内部統制と内部監査の違いとは?役割や連携のポイントをわかりやすく解説
企業が健全に成長し続けるには、組織内のルールを整え、正しく運用し続ける仕組みが欠かせません。その運用を確かなものにするための「確認体制」として、よく耳にするのが「内部統制」と「内部監査」です。しかし、この2つの違いや関係性を正しく理解できている方は、意外と少ないのではないでしょうか。これから上場を目指す企業の担当者や、管理体制の強化を任された経営者にとって、これらの理解は避けて通れない重要なテーマです。
本記事では、まず内部統制と内部監査の基本的な定義を解説した上で、混同されがちな両者の違いや関係性、そしてなぜこれらが現代の企業経営において重要視されるのかについて詳しく紹介します。
内部統制とは?
内部統制の基本的な定義について、具体的な中身を掘り下げてみましょう。言葉の響きから「社員を厳しく縛る管理」というイメージを持つ方もいるかもしれませんが、本来は社員が安心して働ける環境を作るためのものです。
【関連記事】内部統制とは?4つの目的と6つの基本的要素をわかりやすく解説
健全な組織運営に不可欠な仕組み
内部統制は、会社法や金融商品取引法において整備・運用が求められている法的義務であると同時に、企業が永続的に発展するための健康管理システムのようなものです。もし内部統制がなければ、権限の所在や承認フローが不透明になり、悪意のある不正や横領だけでなく、管理不足や不注意による不作為の誤謬も容易に招きかねません。
また、担当者が退職すると業務が回らなくなる属人化のリスクも高まり、組織の継続性が損なわれる懸念もあります。適切なルールと仕組みがあることで、誰が担当しても一定の品質で業務が遂行でき、会社の資産や全体的信用を守ることができます。
IPO(新規上場)を目指す企業にとっては、この仕組みが整備されていることが審査の最重要項目の一つとなります。
金融庁が定める「4つの目的」
日本における内部統制の基準では、達成すべき4つの目的が定義されています。
これらは相互に関連しており、すべてをバランスよく達成することが求められます。
- 業務の有効性及び効率性:事業活動の目的達成のため、時間や人員などのリソースを有効かつ効率的に活用すること。
- 財務報告の信頼性:財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報に、虚偽記載がないことを保証すること。
- 事業活動に関わる法令等の遵守:事業活動に関わる法令その他の規範の遵守を促進すること(コンプライアンスの徹底)。
- 資産の保全:資産の取得、使用及び処分が正当な手続き及び承認の下に行われ、不正や誤謬から保護すること。
構成する「6つの基本的要素」
4つの目的を達成するために必要不可欠な要素として、以下の6つが定められています。
- 統制環境:組織の気風を決定付け、他の要素の基礎となるもの。経営者の姿勢や誠実性、経営方針などが含まれます。
- リスクの評価と対応:組織目標の達成に影響を与える事象を識別・分析し、適切な対応を選択するプロセスです。
- 統制活動:経営者の命令が確実に実行されるための方針及び手続のことをいいます。権限の分配や承認、業務分担などを指します。
- 情報と伝達:必要な情報が識別、把握及び処理され、組織内外の適切な者に正しく伝えられる仕組みです。
- モニタリング:内部統制が有効に機能しているかを継続的に評価するプロセス(日常的モニタリング・独立的評価)です。
- ITへの対応:組織目標を達成するために、適切なIT(情報技術)の利用・管理を行うことです。
内部監査とは
内部監査とは、社内の独立した部門(内部監査室など)が、業務がルール通りに行われているか、不正のリスクがないかを客観的に評価・検証する「活動」のことです。
【関連記事】内部監査とは?目的から実施手順まで企業の成長を支える仕組みを解説
独立した立場からの「評価」と「助言」
内部統制という「仕組み」を作っても、現場でそれが無視されていたり、形骸化していたりしては意味がありません。内部監査は、内部統制の要素の一つであるモニタリング活動のうち、独立した立場から客観的に評価を行う「独立的評価」としての役割を担います。
チェックするだけでなく、発見された課題に対して「業務フローのここを直した方が効率が良い」「この管理方法では不正のリスクがある」といった改善の助言(コンサルティング)を行うことも重要な任務です。
【関連記事】内部監査チェックリストの作り方|目的別のサンプルや活用ポイントも解説
経営者の「目」としての役割
内部監査部門は、通常、被監査部門(営業部や経理部など)からは独立した、社長直轄の組織として設置されます。現場のしがらみにとらわれず、客観的な事実を経営者に報告することで、「社長の目」や「社長の耳」として組織の自浄作用を高める機能を果たします。
内部統制と内部監査の違いとは?
