この記事は約 7 分で読めます。
企業の不正に関するニュースを聞くと内部監査の必要性を感じるものの、具体的な手順や監査項目など、どのように自社に取り入れるべきか分からないと悩む担当者もいるでしょう。
この記事では、内部監査の目的や確認項目などの基本的な概要から、実際の内部監査の手順、注意点まで網羅的に解説します。内部監査を取り入れたい、現状を改善したいと考える経理担当者・責任者は、ぜひ参考にして下さい。
内部監査とは
内部監査とは企業内部の独立した組織(内部監査部門や監査役)による監査です。チェックする対象は財務会計や業務の仕組みまで幅広く、評価した結果を報告して改善のための助言を行います。
2006年施行の会社法改正で会社法上の「大会社である取締役会設置会社」において、内部統制の体制整備が求められ(会社法第362条4項6号・5項)、実質的に内部監査も義務付けられました。
また、2015年施行の会社法改正では、企業集団に対しても業務の適正性を確保するために必要なものとして内部統制の体制整備が求められています。以下、内部監査の概要を解説します。
内部監査は不正行為や業務エラーを未然に防ぐ内部統制と密接に関係してきます。内部統制の方法について知りたい方は以下の資料をご覧ください。
【関連する無料ガイドブック】
▶ IT活用のリスク管理を強化できる 内部統制対策ガイドブック
※すぐにPDF資料をお受け取りいただけます
内部監査の目的
内部監査の目的は、企業の目標達成に向けて効率的かつ適切に業務を実施していることかをチェックすることです。
具体的には、主に以下の内容が挙げられます。
1. 不正が起きるリスクの軽減
事業活動に関わる法令や規範を遵守していることを確認して、業務内容や業務フローの中で不正につながるリスクを洗い出して仕組みを改善し、リスクの発生を防ぎます。
2. 業務の有効性・効率性の向上
業務フローを確認し、業務が効率的に行われるように助言します。また、社内規程やマニュアル通りに業務が実施されていることを監査し、経営者の意思に沿った業務が行われているか確認することが重要です。
3. 企業の経営目標を達成する
経営目標に対して適切に業務が行われているか監査し、問題があれば是正に向けて助言します。
外部監査、監査役監査との違い
外部監査、監査役監査との違いは、以下の通りです。
外部監査との違い
内部監査は、社内で選定された内部監査担当者が、社内の業務活動全般に対して監査を行います。一方で外部監査は、企業と利害関係のない独立した立場の監査法人または公認会計士が、金融商品取引法に基づいて監査を行うものです。
株主や投資家などの利害関係者が正しく意思決定できるようにするため、企業が財務報告に係る内部統制を適切に構築・運用しているか監査します。内部監査とは実施する人の立場や目的、監査対象が異なります。
外部監査の詳細は以下の記事にまとめているので、参考にしてください。
監査役監査との違い
監査役監査は株主総会で選ばれた監査役が、社内組織から独立した立場で業務監査と会計監査を行うものです。業務監査は主に取締役の職務執行が適正かどうか、会計監査は主に計算書類の適正性を監査します。
監査役監査も会社の内部統制に含まれ、内部監査で実施する対象の一部です。内部監査人は監査役と内容を共有しながら業務を行います。
内部監査・会計監査との違いについては以下の記事にまとめているので、参考にしてください。
内部監査が求められる企業
内部監査は、法律上義務付けられたものではありません。しかし、以下の企業には内部統制の体制整備が義務付けられています。
- 大会社
- 取締役会を設置している企業
- 新規上場を予定している企業
前述のように会社法上の「大会社である取締役会設置会社」においては、内部統制の体制整備が求められます(会社法第362条4項6号・5項)。ここでいう大会社とは、資本金5億以上または負債総額200億円以上の株式会社です。
また、金融商品取引法において、上場企業は「財務報告に関する内部統制」の有効性を評価した結果を、内部統制報告書に記載して開示しなければなりません(金融商品取引法第24条の4の4)。つまり新規上場を目指す企業も内部統制を整備する必要があります。
そのため上記に該当する企業は、実質的に内部監査を義務付けられているといえます。
内部監査が不要なケース
前述のように内部監査は、法律上義務付けられたものではありません。上記で述べた内部統制の整備・監査が義務付けられている企業以外は、内部監査は不要です。
しかし、内部監査は不正リスクの軽減や業務の有効性・効率性の向上など、会社内部にとってもさまざまなメリットがあります。上場を目指す企業をはじめ、義務がなくても実施している企業は多く、自社の発展のために導入を検討すると良いでしょう。
内部監査による不正の発覚が懸念される場合もあるかと思います。だからこそ、事前にしっかりとした不正防止対策を講じておくことが重要です。
本記事では、出張費精算の「5大不正」を解説したPDF資料を期間限定で無料配布しております。不正対策や経費精算の業務効率化を進めたい方は是非ご覧ください。
【関連する無料ガイドブック】
▶ 出張費精算の5大不正を経費精算システムで解決!
