企業の健全な運営と持続的な成長のためには、適切な内部統制が不可欠です。その有効性を評価し、維持・改善していく上で重要な役割を担うのが「内部統制監査」と「内部監査」です。しかし、この二つの監査の違いを正確に理解している方は意外と少ないのではないでしょうか。特に、組織運営の中核を担う管理職や会社員の皆様にとって、これらの監査の目的やプロセスを理解することは、リスク管理能力の向上やコンプライアンス意識の徹底に直結します。
本記事では、内部統制監査と内部監査の基本的な違いから、それぞれの目的、具体的な実施の流れ、そして監査を成功させるためのポイントまで、わかりやすく解説します。
<この記事でわかること>
・内部統制監査と内部監査の基本的な違い
・それぞれの目的と具体的な実施の流れ
簡単30秒!資料請求や無料相談はこちら
内部統制監査とは? 基本を理解する
まず、内部統制監査の基本的な概念とその重要性について見ていきましょう。
内部統制監査の定義と目的
内部統制監査とは、企業が自ら定めた内部統制システムが、有効に機能しているかどうかを評価する手続きのことです。ここでの「内部統制」とは、企業の事業目的を達成するために、経営者や従業員が遵守すべきルールや仕組み全般を指します。具体的には、以下の4つの目的を達成するために整備・運用されます。
- 業務の有効性及び効率性
- 財務報告の信頼性
- 事業活動に関わる法令等の遵守
- 資産の保全
内部統制監査の主な目的は、特に「財務報告の信頼性」を確保することにあります。投資家や債権者などのステークホルダーに対して、財務情報が適正であることを示す上で、内部統制が有効に機能していることの証明は極めて重要です。特に、金融商品取引法によって上場企業に義務付けられている内部統制報告制度(通称 J-SOX)への対応は、内部統制監査の重要な目的の一つとなっています。
この監査を通じて、企業は不正や誤謬(ミス)のリスクを低減し、業務プロセスの非効率な部分を発見・改善する機会を得ることができます。つまり、内部統制監査は単なる規制対応ではなく、企業価値そのものを高めるための重要な活動なのです。
なぜ内部統制監査が重要なのか?
現代の企業経営は、グローバル化、テクノロジーの進化、法規制の変更など、常に変化する多様なリスクに晒されています。こうした中で、内部統制監査が重要視される理由は主に以下の点にあります。
- リスクの早期発見と対応: 業務プロセスや管理体制に潜むリスクを早期に発見し、損失の発生を未然に防いだり、影響を最小限に抑えたりするための有効な手段となります。
- 企業の信頼性向上: 適切な内部統制が構築・運用され、それが監査によって客観的に評価されていることは、投資家、取引先、顧客、そして社会全体からの信頼を得るための基盤となります。特に近年相次ぐ企業不祥事を受け、透明性の高いガバナンス体制への要求はますます高まっています。
- 法令遵守(コンプライアンス)の徹底: 事業活動に関わる様々な法令や社内規程が遵守されているかを確認し、違反リスクを低減します。
- 業務効率の改善: 監査プロセスを通じて、業務の重複や非効率な手順が明らかになり、改善のきっかけとなることがあります。
経営層はもちろん、管理職や一般社員一人ひとりが内部統制の重要性を理解し、日々の業務の中で意識することが、企業全体の健全性を保つ上で不可欠と言えるでしょう。
内部統制監査の対象範囲
内部統制監査は、企業の特定の部門だけでなく、組織全体にわたる広範な領域を対象とします。主な対象範囲は以下の通りです。
- 全社的な内部統制: 経営理念、取締役会の機能、組織構造、職務権限、内部監査体制、コンプライアンス体制、IT環境など、組織全体の統制環境や仕組みに関するものです。
- 財務報告に係る内部統制: 財務諸表の作成プロセス全体に関わる統制です。売上、仕入、在庫管理、固定資産、人件費などの勘定科目レベルでの統制や、決算・財務報告プロセスそのものに対する統制が含まれます。J-SOX対応において特に重視される領域です。
- 業務プロセスに係る内部統制: 販売プロセス、購買プロセス、生産プロセス、人事プロセスなど、具体的な業務の流れの中に組み込まれている統制活動を評価します。例えば、承認手続き、照合、残高確認などが該当します。
