内部監査とはなにか?内部監査の役割など解説

監査
2025.11.15

企業経営において、不祥事の防止や業務効率の向上、そして持続的な成長を実現するために欠かせない仕組みが「内部監査」です。コーポレートガバナンス(企業統治)の強化が叫ばれる昨今、上場企業のみならず、成長を目指す中堅・中小企業にとっても、内部監査体制の構築は急務となっています。しかし、現場の従業員からは「粗探しをされるのではないか」と警戒されたり、経営者自身も「コストがかかるだけで利益を生まない部門」と誤解していたりするケースも少なくありません。

本記事では、内部監査の基本的な定義から、外部監査や監査役監査との違い、具体的な業務の流れ、そして経営に活かすためのポイントまでを網羅的に解説します。内部監査を単なる「義務」として捉えるのではなく、会社を良くするための「健康診断」であり「経営の参謀」として活用するための指針としてお役立てください。

内部監査のご依頼を検討されている方は、宮嶋公認会計士・税理士事務所へお問合せください(初回無料相談)
  1. 内部監査とはなにか?
    1. 組織内部の自律的なチェック機能
    2. 3線モデルにおける立ち位置
  2. 外部監査と何が違うか?
    1. 実施主体と立場の違い
    2. 目的と報告先の違い
  3. 監査役監査と何が違うか?
    1. 監査対象の違い
    2. 法的義務の違い
  4. 内部監査の役割
    1. アシュアランス(保証)活動
    2. コンサルティング(助言)活動
    3. 不正の防止と発見
  5. 内部監査の種類
    1. 業務監査
    2. 会計監査
    3. コンプライアンス監査
    4. システム監査
  6. 内部監査の確認対象とは?
    1. 全組織と全プロセス
    2. 子会社および関連会社
    3. リスクアプローチに基づく重点領域
  7. 内部監査が必要な企業は?
    1. 上場企業および上場準備企業
    2. 会社法上の大会社
    3. 中小企業における必要性
  8. 内部監査の具体的な流れ
    1. 監査計画の策定
    2. 予備調査
    3. 本調査(実地監査)
    4. 監査報告書の作成と報告
    5. フォローアップ監査
  9. 内部監査はどの部署が実施するのか?
    1. 内部監査部門の設置
    2. 兼務による実施の是非
    3. アウトソーシングの活用
  10. 内部監査によるメリット
    1. ガバナンスの強化と社会的信用の向上
    2. 業務効率化とコスト削減
    3. 従業員の意識改革
  11. 内部監査に必要なスキル
    1. 専門知識と論理的思考力
    2. コミュニケーション能力
    3. ITスキルとデータ分析力
  12. 内部監査を経営に活かす方法
    1. 経営者のパートナーとしての位置づけ
    2. リスクマネジメントへの統合
    3. PDCAサイクルの定着
  13. まとめ

内部監査とはなにか?

組織内部の自律的なチェック機能

内部監査とは、組織体の運営状況を適正かつ効率的にするために、組織内部の人間が独立的かつ客観的な立場で業務の遂行状況を検討・評価し、助言や勧告を行う活動のことです。簡単に言えば、会社が定めたルール通りに業務が行われているか、不正やミスがないか、もっと効率的なやり方がないかを、社員自らがチェックする仕組みです。

企業は成長するにつれて組織が複雑化し、経営者の目が隅々まで届かなくなります。現場で何が起きているのか、リスクがどこに潜んでいるのかを正確に把握することは困難になります。そこで、経営者の代わりとなって組織全体を俯瞰し、問題点を洗い出して改善を促すのが内部監査の役割です。これは、法律で強制されるから行うという受動的なものではなく、企業自らが健全性を保つために行う能動的な活動であるという点が大きな特徴です。

3線モデルにおける立ち位置

内部監査の重要性を理解する上で、「3線モデル(旧:3つのディフェンスライン)」という考え方が役立ちます。これは組織のリスクマネジメントとコントロールを3つの役割に分けて考える枠組みです。

第1線は、営業部や製造部などの「現業部門」です。彼らはリスクを直接管理し、日々の業務の中でコントロールを行う責任があります。 第2線は、経理部、法務部、人事部、リスク管理部などの「管理部門」です。彼らは専門的な立場からリスク管理の方針を策定し、第1線の活動をモニタリングします。 そして第3線が「内部監査部門」です。内部監査は、第1線および第2線から独立した立場で、それらのリスク管理やコントロールが有効に機能しているかを客観的に評価し、経営者や取締役会に保証(アシュアランス)を与えます。

このように、内部監査は組織内の「最後の砦」として、他の部門とは一線を画した独立性が求められる重要な機能なのです。

外部監査と何が違うか?