※すぐにPDF資料をお受け取りいただけます
内部監査の確認項目
内部監査で実施する内容は企業によって異なり、目的に合わせて自社で計画した上で実施されます。以下、一般的に内部監査で実施される内容をそれぞれ簡単に紹介します。
会計監査
会計監査は、企業の財務諸表が適正に作成されているかどうか確認するものです。具体的には、主に以下のような手続きがあります。
1. 貸借対照表や損益計算書の内容を確認
例:元帳との一致確認、前期比較を実施
2. 資産、負債の実在性の確認
例:現物、残高証明書、取引先による売掛金・買掛金に関する残高証明書との照合、実地棚卸などの実施
3. 気になる取引内容の確認
例:伝票や証憑の詳細を確認
4. 見積もり計上の妥当性の確認
例:引当金の根拠を確認
5. 知識と経理体制の確認
例:経理担当者に業務フローなどを質問し、適切な会計処理を行う知識と体制があるか確認
6. その他帳票・台帳の記載が正しいことを確認
例:財務諸表に記載の勘定科目や、減価償却、固定資産の計上方法が正しいか確認
業務監査
業務監査は、企業が目的達成に向けて効率的かつ適切に業務を実施しているか、業務内容や業務プロセスを確認するものです。業務フローをチェックし、社内規程やマニュアルの整備状況と、それらを遵守して業務が行われていることを監査します。
具体的には、主に以下のポイントを確認します。
1. 職務分掌の確認
例:社内の体制が分かる組織図や承認のフローを確認
2. 業務プロセスの確認
例:現場へのヒアリング、業務フローの作成
3. 社内規程、マニュアルの確認
例:一覧を見て整備状況や内容を確認
4. 資料の確認
例:取引を抽出し、資料や記録を基に規程などに遵守しているか確認
5. リスク管理
例:想定されるリスクと、リスクに対する評価・対応の方法を確認
デューデリジェンス監査
デューデリジェンス監査(買収監査)は、企業や事業を買収・投資する際に、対象企業の価値やリスクを評価するために行うものです。デューデリジェンス監査には主に以下の3つがあります。
- 財務監査:財務諸表が正しく価値を表しているか監査する
- 法務監査:法律上の問題がないか監査する
- 経営監査:経営実態の現状を把握し、隠れたリスクがないか確認する
企業を買収した後は、内部監査を行う際にもデューデリジェンスの結果を用いて内容を確認します。
システムセキュリティ監査
システムセキュリティ監査は企業の情報システムの利用に対して、想定されるリスクを適切にコントロール・対策できているか、システム監査基準を参考にしながらチェックするものです。具体的には、主に以下のような手続きがあります。
1. 個人情報に関する監査
例:個人情報の定義や管理方法
2. 情報システムの有効性
例:情報システムが目的に合っており、費用対効果に問題はないか
3. 情報システムの可用性
例:トラブル時にも継続した稼働が可能か
4. 情報セキュリティ体制
例:セキュリティの体制と役員・現場の従業員への周知状況
5. 外部委託の保守体制
例:委託の内容やセキュリティ体制の監査状況
コンプライアンス監査
コンプライアンス監査は、企業の業務が法令や倫理、社会的規範などを遵守しているかを確認するものです。経営者をはじめ、業務に関わる全ての従業員のコンプライアンスに対する理解と遵守する意識を確認します。具体的には、主に以下のような項目があります。
- 最新の法令に遵守できているか
- 社内規程違反への対応方法
- 業務プロセス内のコンプライアンスリスクが明確化されているか
- コンプライアンスに対する情報共有、教育・研修状況の把握
ISO監査
ISO監査はISO規格を取得する際、そして取得した後に規格を満たしているか判定するために行われるものです。ISOの規格には多くの種類があり、取得することで定められた品質を保つものとして外部に証明できます。
