内部監査とは？内部統制監査との違い・実施手順・IT活用による効率化を解説

企業の成長とコンプライアンスの両立が求められる現代において、内部監査の重要性は企業規模を問わず高まり続けています。

初めて内部監査を担当する管理部門の方や、上場準備・管理体制強化を担うCFO・管理本部長の中には、「内部監査と内部統制監査の違いは何か」「具体的にどう進めればよいか」と悩まれている方も多いでしょう。

特に専任の監査部門がない企業では、総務・経理などが通常業務と兼任で監査を行うケースが多く、ノウハウ不足・業務負荷の増大・属人化が深刻な課題となっています。

本記事では、内部監査の基本概念から「内部統制監査」との違い、実務に即した実施手順までをわかりやすく解説します。あわせて、IT監査・IT統制のポイントや、GRCツールを活用した監査業務の効率化・高度化アプローチも紹介します。

限られたリソースで最大限のガバナンス効果を発揮するための第一歩として、ぜひお役立てください。

内部監査とは？目的と役割をわかりやすく解説

内部監査の定義と4つの目的

内部監査とは、企業自らが組織内部に独立した評価担当者（内部監査人）を置き、社内の業務プロセスやリスク管理、内部統制の仕組みが正しく機能しているかを客観的に調査・評価し、経営陣に対して改善の助言を行う活動です。

内部監査を実施する目的は、単に「社内の不正を見つけて罰する」ことではありません。組織の目標達成を阻害するリスクを未然に防ぎ、企業の価値を高めることが本質的な役割です。具体的には、以下の「4つの目的」を達成するために行われます。

1. 業務の有効性及び効率性の向上
   • 日々の業務において、人員、資金、情報といった経営資源が無駄なく効果的に使われているかを評価します。非効率な承認フローや重複している作業を洗い出し、生産性向上につながる改善を促します。
2. 財務報告の信頼性の確保
   • 決算書などの財務情報が適正に作成されているか、重大な虚偽記載や計算ミスを引き起こすプロセスがないかを確認します。
3. 事業活動に関わる法令等の遵守（コンプライアンス）
   • 労働関連法、下請法、個人情報保護法などの各種法令や、社内で定めた規程・マニュアルに沿って業務が行われているかをチェックし、企業の社会的信用の失墜を防ぎます。
4. 資産の保全
   • 現金、在庫、固定資産、さらには顧客情報や知的財産といった企業の重要資産が、不正な持ち出しや紛失から守られ、正当な手続きで管理されているかを確認します。

外部監査・監査役監査（三様監査）との関係性

企業が行う監査には、大きく分けて「内部監査」「監査役監査」「外部監査」の3つがあり、これらは総称して「三様監査」と呼ばれます。それぞれの役割と関係性を整理しておきましょう。

• 内部監査
  • 経営陣の直轄、あるいは経営陣から独立した社内の監査部門（または専任担当者）が実施します。業務全般を対象とし、不正防止だけでなく業務改善提案（アドバイザリー機能）まで広く担うのが特徴です。
• 監査役監査
  • 株主総会で選任された「監査役」が実施します。経営の監視役として、取締役が法令や定款に違反する行為をしていないか（職務執行の適法性）を監査します。株主の負託を受けて行われる点が内部監査と異なります。
• 外部監査（会計監査）
  • 公認会計士や監査法人といった「第三者（外部の専門家）」が実施します。主に会社法や金融商品取引法に基づき、企業の作成した財務諸表（決算書）が適正であるかについて独立した立場から意見を表明します。

これら3つの監査は、互いに情報を共有し連携すること（三様監査の連携）で、企業全体のガバナンスをより強固なものにすることができます。

「内部監査」と「内部統制監査」の違い

内部監査の担当者が最も混同しやすいのが「内部統制」「内部監査」「内部統制監査」の3つの言葉です。これらは密接に関わっていますが、意味合いが全く異なります。

内部統制とは？

内部統制とは、企業が事業目的を達成するために社内に設ける「ルールや業務プロセス（仕組み）」のことです。

例えば、「経費精算は必ず上長の承認を得る」「システムにログインする際は二要素認証を必須とする」「在庫管理と発注業務の担当者を分ける（職務分掌）」といったルールはすべて内部統制の一部です。

