第13回　CIA（公認内部監査人）

「内部監査人としてどう考え，どう行動するか」を念頭に勉強，経験不足補う

2008.02.07

　「CIA（Certified Internal Auditor，公認内部監査人）」は，最近注目を集めている資格の一つだ。

　「日本版SOX法」と言われる「金融商品取引法」の施行により，2009年3月期から上場企業やその連結子会社などは「内部統制報告書」を提出することが義務付けられた。つまり，内部統制をしっかりやらなくてはいけなくなった。

　内部統制をしっかりやっているかどうかは，外部監査人つまり監査法人が最終的に監査してジャッジすることになるが，その前段階として，社内でも監査をしておかなければならないことは言うまでもない。そこで「内部監査人」という専門職にスポットライトが当たってきた。

IT部門の担当者が内部監査人として活躍することも

　内部監査とは，企業が外部監査の前に行う内部チェックのことである。「ISO9001（品質マネジメントシステム）」，「ISO14001（環境マネジメントシステム）」，「ISO20000（ITサービスマネジメントシステム）」，「ISO27001（情報セキュリティマネジメントシステム）」，「JISQ15001（プライバシーマーク）」でも，審査機関の審査を受ける前に内部監査を行うことが認証取得の条件になっている。

　日本は経営者の力が強く，最近の耐震強度の偽装や食品偽装に見られるように，内部統制がない，やりたい放題の会社は，大企業であっても少なくない。こうした中，社内の中立的な部門である内部監査部門による内部監査の必要性は，ますます高まっている。

　内部監査部門は，製造部門や販売部門のように直接収益をもたらすわけではなく，経理部門や人事部門のように仕事の内容が分かりやすいわけでもない。このため，これまでは認知度も低く，比較的地味な部門だった。結果として軽視され，専門家も育たなかった。だが現在では，日本版SOX法への対応，内部統制に関するアドバイス，コンプライアンス，コーポレートガバナンス，業務プロセス改善に関するアドバイスなど内部監査部門が担う仕事は増えており，認知度も高まりつつある。それに伴い，内部監査人としてのスキルを認定するCIAへの注目度も上がってきた。

　近年の業務処理は情報システムなしには語れない反面，内部監査部門などの管理部門のITスキルには限界がある。そこで最近では，IT部門の担当者がCIA資格を取得して内部監査の知識を身につけたうえで内部監査部門に異動し，情報セキュリティ監査やシステム監査もできる，新しい時代の内部監査人として活躍している例が少なくない。

　監査法人系のコンサルティング会社でも，CIAを取得するコンサルタントが増えている。内部統制の評価や内部統制整備のコンサルティング，アウトソーシング，ビジネスリスクの評価，リスク管理コンサルティング，情報セキュリティや個人情報保護に関するコンサルティングなどで，このCIAの知識が非常に役に立つためだ。

自信がないまま試験当日を迎える

　私は，上場を目指している企業でシステム監査や内部監査を実施した経験がある。「国際的な監査基準やフレームワークに基づいて」というレベルではないが，自分なりに勉強し，監査したつもりである。

　この経験から，CISA（Certified Information Systems Auditor，公認情報システム監査人）やCIAには以前から興味を持っていた。CISA試験に関しては，2007年2月に無事合格することができた（（関連記事）。そして，CISA試験に合格した後，すぐにCIA資格の取得を目指すことを決断した。

　CIAは，次の4つの試験科目（Part）から成る。

PartI：ガバナンス，リスク，コントロールにおける内部監査の役割（The Internal Audit Activity's Role in Governance, Risk, and Control）
PartII：内部監査の実施（Conducting the Internal Audit Engagement）
PartIII：ビジネス分析と情報技術（Business Analysis and Information Technology）
PartIV：ビジネス・マネジメント・スキル（Business Management Skills）

　問題は世界共通であり，各Partとも出題数は125問で試験時間は3時間30分。試験方式は択一式のマークシート方式だ（2008年5月から100問，2時間45分のCBT＝Computer Based Testingに移行する）。試験の得点は250～750ポイントのスケールドスコアに換算され，各Partとも合格ラインは600ポイント以上となっている。全Partに合格したうえで（1）教育要件（4年生大学卒業など），（2）CIAなどの資格保持者の推薦，（3）実務経験（内部監査，監査役監査・公認会計士監査，財務・法務のいずれかの実務経験を2年以上など）があれば，CIA資格の認定を受けられる。

　なおPartIVについては，CFSA（公認金融監査人），公認会計士，CISAなどの資格保持者は免除となる。私はCISA試験には合格していたが，合格から資格認定までに時間がかかるため，2007年5月のCIA試験には間に合わず，全Partを受験することとなった。

　まず，CIAの資格試験指導校であるU.S.エデュケーション･ネットワークの社長が執筆した「CIA試験重要ポイント＆問題集」（日本能率協会マネジメントセンター）を購入し，CIA試験の全体像をチェックした。専門的な資格なので，情報は少ない。従って資格試験指導校の情報は貴重である。

　市販の教材としては，日本内部監査協会の「専門職的実施のフレームワーク」と「CIA試験参考問題集2004」しかないため，この2冊を日本内部監査協会から直接購入。前者は監査基準を理解するために熟読し，後者は知識の確認のために繰り返し解いた。ただし，内部監査が日本ではそれほど定着していないこともあり，そもそも内部監査人にどんな知識が必要なのか，何をどうすればいいのかが，なかなか見えてこなかった。翻訳本なので，内容もすんなりとは頭に入ってこない。過去問を完全に消化していれば自信もつくのだが，私が解いたのは各Part100問だけ（「CIA試験参考問題集2004」は各Partとも100問のみで構成されている）。自信がないまま，試験当日を迎えることとなった。