内部監査の仕事は、計画の策定から監査終了後のフォローアップまで多岐にわたります。

本記事では、内部監査人協会（IIA）が2024年に公表した「グローバル内部監査基準」にあるドメインⅤ「内部監査業務の実施」をもとに、内部監査の仕事について解説していきます。

内部監査の仕事内容を詳しく知りたいという方は、ぜひ最後までお読みください。

参照：内部監査人協会（IIA）「グローバル内部監査基準™︎」

目次
「内部監査業務の実施」の3原則
内部監査の仕事（１）内部監査業務の効果的な計画の策定
内部監査の仕事（２）内部監査業務の実施
内部監査の仕事（３）コミュニケーションと改善計画のモニタリング
内部監査の仕事は計画からフォローアップまで正しい手続きが必要

グローバル内部監査基準のドメインⅤ「内部監査業務の実施」には、以下の3つの原則が掲げられています。

• 個々の内部監査業務の計画の効果的な策定
• 個々の内部監査業務の業務を実施
• 個々の内部監査業務の結論のコミュニケーションおよび改善措置の計画のモニタリング

ここからは各原則を紹介する形で、内部監査の仕事を詳しく解説していきます。

まずは無料の説明会にご参加ください。

この原則では、内部監査業務の効果的な計画の策定に関する内容が示されており、6つの基準が設定されています。

内部監査人はこれらの内容を理解したうえで、体系的かつ専門職として正しい方法で計画を策定しなければなりません。

1つずつ詳細を見ていきましょう。

内部監査人は、監査の実施中は監査の関係者であるステークホルダーに対し、効果的なコミュニケーションを図る必要があります。

また、内部監査の目標、範囲や時期についても経営管理者とコミュニケーションをとる必要があります。もし、監査結果への合意が得られなかった場合、問題の相互理解に達するよう努めなければなりません。

なお、内部監査人のコミュニケーションについては以下の記事でも詳しく解説しています。

関連記事：アビタス CIA「内部監査部門の管理の4原則とは？内部監査の計画などの基準を解説」

リスクの評価を進めるにあたり、まずは以下のような情報を収集します。

• 監査対象となる企業の経営目標や戦略とリスク
• 企業のリスクに対する許容レベル
• 内部監査計画を裏付けるリスク評価
• 監査対象の業務に関するガバナンス、リスクマネジメント、コントロールの各プロセス
• 各プロセスを評価するために用いるフレームワークやガイダンス、規準

収集した情報については、レビューを行います。その際にはレビューすべきリスクを識別することも忘れてはなりません。例えば、リスクの重大性を評価し、評価の優先順位をつけることも識別のための方法の1つです。

内部監査業務ごとに目標および範囲を策定し、文書化しなければなりません。記載すべき内容としては以下のものが挙げられます。

項目	記載すべき内容
目標	● 内部監査業務の目的 ● 達成すべき具体的なゴール
範囲	個々の内部監査業務の対象における以下などの内容 ● 活動 ● 場所 ● プロセス ● システム ● 構成要素 ● 期間

範囲に関して、人員などの資源、情報へのアクセスなどへの制約が発見された場合には、解決に向けて経営管理者と協議しなければなりません。

なお、記載内容は業務の進捗状況によって変更しなければならない場合があります。その際に柔軟に対応することも大切です。

内部監査人は、内部監査業務の目的や範囲の評価について、適切な評価規準を判別しなければなりません。また、取締役会と最高経営者が適切な評価規準を確立しているかについての評価も行います。

適切な評価規準が確立されている場合は、その評価規準で監査対象となる業務の評価を進めます。不適切な場合は、取締役会や最高経営者とともに、適切な評価規準を策定するための協議を行わなければなりません。

監査業務に必要な監査資源の把握も重要です。監査資源を把握するためには、監査業務の内容やその複雑さ、完了させるまでの期間などについて留意します。

また、入手できる監査資源が、目標達成のために適切かつ十分であるかも確認しましょう。

適切でない、もしくは不十分な場合は、監査資源を確保するために内部監査部門長と協議を進めます。

監査資源については以下の記事でも解説しています。

関連記事：アビタス CIA「内部監査部門の独立性やガバナンスとは？ 取締役会・最高経営者の役割も解説」

つづいて、計画策定時に収集した情報をもとに監査プログラムの作成・文書化を進めます。その際には、以下の事項を識別する必要があります。

• 個々の内部監査業務の目標の評価に必要な規準や、目標達成に必要な作業
• 業務に用いる分析手続き、実施するための手法（ツールを含む）
• 作業実施の担当者となる内部監査人

なお、完成した監査プログラムは内部監査部門長に提出し、評価を受けます。

内部監査部門長は、業務の実施前のみならず、その後において生じた変更の際にも、迅速に確認を行い、承認を進めなければなりません。

つづいて、承認を受けた監査プログラムの実施を進めます。

ここでは、本原則における6つの基準を1つずつ見ていきましょう。

まず、以下の要素を含む情報を収集します。

要素	詳細
関連性がある	内部監査業務の目標・範囲に合致しており、目的の達成に役立つ
信頼できる	事実に基づいており、最新である
十分である	内部監査人が分析を実施し、評価を完了することを可能にする