- ITに係る内部統制: 情報システムの開発・運用・保守、アクセス管理、データセキュリティなど、ITシステムに関連する統制です。現代の企業活動においてITへの依存度は高く、その統制の重要性は増しています。
監査を実施する際には、リスクアセスメント(リスク評価)を行い、特に重要性やリスクが高いと判断される領域に重点を置いて、効率的かつ効果的な監査を進めることが一般的です。例えば、新規事業部門や海外子会社、複雑な取引を行っている部門などは、重点的な監査対象となる可能性があります。
内部監査との違いを明確にする
「内部統制監査」とよく似た言葉に「内部監査」があります。両者は連携することもありますが、目的や役割には明確な違いがあります。
内部監査の役割と責任
内部監査は、企業の経営目標の達成に貢献することを目的として、組織内部に設置された監査部門(または担当者)が行う、独立的かつ客観的な評価・助言活動です。内部監査の役割は非常に広範で、以下のようなものが挙げられます。
- 内部統制システムの評価: 内部統制監査と同様に、内部統制の有効性を評価しますが、財務報告だけでなく、業務の効率性や法令遵守など、より広い視点から評価します。
- リスクマネジメントの評価・改善支援: 企業がリスクを適切に識別、評価、対応しているかを評価し、改善のための助言を行います。
- ガバナンス・プロセスの評価・改善支援: 経営の意思決定プロセスや組織運営の仕組みが適切か評価し、改善を支援します。
- 業務プロセスの効率性・有効性の評価: 各部門の業務が効率的かつ効果的に行われているかを評価し、改善提案を行います。
- 不正の防止・発見: 不正リスクを評価し、不正を防止・発見するための体制や手続きについて助言します。
内部監査は、経営陣や取締役会に対して、組織運営上の問題点や改善点を報告し、企業価値の維持・向上に貢献する役割を担っています。監査対象も財務報告に限りません。
内部統制監査と内部監査の決定的な違い
内部統制監査と内部監査の主な違いを整理すると、以下のようになります。
| 項目 | 内部統制監査 | 内部監査 |
|---|---|---|
| 主な目的 | 財務報告の信頼性に関する内部統制の有効性を評価・報告すること(特にJ-SOX対応) | 経営目標達成への貢献(リスク管理、ガバナンス、業務改善など広範) |
| 根拠法規等 | 金融商品取引法(J-SOX)など | 会社法、金融商品取引法、監査基準など(ただし、設置義務は限定的) |
| 実施主体 | 経営者(評価)、監査役・監査委員会(監査)、公認会計士・監査法人(監査) | 主に社内の内部監査部門または担当者 |
| 独立性 | 監査対象からの独立性が強く求められる(特に外部監査人) | 組織内の独立性が求められるが、外部監査人ほどの独立性はない場合もある |
| 報告先 | 経営者、監査役・監査委員会、外部(財務局、投資家など) | 経営者、取締役会、監査役・監査委員会など内部が中心 |
| 焦点 | 過去の財務報告期間における内部統制の有効性評価 | 過去・現在・未来のリスクや課題、改善機会など |
簡単に言えば、内部統制監査は「財務報告の信頼性」という特定の目的に特化した監査であり、法的な要請が強い側面があります。一方、内部監査はより経営全般に目を向け、組織の改善やリスク管理を支援する活動と言えます。ただし、内部監査部門がJ-SOXにおける内部統制の評価作業の一部を担うなど、両者は密接に連携して活動することが多くあります。
会計監査との関係性
もう一つ、混同しやすいのが「会計監査」です。会計監査は、企業の作成した財務諸表が、一般に公正妥当と認められる企業会計の基準(会計基準)に準拠して適正に表示されているかどうかについて、独立した第三者である公認会計士または監査法人が意見を表明することです。これは主に投資家保護を目的としており、金融商品取引法や会社法で大企業などに義務付けられています。
内部統制監査は、この会計監査の前提となる重要な要素です。会計監査人は、財務諸表の監査を行う過程で、企業の内部統制が有効に機能しているかを評価します。もし内部統制に不備があれば、財務諸表に重要な誤りが含まれるリスクが高いと判断し、より詳細な監査手続が必要になる場合があります。つまり、内部統制監査によって内部統制の有効性が確認されることは、会計監査の効率性と信頼性を高める上で非常に重要なのです。
内部統制監査はどのように進められるのか?