実施主体と目的の違いを整理

この内部統制という「仕組み」に対して、誰がどのような目的でチェックを行うかによって呼び名が変わります。

簡単に言えば、「自社で決めたルール（内部統制）を、社員がちゃんと守っているか、ルール自体に無駄がないかを社内で点検する」のが『内部監査』であり、「財務情報に嘘がないようルールが機能していることを、外部のプロが国や投資家に向けてお墨付きを与える」のが『内部統制監査』です。

上場準備中の企業や上場企業では、監査法人の厳しい内部統制監査をクリアするために、まずは自社の内部監査部門がしっかりと機能し、事前の予行演習と改善（内部統制の評価・整備）を行っておくことが不可欠となります。

内部統制の構成要素や業務体制構築の実践方法については『内部統制とは？目的・構成要素から業務体制構築の実践ステップまでを徹底解説』で詳しく解説しています。

内部監査の具体的な実施手順（やり方）

内部監査を実際に進めるにあたっては、場当たり的なチェックではなく、体系立てられたプロセスを踏むことが求められます。ここでは、標準的な5つのステップと実務上のポイントを解説します。

1. 内部監査計画の策定

まずは、年間あるいは半期ごとの「内部監査計画」を立てます。会社のすべての部署・業務をくまなく監査するのはリソース的に不可能です。

そこで、過去の不祥事事例、最近の事業環境の変化、売上規模、業務の複雑さなどを考慮し、「どこに大きなリスクが潜んでいるか」を評価（リスクアセスメント）し、優先順位をつけて監査対象を選定します。これを「リスクアプローチ」と呼びます。

• 実務のポイント
  • 経営課題とリンクさせることが重要です。例えば、新規事業を立ち上げた直後の部署や、M&Aで統合したばかりの子会社などは、業務プロセスが未成熟でリスクが高いため、優先的な監査対象となります。

2. 予備調査

監査対象部門が決まったら、いきなり現場に乗り込むのではなく、事前の情報収集（予備調査）を行います。対象部門の業務マニュアル、規程類、過去の監査結果、組織図、主要なシステムの仕様書などを収集し、業務の流れを把握します。

この段階で、「どこで不正が起きやすいか」「どの書類を確認すべきか」の仮説を立て、具体的な「監査チェックリスト（監査手続書）」を作成します。

• 実務のポイント
  • 対象部門に事前にアンケートを実施し、自己評価を行ってもらうことも有効です。現場と監査側の認識のズレをあらかじめ把握しておくことで、本調査を効率的に進められます。

3. 本調査（実地監査）

作成したチェックリストに基づき、対象部門に対して実際の監査を行います。本調査の主な手法には以下の3つがあります。

• ヒアリング（質問）
  • 現場の担当者や責任者に業務の手順や課題を直接ヒアリングします。
• 閲覧（文書査閲）
  • 請求書、領収書、契約書、稟議書などの証拠書類（監査証跡）を確認し、規程通りに承認・処理されているかを確認します。
• 観察
  • 実際の業務現場（工場、倉庫、店舗など）に赴き、作業手順やセキュリティ状況（例：パスワードの貼付がないか、重要書類が放置されていないか）を直接目視します。
• 実務のポイント
  • 兼任担当者の場合、他部署にヒアリングに行くのは気が引けるかもしれませんが、内部監査は「アラ探し」ではなく「業務改善のサポート」であることを事前にアナウンスし、協力的な雰囲気を作ることが成功の鍵です。

4. 監査結果の分析・評価と報告書の作成

本調査で収集した証跡やヒアリング結果を持ち帰り、社内規程や法令との乖離（不適合・指摘事項）がないかを分析します。

問題点が発見された場合は、その「原因」は何か、どのような「リスク」が生じるか、そしてどうすれば解決できるかの「改善提案」をセットにして「内部監査報告書」にまとめます。

作成した報告書は、まずは監査対象部門の責任者と事実確認（講評会）を行い、その後、経営陣（社長や取締役会）へ正式に報告します。

5. フォローアップ（改善状況の確認）

監査報告書を出して終わりではありません。指摘した事項について、対象部門がいつまでに、どのように改善するのかの「改善計画書」を提出させます。

そして、期日が到来した際に、本当に改善策が実行され、リスクが低減されたかを確認（フォローアップ監査）します。このPDCAサイクルを回すことで、初めて内部統制は強化されていきます。