実施主体と立場の違い

内部監査とよく比較されるのが外部監査です。最大の違いは「誰が行うか」という点にあります。内部監査は、その企業の従業員(内部監査室のスタッフなど)が行います。あくまで組織の一員として、会社を良くするために活動します。

一方、外部監査は、会社とは利害関係のない独立した第三者である公認会計士や監査法人が行います。彼らは会社と契約を結んで監査を行いますが、会社の指揮命令下にあるわけではありません。完全に独立した外部の視点からチェックを行う点が特徴です。

目的と報告先の違い

監査の目的も異なります。内部監査の主な目的は「業務の改善」や「経営目標の達成支援」です。そのため、監査結果の報告先は、代表取締役社長や取締役会、監査役といった組織内部の経営陣になります。発見された問題点に対しては、具体的な改善策を提案し、フォローアップまで行います。

対して外部監査の主な目的は「財務諸表の適正性の保証」です。投資家や株主、銀行などの利害関係者(ステークホルダー)に対し、会社の決算書が嘘偽りなく作られていることを証明することが役割です。したがって、報告先は株主や投資家といった外部のステークホルダーが中心となります。外部監査は「結果が正しいか」に重きを置くのに対し、内部監査は「プロセスが適切か、さらに良くできるか」に重きを置く傾向があります。

監査役監査と何が違うか?

監査対象の違い

日本の株式会社制度において重要な役割を果たす「監査役」による監査とも混同されがちですが、これらも明確に異なります。監査役監査の主たる対象は「取締役の職務執行」です。取締役が法令や定款を遵守して経営を行っているか、善管注意義務を果たしているかをチェックします。つまり、経営陣(トップマネジメント)を監視するのが監査役の役割です。

一方、内部監査の主たる対象は「使用人(従業員)の業務執行」です。現場の業務がルール通りに行われているか、効率的かといった実務レベルの監査が中心となります。ただし、内部監査部門が発見した重要な問題は経営陣の責任に関わることもあるため、実務上は監査役と内部監査部門が連携して情報を共有する「三様監査(監査役監査・会計監査人監査・内部監査)」の連携が重要視されています。

法的義務の違い

監査役監査は、会社法によって設置が義務付けられている機関(監査役会設置会社など)においては必須の制度です。監査役を選任し、監査を行わせなければ法律違反となります。

これに対し、内部監査は一部の大会社や上場企業を除き、会社法上で明確に設置が義務付けられているわけではありません。しかし、内部統制システムの構築義務(会社法)や、金融商品取引法に基づく内部統制報告制度(J-SOX)への対応として、実質的には上場企業や一定規模以上の企業にとって必須の機能となっています。法的な強制力の有無にかかわらず、組織の自浄作用を高めるためには内部監査が不可欠であるという認識が広まっています。

内部監査の役割

アシュアランス(保証)活動

内部監査の役割は大きく分けて二つあります。一つ目が「アシュアランス(保証)活動」です。これは、組織のガバナンス、リスクマネジメント、およびコントロールのプロセスが適切に機能しているかどうかを客観的に評価し、その結果について証拠に基づいて保証を与えることです。

具体的には、「社内規程通りに購買手続きが行われているか」「情報セキュリティ対策は十分か」「会計処理にミスはないか」といった項目をテストし、「問題ありません」「ここにはリスクがあります」と経営者に報告します。経営者は現場のすべてを見ることはできないため、内部監査からの「保証」を得ることで、安心して経営の舵取りを行うことができるようになります。

コンサルティング(助言)活動

二つ目の役割が「コンサルティング(助言)活動」です。これは、監査で見つかった問題点を指摘するだけでなく、その原因を分析し、改善に向けた具体的なアドバイスを行うことです。