多くのISO規格では内部監査の実施を必須としており、規格ごとにチェックリストがあります。ISO規格の中でも品質の高さを示すISO9001規格において、求められる内部監査項目は以下の通りです。
- 組織に影響を与える企業の内部および外部の課題を明確化・監視・レビューする方法
- マネジメントシステムのプロセスを明確化・維持する方法
- 責任・権限の割り当て方法 など
内部監査の流れ
内部監査を実際に行う場合の一般的な流れを、事前の準備から監査後のフォローアップまで分かりやすく紹介します。
情報収集
まずは現状確認できるリスクや懸念点を洗い出します。主に以下を参考にして下さい。
- 前回の内部監査の結果
- 自社の業務に関連する法令の改正
- 社内規程やマニュアルの重要な変更点
内部監査計画
内部監査の計画を立てて内部監査計画書を作成します。計画書には主に以下の内容を記載しましょう。
- 内部監査を実施する対象(部署や事業者)
- 担当する内部監査人について
- 監査の実施日程
- 予定している監査の内容
- 監査の目的
内部監査は対象となる部署や事業所の負担も大きく、内部監査人と協力して進める必要があります。監査計画書は各部署と共有して、目的や手続き内容の理解を得ることが大切です。
内部監査の実施
内部監査では、一般的に予備調査をした上で本調査を実施します。
1. 予備調査
予備調査では、監査対象の部署へ内部監査の目的や概要などを事前に説明し、必要な記録や情報を伝えましょう。また、部署の問題点などをヒアリングした上で、監査の実施を確定します。予備調査の実施時期は、概ね本調査の1〜2ヶ月前です。
2. 本調査
予備調査で確定した内部監査計画書を基に監査を実施します。抜き打ち調査は不正が疑われる部門には有効ですが、監査の有効性・効率性を高めるためには事前に監査対象の各部署に通知し、準備期間を設けることが一般的です。
内部監査報告書の作成
内部監査を実施した後は内部監査報告書に以下の内容を記載・作成します。
- 内部監査の目標
- 実施した監査の内容と結果
- 内部監査人の意見
- 問題点があれば改善計画の内容
内部監査結果の報告
内部監査結果は監査役に内容を共有した上で、取締役会を通じて最終的に経営者に報告します。報告書を作成する前に監査対象である各部門に対して、事実の相違がないか確認することも大切です。
内部監査のフォローアップ
内部監査の結果に問題があれば改善のための助言を行い、期限を決めて実施を依頼します。改善には内部監査部門も適宜サポートして、スムーズに改善できるようにフォローを続けることが大切です。
内部監査を実施する時の注意点
内部監査を行う場合の注意点を2つ解説します。
内部監査人の任命
内部監査を有効に行うためには、企業内部の独立した立場(組織)である人が実施すべきです。監査という業務内容の性質上、独立した立場から客観的な判断を行うことで有効性が高まります。
内部監査部門を指揮するのは一般的に経営者(社長)の直轄部署であることが多く、監査対象となる部門から独立した組織です。一方で、経営者や経営幹部による不正に対応するのは容易ではなく、柔軟な対応が求められる点に注意が必要です。
内部監査の形式化
内部監査は企業の事業活動に直接携わる業務ではないため、内部監査部門を立ち上げてもノウハウや経験の不足から担当者が適切に監査を実施できない恐れがあります。また、内部監査の実施目的が企業全体に浸透していない場合も、形式的な監査となり効果が得られないケースもあります。
ノウハウが足りない場合も含め、対策としては内部監査の目的を社内に十分共有した上で、内部監査人と監査を受ける部署が協力し合って業務の問題点を発見・改善していく意識を持つことが重要です。
内部監査人に求められる能力
内部監査を行う上で、必要となる能力や監査の際に意識すべき項目を紹介します。
専門的能力
内部監査を行うには主に以下のような専門的能力が必要です。
