マ ネジメント・システムを形成していることを確かめることとしており、選択した戦略に

   基づき識別されたリスクが組織体およびその集団の末端にまで浸透しているかを対象と

   するようにしている。

   さらに、例えばサンプリング・リスクのような監査リスクを合理 的水準にまで抑制することが

   出来るまでの内部監査を実施することが求められている。 (6.0.1)

(8)  ガバナンス・プロセスでは、「組織体として対処すべき課題の把握と共有」「アカウン

   タビリティの確立」(6.1.1?@B)、「ITガバナンスの評価」(6.1.1?)が前基準に付け

   加えられている。

   ガバナンス・プロセスに関する事項は取締役会マターであり、それ自体を直接には

   内部監査で監査報告書に記載する意見形成の対象とはしないけれども、そ の事実を確認し、

   その評価結果をリスク・マネジメントおよびコントロールの内部監査 に関連付けることが

   必要とされる。

(9)  リスク・マネジメントでは、特に、内部監査人のリスク・マネジメントに対する評価

   責任範囲を明らかにするために、「組織体のリスクの受容水準に沿った適切な対応が選

   択されているか」(6.2.1?)、「識別されたリスクの情報が適時に組織体の必要と認めら

   れる箇所に伝達されているか」(6.2.1?)、「組織体が不正リスクをいかに識別し、適切

   に対応しているか」(6.2.1?)を前基準に追加して評価することを求め、リスク・マネ

   ジメントの「改善に貢献しなければならない。」(6.2.1)とした。

(10)  コントロールでは、先ず「内部監査人は、経営管理者が業務目標の達成度合いを評価

   するための基準を設定しているかどうかを確認しなければならない。」(6.3.1)として、

   コントロール手段の整備充実の程度を評価する基礎が存在することの確認を求めてい る。

   達成度合い評価のための基準はコントロール目標であり、監査では評価の規準とさ

   れることが多い。コントロールの今後の展開をすすめるうえでの基礎とされると理解さ れ、

    あえて強調している。

(11)  次に、コントロールは「組織体のガバナンス・プロセス、リスク・マネジメントに対

   応するように」(6.3.1?)と、ガバナンス・プロセス、リスク・マネジメントで識別さ

   れたリスクとの関連に注目しての評価を求めた。

(12) 「内部監査の実施」では、これまで内部監査基準での使用に抵抗感を持たれていた「監

   査証拠」の語を今回の改訂であえて用いた。

   これは内部監査の流れとしてアシュアラン スの機能が重視されていることによる。

   業務監査の実施にあたりアシュアランスをどの ように解すべきかをアドバイザリーの

   機能にも関連して理解を深めてゆくことが必要と される。(7.2.1)

(13) 「内部監査の報告とフォローアップ」において「内部監査人は、意見の表明にあたって、

   最高経営者、取締役会およびその他の利害関係者のニーズを考慮しなければならない。」

   (8.1.3)とした。これは、最高経営者および取締役会等の内部監査の利害関係者が組織

   体のために内部監査についてなにに注目しているかを斟酌すべきことを求めているので

   あって、それら利害関係者の要望に沿って内部監査人が公正不偏な判断を歪めるような

   ことを求めているのではない。


V 改訂作業の経過

  第1回委員会が開催されたのは平成24年10月22日であり、公開改訂草案をまとめた平成

  25年8月1日まで、初回を含め11回の委員会を開催した。今回の改訂では、特に、改訂草案
 
  を公開し意見を求める手順をとることとし、平成25年10月25日までの期限を設け、同年9

  月26日に意見を求めるための手続きをとった。その結果多数の会員をはじめ関係機関からご

  意見をいただくことが出来た。平成26年3月4日に最終委員会を開催し、お寄せいただいた

  ご意見に基づき、また改めて各委員からの意見を徴して最後の見直し作業を行った。

   (出典:www.iiajapan.com/pdf/guide/20140601_1.pdf

  コメント:内部監査の対象範囲を、「組織体およびその集団に係るガバナンス・プロセス、リス

       ク・マネジメントおよびコントロールに関連するすべての経営諸活動」(6.0.1)となっているが、

       それぞれの項目について、どのように内部監査するのか、未だイメージが湧きません。

       今回の改訂では、(8)(9)(10)が目玉のようです。  (2015.06.18)