かつての内部監査は「指摘型」が主流で、悪いところを見つけて終わりというケースも多く見られました。しかし、現代の内部監査には「解決型」のアプローチが求められています。「なぜそのミスが起きたのか」「どうすれば効率的に業務が回るのか」を現場と一緒に考え、業務改善や組織変革をサポートします。これにより、内部監査部門は単なるチェック機関ではなく、経営に付加価値を提供するパートナーとしての役割を果たすことになります。

不正の防止と発見

役割の三つ目として「不正の防止と発見」が挙げられます。内部監査が定期的に行われているという事実自体が、従業員に対する牽制効果となり、不正行為の抑止力になります。「誰かが見ている」という意識は、コンプライアンス意識の向上に直結します。

また、万が一不正が発生してしまった場合でも、内部監査によって早期に発見し、被害を最小限に食い止めることが可能です。不正の兆候を見逃さず、客観的な調査を行うことで、組織の自浄作用を機能させます。

内部監査の種類

業務監査

業務監査は、購買、製造、販売、在庫管理、人事、総務など、企業のあらゆる業務プロセスを対象に行う監査です。業務が社内規程やマニュアルに沿って行われているか(準拠性)だけでなく、業務が効率的に行われているか、無駄がないか(効率性・有効性)も評価します。組織の目標達成を阻害する要因を取り除き、業務改善につなげることが主な目的です。

会計監査

内部監査における会計監査は、財務報告の信頼性を確保するために行われます。経理処理が会計基準や社内ルールに従って正しく行われているか、計算書類に誤りがないかを確認します。外部の監査法人が行う会計監査の前段階として、社内で数値を精査する役割も担います。これにより、決算の早期化や訂正の減少といった効果が期待できます。

コンプライアンス監査

コンプライアンス監査は、法令、定款、社内規程、企業倫理などが遵守されているかを確認する監査です。業法(建設業法や薬機法など)の遵守状況や、労働基準法の遵守、ハラスメント防止対策の状況などをチェックします。コンプライアンス違反は企業の存続に関わる重大なリスクとなるため、非常に重要な監査領域です。

システム監査

ITへの依存度が高まる現代において、システム監査の重要性は増しています。情報システムの安全性、信頼性、効率性を評価します。サイバー攻撃への対策、データのバックアップ体制、アクセス権限の管理状況などが適切かを確認します。また、システム開発プロジェクトが計画通りに進んでいるかをチェックすることもあります。

内部監査の確認対象とは?

全組織と全プロセス

内部監査の対象範囲は、原則として「組織内のすべての部門と業務」です。本社だけでなく、支店、営業所、工場、物流センターなども含まれます。また、正社員だけでなく、契約社員や派遣社員の業務も対象となり得ます。聖域を設けず、組織全体を網羅的にチェックすることが理想です。

子会社および関連会社

グループ経営を行っている企業の場合、親会社だけでなく子会社や関連会社も監査対象となります。子会社の管理体制が甘いと、グループ全体のリスク管理に穴が開くことになります。親会社の内部監査部門が直接子会社に出向いて監査を行う(往査)こともあれば、子会社の内部監査部門の活動状況をモニタリングすることもあります。

リスクアプローチに基づく重点領域

「すべての部門を毎年監査する」のが理想ですが、限られたリソース(人員・時間)では現実的ではありません。そこで採用されるのが「リスクアプローチ」という手法です。これは、組織にとってリスクが高いと思われる領域(例えば、現金を扱う部門、新規事業部門、過去に不祥事があった部門など)を重点的に監査し、リスクが低い部門は頻度を下げるというやり方です。限られた資源を有効活用し、監査の効果を最大化するために不可欠な考え方です。

内部監査が必要な企業は?

上場企業および上場準備企業

上場企業には、金融商品取引法に基づく「内部統制報告制度(J-SOX)」への対応が義務付けられています。これは財務報告の信頼性を確保するための仕組みであり、その評価を担う内部監査部門の設置は事実上必須です。また、これから上場を目指す企業(IPO準備企業)にとっても、証券会社の審査や証券取引所の審査において、内部監査制度が適切に運用されているかが厳しくチェックされます。したがって、上場を目指す段階(一般的には上場申請の直前々期あたり)から本格的な内部監査体制の構築が必要となります。

会社法上の大会社

会社法において「大会社」(資本金5億円以上または負債総額200億円以上の株式会社)に該当する場合、内部統制システムの整備が義務付けられています。この内部統制システムが有効に機能しているかをモニタリングするために、内部監査部門の設置が求められます。