これらの情報収集は、監査の対象となる業務を分析し、評価を実施するために欠かせません。

情報に関連性があり信頼できるかどうか、監査における発見事項や結論を導くために十分に足りているかどうかは、内部監査人が自ら評価します。足りていない場合は、追加の情報を収集すべきかを判断しなければなりません。

また、関連性のある情報を収集できなかった場合、その旨を発見事項として認識するかどうかも判断する必要があります。

次に、収集した情報の分析を行います。この情報分析は、評価規準と監査対象となる業務の現在の状態との差異の有無を判断するために行わなければなりません。

差異が生じている場合は、内部監査業務の潜在的な発見事項が存在しているため、より注意した評価が求められます。

もし、潜在的な発見事項を実証する十分な情報（証拠）が入手できなかった場合は、追加の分析の要否を判断する必要があります。追加の分析を行う場合は、監査プログラムの調整を行い、内部監査部門長の承認を得なければなりません。

監査で導き出した潜在的な発見事項に対し、リスク発生の可能性や影響を考慮しつつ、それぞれの重大性を評価するために、内部監査人は経営管理者と協力しなければなりません。

重大性のあるリスクは文書として記録し、発見事項として伝える必要があります。また、判断した重大性をもとに発見事項に対し1つずつ優先順位をつけなければなりません。

優先順位をつける際には、内部監査部門長が確立した手法を用いる必要があることも覚えておきましょう。

監査終了後は、その監査結果を踏まえ、改善するための提言の作成か、経営管理者に対する改善措置計画の要請を行うか、いずれかを決定しなければなりません。

ただし、経営管理者と協力し、「評価規準と監査対象業務の状況の差異を解消する」「発見事項の根本的な原因の改善を図る」といった対応で合意する場合もあります。

内部監査結果について合意とならなかった場合、内部監査人と経営管理者はそれぞれの立場と根拠を提示し、解決策に向けて確立された手法をとる必要があります。

次に、掲げた目標を踏まえたうえで内部監査結果を作成します。

結論には、内部監査人の専門職としての評価や判断を要約する必要があります。

アシュアランス業務の結論を文書化する場合、監査対象となる業務のガバナンスやリスクマネジメント、コントロールにおけるプロセスの有効性について評価し、記載します。

個々の内部監査業務の結果を裏付ける情報や証拠について、文書化しなければなりません。

また、内部監査業務の分析や評価は、同様の作業を再現し、同じ結果を導き出せる内容に文書化することも求められます。

文書化された記録は「正確性」「関連性」「完全性」の観点から内部監査人や内部監査業務の監督者が評価を行います。また、内部監査部門長による評価および承認も得なければなりません。

内部監査は、結果を文書化すれば完了というわけではありません。

内部監査の仕事には、最後の原則でもある「個々の内部監査業務の結論のコミュニケーションおよび改善措置の計画のモニタリング」が含まれています。

ここでは、本原則における2つの基準を見ていきましょう。

内部監査人は、個々の内部監査業務について、関係者間で最終的なコミュニケーションを取る必要があります。その際には、以下のような内容を含めるようにしましょう。

• 目標
• 範囲
• 改善のための提言、もしくは改善措置計画
• 結論

なお、アシュアランス業務における最終的なコミュニケーションには以下の内容を含めなければなりません。

• 発見事項およびその重大性、優先順位づけ
• 制約がある範囲についての説明
• 監査対象業務のガバナンス、リスクマネジメントおよびコントロールの各プロセスの有効性に関する結論

また、最終的なコミュニケーションには、発見事項への対応に責任を負う個人、および改善措置を完了すべき予定を明記しなければなりません。

内部監査人は、改善のための提言や改善措置の計画が、以下のような確立された方法に従って実施されていることを確認しなければなりません。

• 改善計画の実施状況の照会
• リスク・ベースの方法を活用したフォローアップ評価の実施
• 管理システム上における改善状況の更新

これらの確認手続きは、発見事項の重大性を考慮して行わなければなりません。

進捗状況が芳しくない場合、経営管理者とのヒアリング結果を文書化したうえで、内部監査部門長との協議を行う必要があります。

ここまで、内部監査の仕事内容について、「グローバル内部監査基準」のドメインⅤをもとに解説していきました。

内部監査の仕事を遂行するためには、計画からフォローアップまで正しい手続きが必要になります。また、情報の収集や洗い出しなどを含めて、高い専門知識が求められます。

内部監査についての専門知識を習得するためには、CIA（公認内部監査人）の資格取得も検討しましょう。合格を目指す学習を進めることで、内部監査に関する幅広い知識を得られ、実務でも役立つことが期待できます。

アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さを求めています。

講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。

また通学・通信を併用できるコースや、スキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。

CIAをはじめとする内部監査の資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。