内部監査で確認すべき具体的な項目例

内部監査の対象領域は多岐にわたりますが、実務でよく設定される主要な監査テーマと、具体的なチェックポイントの例を紹介します。

業務監査のチェックポイント

現場の業務手順が効率的かつルール通りに行われているかを確認します。

• 購買・発注管理
  • 特定の取引先に発注が偏っていないか（癒着のリスク）、相見積もりは取得しているか、発注者と検収者が別々の人物になっているか。
• 在庫管理
  • 帳簿上の在庫数と実地棚卸の数字が一致しているか、滞留在庫や不良在庫の廃棄ルールは守られているか。

会計監査のチェックポイント

社内の経理処理や資金管理が適正に行われているかを確認します。

• 経費精算
  • 領収書の使い回しや架空計上はないか、交際費の規定上限を超えていないか、精算の承認ルートは適切か。
• 資金管理
  • 現金出納帳の残高と実際の現金有高が一致しているか、インターネットバンキングの送金権限（承認者と振込担当者）は分離されているか。

コンプライアンス監査のチェックポイント

法令や社会規範から逸脱するリスクがないかを確認します。

• 人事・労務管理
  • 36協定の上限を超えた違法な長時間労働はないか、ハラスメント防止のための相談窓口は機能しているか。
• 情報管理
  • 個人情報や機密情報の保管ルールは守られているか、退職者のシステムアクセス権限は速やかに削除されているか。

近年重要性が増す「IT監査」と「IT統制」

現代の企業活動において、情報システムを利用せずに完結する業務はほぼ存在しません。そのため、従来の紙や人間によるプロセスを中心とした監査に加え、システムそのものの信頼性やセキュリティを評価する「IT監査」への対応が急務となっています。

上場を目指す企業が対応するJ-SOX（内部統制報告制度）においても、IT統制の評価は避けて通れない最重要課題の一つです。

IT全般統制（ITGC）とIT業務処理統制（ITAC）

IT監査において評価すべきIT統制は、大きく2つの階層に分けられます。

IT全般統制（IT General Controls: ITGC）

複数のシステムに共通する、IT基盤全体の管理ルールです。これが崩れると、すべてのシステムの信頼性が揺らぎます。

• アクセス管理
  • 強固なパスワードポリシー（MFA：多要素認証の導入など）、異動・退職時の速やかな権限変更、特権ID（管理者権限）の厳格な貸出・ログ監視。
• システム変更管理
  • システムを改修する際、テスト環境での検証と適切な承認を経て本番環境にリリースされているか。
• 運用・保守・バックアップ
  • 定期的なデータのバックアップとリストア（復旧）テストが実施されているか。サイバー攻撃や災害時の事業継続計画（BCP）はあるか。

IT業務処理統制（IT Application Controls: ITAC）

特定の業務システム（会計システム、販売管理システム、人事システムなど）の中に組み込まれた、データ処理の正確性を担保する機能のことです。

• 入力情報の統制
  • 必須項目が空欄だとエラーになる、異常な金額（例：交通費精算で100万円）を入力するとアラートが出る機能。
• マスタデータ管理
  • 取引先マスタや社員マスタの変更権限が特定部門（経理や人事）に限定されているか。

システムログを活用した効率的・客観的な監査手法

IT監査の強みは、「システム上に残るデジタルな証拠（ログ）」を活用できる点です。

従来の監査では、承認者が本当に確認したかを知るために「紙に押されたハンコ」を確認していましたが、これでは日付の遡及や代理捺印のリスクがありました。

ITシステム上でのワークフローを活用すれば、「誰が、いつ、どのIPアドレスから承認ボタンを押したか」というタイムスタンプ付きのシステムログが残ります。内部監査人は、これら改ざんが極めて困難な電子記録をサンプリング抽出して確認することで、監査の客観性と精度を飛躍的に高めることができます。

しかし、専任部署を持たない企業においては、内部監査担当者が高度なIT知識を保有していないことも多く、IT監査の領域に踏み込めないケースが多々あります。その結果、形ばかりのヒアリングに終始し、深刻なセキュリティリスクや権限の乱用が見過ごされてしまう危険性があるのです。