中小企業における必要性

法的な義務がない中小企業であっても、内部監査の必要性は高まっています。事業承継を控えている場合や、組織拡大に伴い社長の目が届かなくなってきた場合、あるいは金融機関からの信用を高めたい場合などに、内部監査は有効です。不正リスクの低減や業務効率化による利益率の向上は、企業規模にかかわらず経営の重要課題だからです。形式的な部門設置まで至らなくとも、社長直轄の特命担当者が定期的にチェックを行うなど、実質的な内部監査機能を持たせることは非常に有益です。

内部監査の具体的な流れ

監査計画の策定

まずは、年度ごとの「監査計画」を立てます。リスクアプローチに基づき、どの部門を、いつ、どのようなテーマで、誰が監査するかを決定します。計画は経営陣の承認を得て確定します。この段階で、監査対象部門への事前通知の有無(通常は通知しますが、抜き打ち監査の場合は通知しません)なども決定します。

予備調査

本番の監査(実地監査)に行く前に、机上での情報収集を行います。これを「予備調査」と呼びます。対象部門の過去の監査報告書、社内規程、マニュアル、組織図、業務フロー図などを確認し、どこに重点を置いてチェックすべきかの仮説を立てます。必要に応じて、監査対象部門に事前に質問書を送り、回答を得ることもあります。

本調査(実地監査)

監査人が実際に対象部門へ赴き、またはオンラインで接続して調査を行います。担当者へのヒアリング、実際の業務プロセスの観察、証憑書類(領収書や契約書など)の閲覧・突合などを行います。予備調査で立てた仮説を検証し、実際にルール通り運用されているか、リスクがないかを確認します。ここで発見された不備や問題点は、その場で事実確認を行い、証拠(エビデンス)を確保します。

監査報告書の作成と報告

監査が終了したら、発見事項や改善提案をまとめた「監査報告書」を作成します。報告書には、単に悪い点を列挙するだけでなく、良かった点や努力している点も公平に記載することが望ましいです。作成した報告書は、まず被監査部門(監査された部門)に提示し、事実誤認がないかを確認した上で、最終的に社長や取締役会、監査役へ報告されます。

フォローアップ監査

報告して終わりではありません。指摘された問題点について、被監査部門がいつまでに、どのように改善するかという「改善計画書」を提出させます。その後、計画通りに改善が実施されたかどうかを確認するのが「フォローアップ監査」です。改善が完了して初めて、内部監査のサイクルは完結します。

内部監査はどの部署が実施するのか?

内部監査部門の設置

一般的には、社長直轄の組織として「内部監査室」や「監査部」といった専門部署を設置します。重要なのは、他の業務部門(営業部や経理部など)から独立していることです。どこかの部門の下部組織になってしまうと、その部門に対して厳しい指摘ができなくなる恐れがあるためです。組織図上、社長の直下に配置することで、強力な権限と独立性を担保します。

兼務による実施の是非

中小企業などで専任の担当者を置く余裕がない場合、他の部署の社員が内部監査人を兼務することがあります。例えば、総務部の社員が営業部の監査を行うといった形です。ただし、この場合「自己監査の禁止」という原則を守る必要があります。自分が担当している業務を自分で監査しても、客観的な評価はできません。したがって、兼務の場合は、必ず自分の担当外の業務を監査するようローテーションを組むなどの工夫が必要です。

アウトソーシングの活用

内部監査のノウハウがない、あるいは人員が不足している場合、外部の専門家(コンサルティング会社や監査法人系の会社など)に内部監査業務の一部または全部を委託する「アウトソーシング」や、社内メンバーと外部専門家が協力して行う「コソーシング」という方法もあります。専門的な知見(IT監査や海外拠点監査など)を活用できるメリットがある一方、コストがかかる点や社内にノウハウが蓄積されにくい点がデメリットとして挙げられます。

内部監査によるメリット

ガバナンスの強化と社会的信用の向上

内部監査が機能している企業は、自浄作用が働く健全な組織であるとみなされます。これにより、不祥事の発生リスクが抑えられ、株主、取引先、金融機関、顧客などのステークホルダーからの信頼が高まります。特に上場企業においては、株価の安定や企業価値の向上に直結する重要な要素です。