内部統制監査(特にJ-SOX対応における経営者評価)は、一般的に以下のステップで進められます。
ステップ1: 監査計画の策定
まず、監査の基本方針、目的、対象範囲、実施体制、スケジュールなどを定めた全体計画を策定します。次に、評価対象とすべき重要な事業拠点や業務プロセスをリスクの大きさなどを考慮して選定します。そして、選定された対象について、どのような統制(コントロール)が存在し、どのようなリスクに対応しているのかを文書化(業務記述書、フローチャート、リスク・コントロール・マトリックス(RCM)など)します。この段階で、どの統制を重点的に評価するかを決定します。
ステップ2: 監査の実施と証拠の収集
策定した計画に基づき、文書化された内部統制が実際に有効に機能しているかをテストします。テストの方法には、以下のようなものがあります。
- ウォークスルー: 特定の取引を選び、その発生から集計、報告に至るまでのプロセスを、担当者への質問や記録の閲覧、実際の業務観察を通じて追跡し、統制の設計と運用状況を理解・確認します。
- 運用テスト: 統制が継続的に有効に機能しているかを評価するため、一定期間の取引記録や承認記録などをサンプリング(抽出)し、規程通りに処理されているか、承認が適切に行われているかなどを検証します。担当者への質問や文書の閲覧、再実施なども行います。
これらのテストを通じて得られた結果(会議の議事録、承認記録、システムログ、担当者の証言など)は、評価の根拠となる「監査証拠」として収集・記録されます。
ステップ3: 評価と報告
収集した監査証拠に基づき、内部統制の有効性を評価します。テストの結果、統制が有効に機能していない「不備」が発見された場合は、その内容、発生原因、財務報告に与える影響の重要性を分析します。重要性が高いと判断された不備は「開示すべき重要な不備」として、内部統制報告書に記載する必要があります。
評価結果は、最終的に経営者によって取りまとめられ、「内部統制報告書」として財務報告書と共に提出されます。不備が発見された場合には、その内容と是正策についても記載されます。また、監査役や監査委員会、そして会計監査人にも評価結果が報告され、連携が図られます。
内部統制監査を成功させるための重要なポイント
内部統制監査を形式的なものに終わらせず、実効性のあるものにするためには、以下の点が重要になります。
経営層の強いコミットメント
内部統制の整備・運用・評価は、経営者の責任において行われるものです。経営層が内部統制の重要性を深く認識し、その強化に積極的に関与する姿勢を示すことが、監査成功の最大の鍵となります。「やらされ感」ではなく、自社の価値向上のための活動であるという意識を組織全体に浸透させることが重要です。経営層自らが率先してルールを守り、監査結果を真摯に受け止め、改善に取り組む姿勢を示すことで、従業員の意識も高まります。
適切な監査体制の構築
監査を効果的に実施するためには、それにふさわしい体制が必要です。特に以下の要素が求められます。
- 独立性: 評価対象となる業務執行部門から独立した立場で、客観的に評価できる体制が必要です。内部監査部門が評価を行う場合、その独立性を確保するための工夫(監査役会への直接報告ルートなど)が求められます。
- 専門性: 内部統制、リスク管理、会計、ITなどに関する専門知識やスキルを持つ人材が必要です。必要に応じて外部の専門家(コンサルタントなど)の支援を活用することも有効です。
- 客観性: 先入観や偏見を持たず、事実に基づいて公正に評価を行う姿勢が求められます。
企業の規模や業種、リスク特性に応じて、内部監査部門の強化、監査役・監査委員会の機能強化、外部専門家の活用などを組み合わせ、最適な監査体制を構築・維持していく必要があります。
継続的な改善プロセスの確立
内部統制監査は、一度実施して終わりではありません。ビジネス環境やリスクは常に変化するため、内部統制もそれに応じて見直し、改善していく必要があります。監査で発見された不備に対する是正措置が計画通りに実施されているかを確認するフォローアップも重要です。
監査計画(Plan)→実施・証拠収集(Do)→評価・報告(Check)→改善(Action)というPDCAサイクルを回し続けることで、内部統制はより強固で実効性のあるものになっていきます。定期的な見直しと改善を怠らないことが、企業の持続的な成長を支える基盤となります。
内部統制監査と内部監査の違いを理解し、それぞれの目的と実施方法を適切に実践することで、企業はリスクを管理し、信頼性を高めることができます。
アメリスではこれまでに財務報告の信頼性確保を目的とする内部統制監査と、より広範な組織運営の改善を目指す内部監査に対し、双方に適応する業務要領書(業務フロー図・業務記述書)の作成を支援してきた実績がございます。
監査で使う業務要領書を統一することで、二重管理を防ぎ、内部統制監査の形骸化を解消し、意味のある内部統制の実現に貢献しております。
今後、企業を取り巻く環境はますます複雑化していくことが予想され、内部統制監査の重要性はますます高まっていきます。内部統制監査の意義を改めて認識し、しっかりと取り組んでいきましょう。
簡単30秒!資料請求や無料相談はこちら