内部監査における実務上の課題（Excel・紙運用の限界）

ここまで内部監査の理想的な手順とIT監査の重要性について解説してきましたが、多くの企業の現場では、理想と現実のギャップに苦しんでいます。特に「管理部門の兼任担当者」が、「ExcelとWord、そして紙の証跡」を駆使して監査を行っている場合、以下のような限界に直面します。

1. リソース不足と監査業務の属人化

総務や経理の日常業務をこなしながら、年に数回の内部監査プロセス（計画策定、証跡の収集、ヒアリング、報告書作成）を回すのは至難の業です。限られた時間の中で監査を行うため、前年と同じチェックリストを使い回す「形骸化した監査」になりがちです。

また、「どの部署の誰に、どの書類をもらえばよいか」といったノウハウが担当者の頭の中にしかなく、強烈な属人化を引き起こします。

2. Excel管理によるカオスと証跡収集の手間

監査計画書、チェックリスト、指摘事項の管理台帳などを複数のExcelファイルで管理していると、「どれが最新のファイルか分からない（先祖返り）」「別の人が開いていて編集できない」「マクロや関数が壊れた」といったトラブルが日常茶飯事になります。

さらに、現場部門から提出される証跡（PDFの領収書やキャプチャ画像）は、メールに添付されたり、ファイルサーバーの様々な階層に散在したりするため、「あの時のエビデンスが見つからない」と過去のメールやフォルダを延々と探し回る非生産的な作業が発生します。

3. リアルタイム性の欠如（事後対応の限界）

アナログな監査手法では、監査を実施した「その時点」でのスナップショットしか評価できません。年に1回、現場に行ってヒアリングした時だけルールが守られているように見繕い、普段はルールを逸脱しているという実態を見抜くことは困難です。

リスクが顕在化してから数ヶ月後の監査でようやく発覚するという「事後対応」にしかならず、内部統制の目的である「リスクの未然防止」が果たせません。

これらの課題を放置したまま、経営陣から「来期はJ-SOX対応に向けてIT統制の監査も強化してほしい」と要求されても、現場の兼任担当者は完全にパンクしてしまいます。

GRCツールの導入による内部監査の効率化と高度化

Excelや紙ベースの限界を突破し、少人数（あるいは兼任）の担当者でも効果的かつ網羅的な内部監査を実施するための強力なソリューションが、GRCツール（ガバナンス・リスク・コンプライアンス管理ツール）の導入です。

GRC（ガバナンス・リスク・コンプライアンス）とは？

GRCとは、企業の「ガバナンス（企業統治）」「リスクマネジメント（リスク管理）」「コンプライアンス（法令遵守）」の3つの領域を、サイロ化（縦割り）させずに統合的に管理しようとする考え方です。

この概念をシステムに落とし込んだGRCツール（内部監査システム）を導入することで、これまでバラバラのExcelファイルやメールで行っていた監査プロセスを一つのプラットフォーム上に統合できます。

内部監査システム導入の具体的なメリット

監査プロセス・調書の標準化（属人化からの脱却）

ツール内には業界標準の監査フレームワークやチェックリストのテンプレートがあらかじめ組み込まれています。誰が担当しても一定水準の監査が可能になり、担当者の異動時も過去の履歴（誰が、何を指摘し、どう改善されたか）がシステム上に残るため引き継ぎが極めてスムーズになります。

証跡の一元管理とペーパーレス化（工数削減）

現場部門への調査票の送付や証跡ファイルの提出依頼をシステム上で行うことができます。提出された証跡データは、チェック項目と紐付いた形でクラウド上に安全に保管されるため、ファイル探しに奔走する時間はゼロになります。

進捗の可視化と自動リマインド

「どの部署の監査がどこまで進んでいるか」「指摘事項の改善計画が提出されているか」をダッシュボードで一目で把握できます。また、期限が近づくとシステムが自動で現場部門にリマインドメールを送信してくれるため、監査担当者が催促に駆け回る心理的・物理的負担が激減します。

IT監査・J-SOX対応の強力な支援

内部統制報告制度（J-SOX）で求められる膨大な文書作成（3点セット：業務記述書、フローチャート、リスクコントロールマトリクス）の作成・更新を支援する機能を備えたツールも多く、監査法人による外部監査の際にも、ツール上のデータをそのまま開示するだけでスムーズに対応できます。