業務効率化とコスト削減

第三者の視点で業務プロセスを見直すことで、長年の慣習で行われていた無駄な作業や、重複している業務、過剰な承認プロセスなどが浮き彫りになります。これらを改善することで、業務のスピードアップや残業時間の削減、経費の節減といった具体的な経済効果を生み出すことができます。

従業員の意識改革

定期的に監査が行われることで、従業員の中に「ルールを守る」という意識(コンプライアンス・マインド)が醸成されます。また、監査人との対話を通じて、自分たちの業務にどのようなリスクがあるのか、なぜルールが必要なのかを理解する機会となり、自律的な改善意欲を高める効果も期待できます。

内部監査に必要なスキル

専門知識と論理的思考力

内部監査人には、広範な知識が求められます。会社法や労働基準法などの関連法令、財務会計の知識、自社の業界知識や社内規程の理解などが必須です。さらに、収集した情報から事実を整理し、原因と結果を分析して結論を導き出す論理的思考力が必要です。「なんとなくおかしい」ではなく、論理的に問題点を説明できなければ、現場は納得してくれません。

コミュニケーション能力

かつての「警察型」の監査では、一方的に指摘するだけで済みましたが、現代の「コンサルティング型」監査では高いコミュニケーション能力が不可欠です。現場の担当者から本音を聞き出す「傾聴力」、問題点を正しく伝え改善を促す「説得力」、そして経営陣に対して簡潔かつインパクトのある報告を行う「プレゼンテーション能力」が求められます。現場と対立するのではなく、信頼関係を築くことが成功の鍵です。

ITスキルとデータ分析力

業務のデジタル化が進む中で、監査の手法も変化しています。会計データやログデータを分析して異常値を検出するCAAT(コンピュータ利用監査技法)などのスキルが求められるようになっています。また、情報セキュリティに関する知識も、システム監査を行う上で欠かせません。

内部監査を経営に活かす方法

経営者のパートナーとしての位置づけ

内部監査を単なる「コンプライアンスチェック」の道具として使うのはもったいないことです。経営者は、内部監査部門を「経営の目・耳」として活用すべきです。現場の生の声や、数値には表れにくい組織の課題を吸い上げ、経営判断に活かすことができます。そのためには、経営者が内部監査部門に期待することを明確に伝え、定期的に直接対話する機会を持つことが重要です。

リスクマネジメントへの統合

事後的なチェックだけでなく、予防的なリスクマネジメントに内部監査を組み込むことが効果的です。新しい事業を始める際や、組織変更を行う際に、事前に内部監査部門の意見を聞くことで、リスクを未然に防ぐ設計が可能になります。リスクベースの監査計画を策定し、経営環境の変化に応じて柔軟に監査対象を見直す姿勢が必要です。

PDCAサイクルの定着

内部監査の結果を「やりっぱなし」にせず、経営のPDCAサイクルに組み込むことが重要です。監査での指摘事項を経営課題として認識し、全社的な改善活動につなげます。また、監査結果を人事評価や教育研修に反映させることで、組織全体のレベルアップを図ることができます。

まとめ

内部監査とは、企業が自らを律し、より良い方向へ進むための羅針盤のような存在です。外部監査や監査役監査とは異なり、組織内部の視点から、業務の有効性や効率性を高めるための具体的な提言を行うことができます。

法令遵守や不正防止といった「守り」の機能はもちろん重要ですが、業務改善や経営目標の達成支援といった「攻め」の機能こそが、これからの内部監査に求められる役割です。

内部監査体制の構築には、人材の育成や組織風土の醸成など、一定の時間とコストがかかります。しかし、それは企業が永続的に発展するための重要な「投資」です。経営者自らが内部監査の重要性を理解し、その機能を最大限に活用することで、企業はより強く、しなやかな組織へと進化することができるでしょう。

内部監査のご依頼を検討されている方は、宮嶋公認会計士・税理士事務所へお問合せください(初回無料相談)
この記事の作成者

宮嶋 直  公認会計士/税理士
京都大学理学部卒業後、大手会計事務所であるあずさ監査法人(KPMGジャパン)に入所。その後、外資系経営コンサルティング会社であるアクセンチュア、大手デジタルマーケティング会社であるオプトの経営企画管掌執行役員兼CFOを経験し、現在に至る。