- 内部監査の制度や実施方法に関する知識
- 監査対象部門の業務フローや業界に関する法令などへの理解
- 会計や財務の知識
- 業務上のリスクに対する理解と対処方法の知識
内部監査人は継続的に専門的能力を維持するために研修や実務経験を積み、内部監査の質を維持・向上させると共に、内部監査制度の信頼性を保つよう努力することが重要です。
専門職としての正当な注意
内部監査人は、専門職として正当な注意を払い、業務を実施する必要があります。一般社団法人日本内部監査協会が公開している「内部監査基準」では、専門職としての正当な注意として以下を挙げています。
- 監査証拠の入手と評価に際し必要とされる監査手続の適用
- ガバナンス・プロセスの有効性
- リスク・マネジメントおよびコントロールの妥当性および有効性
- 違法、不正、著しい不当および重大な誤謬のおそれ
- 情報システムの妥当性、有効性および安全性
- 組織体集団の管理体制
- 監査能力の限界についての認識とその補完対策
- 監査意見の形成および内部監査報告書の作成にあたっての適切な処理
- 費用対効果
内部監査に関する資格
内部監査を行う際、必ずしも資格は必要ありません。しかし、資格があれば専門的知識・能力があることを客観的に証明できます。以下、内部監査に関する資格を3つ紹介します。
公認内部監査人(CIA)
公認内部監査人(以下、CIA)は、米国の内部監査人協会(IIA)が認定する内部監査の専門資格です。世界の約190の国と地域で実施されている国際的な試験であり、1999年以降は日本語での受験も可能です。
試験に合格した後、実務経験を積むことでCIAとして登録できます。試験は3つのパートに分かれており、パートごとに受験が可能です。試験の合格率は未公表ですが、35〜40%程度といわれています。
CIAの登録者は、知識だけでなく実務経験も有した人材であると認められ、内部監査部門の求人案件では高く評価されています。
参考:一般社団法人日本内部監査協会|CIA(公認内部監査人)
内部監査士(QIA)
内部監査士(QIA)は、一般社団法人日本内部監査協会が主催する内部監査士認定講習会を修了した人に与えられる称号であり、日本の国内資格です。
内部監査士認定講習会は、内部監査の理論と実務の体系的な講習によって内部監査人の教育・養成を目的に、年間6回、偶数月に開講しています。オンデマンド配信で期間中に定められた講習を受け、論文を提出するというカリキュラムです。
講習を通して内部監査の基本知識や監査技術、実施手順といった基本的な知識から、営業業務監査・製造業務監査のポイントといった業務ごとのポイントまで幅広い知識が身につきます。
公認リスク管理監査人(CRMA)
公認リスク管理監査人(CRMA)は、リスク管理や内部監査の高度な知識・実務経験を証明できる国際的な資格です。英語のみの受験となっており、受験要件の1つとして「有効なCIA資格」があります。
リスクマネジメントを中心とした試験内容で実務経験も必要であり、取得難易度の高い資格といえます。
参考:一般社団法人日本内部監査協会|CRMA(公認リスク管理監査人)
内部監査は企業の発展に有効な制度
内部監査は企業の目標達成に向けて、効率的かつ適切に業務を実施していることをチェックするものです。法律上実質的に義務化されている企業だけでなく、すべての企業で効果のある取り組みといえます。
内部統制では作成した内部監査計画を基に監査を実施して、結果を内部監査報告書にまとめます。内部統制の有効性を高めるためには問題点を指摘するだけでなく、改善策を提案して改善の状況をフォローアップすることが大切です。
また、内部監査では各部署から独立した立場であり、専門的な知識のある人材を内部監査人として任命することが必要です。専門的知識の有無を判断するには実務経験に加えて、内部監査に関する資格の有無を考慮するのも良いでしょう。