J-SOX法完全ガイドでは、3勘定・PLCの定義から監査プロセス、工数削減のやり方を詳細に解説しています。

内部統制の盲点：委託先・外部ベンダーのリスク管理

GRCツールが解決する課題は、自社の内部プロセスだけではありません。システム開発・運用保守・バックオフィス業務の一部を外部ベンダーに委託している企業では、委託先の情報セキュリティ体制やコンプライアンス状況も内部統制の管理対象となります。

特にJ-SOX対応を進める上場企業・上場準備企業では、主要な外部委託先のIT統制や個人情報の取り扱いが自社の内部統制評価に影響するケースがあり、委託先への定期的なリスク確認が欠かせません。

ところが多くの企業では、委託先へのセキュリティチェックシートの配布・回答収集・内容確認がメールとExcelで属人管理されており、「期限を過ぎても回答が来ていない先がある」「誰が最後に確認したか分からない」という状況が常態化しています。

VendorTrustLink（ベンダートラストリンク）は、こうした委託先リスク管理の属人化を解消するために特化したクラウド型サービスです。

チェックシートの配布から回答・確認・継続モニタリングまでを自動化し、内部監査担当者が委託先全体のリスク状況を一元的に可視化・管理できる環境を提供します。

よくある質問（FAQ）

Q. 内部監査は法律で実施が義務付けられていますか？

A. すべての企業に義務付けられているわけではありません。しかし、金融商品取引法が適用される「上場企業」においては、内部統制報告制度（J-SOX）への対応の一環として、実質的に内部監査部門の設置と運用が不可欠です。

また、会社法上の「大会社」等においても内部統制システムの整備義務があり、内部監査はその重要な構成要素となります。非上場の中小企業であっても、ガバナンス強化や将来のIPO（上場）を見据えて自主的に実施する企業が増えています。

Q. 内部監査を担当するのに特別な資格は必要ですか？

A. 法的に必須となる資格はありません。業務の仕組みを理解している社内の人材であれば担当可能です。ただし、監査の品質を高めるために、「公認内部監査人（CIA：Certified Internal Auditor）」などの国際的な専門資格の取得を推奨・支援する企業も多くあります。

また、IT監査の領域では「システム監査技術者」や「公認情報システム監査人（CISA）」などの知識が役立ちます。

Q. 社内に監査専任の部署や人材がいない場合はどうすればいいですか？

A. 本記事でも触れたように、総務や経理などの管理部門担当者が「兼任」で内部監査を実施する（自分の所属部署以外を監査するクロス監査）ケースが中小企業では一般的です。

ただし、業務負荷が高くなるため、ルーチン業務をGRCツールで効率化することが重要です。また、高度な専門性が求められる「IT監査」や、外部の客観的な視点が必要な場合は、監査法人やコンサルティング会社に内部監査業務の一部をアウトソーシング（外部委託）する手段も有効です。

まとめ：内部監査の目的を正しく理解し、ITの力で業務負担を軽減しよう

本記事では、内部監査の目的から内部統制監査との違い、実施手順、IT監査の重要性までを解説しました。

内部監査は不祥事や業績悪化を未然に防ぐ重要なプロセスですが、兼任担当者のリソース不足やExcel・紙運用の非効率さにより、形骸化してしまうケースが後を絶ちません。

複雑化するIT環境・サイバーリスクに対応しながら限られた人員で価値ある監査を実現するには、GRCツールの活用が不可欠です。ルーチンワークを自動化することで、担当者は「データ収集・整理」から「リスク分析と経営への助言」という本来の付加価値業務に専念できます。

まずは自社の監査プロセスのボトルネックを棚卸しし、下記を参考にしながらシステム化による解決を検討してみてはいかがでしょうか。

GRCツールの料金・手数料を一括チェック

MCB FinTechカタログでは、GRCツールの最新資料をワンクリックで一括入手することができます。各種手数料・対応可能な形式やフォーマットの有無など、比較に必要な情報をすばやく把握できます。

MCB FinTechカタログに掲載しませんか？

MCB FinTechカタログでは、掲載企業様を募集しています。マネックスグループの金融実務ノウハウを活かした独自の評価軸と検索設計により、導入検討者が最適なサービスを効率的に発見できる法人向け比較プラットフォームです。掲載後は管理画面から料金表や導入事例を随時更新でき、常に最新の情報を訴求可能。まずは下記フォームより、お気軽にお問い合わせください。