多くの企業担当者が最初に躓くのが、この2つの言葉の定義と関係性の理解です。両者は密接に関わっていますが、その役割や責任の所在は明確に異なります。まずは全体像を把握するために、両者の違いを整理してみましょう。
仕組みとチェック機能という役割の違い
最も基本的な違いは、対象が「仕組みそのもの」か「仕組みを評価する機能」かという点です。内部統制とは、企業が健全に事業活動を行うために業務プロセスの中に組み込んだルールや仕組み全体を指します。たとえば、経費精算時の上長承認やシステムへのアクセス権限設定などがこれに当たります。一方で内部監査は、構築された内部統制が正しく機能しているか、ルール通りに運用されているかを独立した立場からチェックし評価する活動のことです。
つまり、内部統制という土台があり、その品質を保証するために内部監査が存在するという関係になります。
責任者と実行者の明確な区分
責任の所在についても大きな違いがあります。内部統制の構築と運用の最終責任者は経営者であり、実際にその統制を実行するのは全社員です。現場の担当者がマニュアル通りに業務を行うことも内部統制の一部といえます。
これに対し、内部監査の責任者は内部監査部門長や担当役員であり、実行するのは指名された内部監査人です。内部監査人は経営者直轄の組織として配置されることが多く、現場の指揮命令系統からは独立しています。自らが実行した業務を自ら監査することは客観性を損なうため、被監査部門との兼務は原則として制限されます。
| 項目 | 内部統制 | 内部監査 |
|---|---|---|
| 定義 | 業務を適正に進めるためのルールや仕組み | 仕組みが機能しているか評価する活動 |
| 主な主体 | 全社員(構築責任は経営者) | 内部監査部門・監査人 |
| 役割 | ミスの防止、リスク管理、法令遵守の実行、財務報告の信頼性確保 | 運用の評価、不正発見、改善提案 |
| 位置づけ | 業務プロセスそのもの(守り) | 第三者的な視点でのチェック(監視) |
目的と対象範囲の相違点
それぞれの活動が目指すゴールも異なります。内部統制は、日々の業務ミスを減らすことや財務報告の信頼性を確保することなど、業務プロセスそのものの品質を維持・向上させることが直接的な目的です。
対象範囲は企業の業務全活動に及びます。対して内部監査は、組織のリスクが高い領域に焦点を当てて、経営目標の達成を阻害するリスクがないかを調査します。すべての業務を全件チェックするわけではなく、リスクアプローチに基づいて重要な部分を重点的に監査します。
このように、全社的な基盤としての内部統制と、ポイントを絞った診断機能としての内部監査という使い分けがなされています。
内部統制と内部監査の重要性
現代の企業経営において、内部統制と内部監査が重要視される理由は、単なる法令遵守の枠を超え、企業の存続と成長に直結するからです。なぜこれほどまでに重要性が叫ばれているのか、主な3つの視点から解説します。
企業の社会的信用とガバナンスの強化
近年、企業の不祥事や粉飾決算がニュースになることが増えています。一度でもコンプライアンス違反や財務報告の虚偽記載が発生すると、企業によっては株価の大幅な下落や法的制裁、さらには社会的信用の失墜など、事業継続を揺るがしかねないダメージを受けます。
強固な内部統制と厳格な内部監査体制は、こうしたリスクを未然に防ぐ防波堤となります。透明性の高い経営体制(コーポレートガバナンス)を構築することで、株主や投資家、金融機関、取引先からの信頼を獲得し、「安心して取引できる会社」としての社会的信用を維持向上させることができます。社会的信用は、企業が持続的に成長するための最も重要な資産の一つです。
業務効率化とコスト削減への貢献
内部統制と聞くと「ルールが増えて面倒になる」というイメージを持つかもしれませんが、正しく機能すれば業務効率は向上します。
内部監査のプロセスでは、業務フローの無駄や重複、属人化している作業を洗い出します。標準化を推進することで、業務の属人化および暗黙知化を解消することが可能です。これにより、ミスの手戻り時間が減少し、結果的にコスト削減や生産性の向上につながります。つまり、内部統制と内部監査は「守り」だけでなく「攻め」の経営にも貢献するのです。
IPO(新規上場)準備における必須条件
これから上場を目指す企業(IPO準備企業)にとって、内部統制と内部監査の整備は避けて通れない最重要課題です。証券取引所の上場審査では、「企業として永続的に利益を出せる仕組みがあるか」と同時に、「不正及び誤謬を防ぎ、正しい財務諸表を作成できるガバナンス体制があるか」が厳しくチェックされます。
形式的にルールを作るだけでなく、内部監査によって実効性が担保されていることを証明できなければ、上場承認を得ることはできません。IPOを目指す段階から、監査法人や証券会社と連携し、組織の規模や特性に応じた実効性のある内部統制システムを構築していくことが求められます。
【関連記事】IPO準備における内部統制の構築|スケジュールと成功のポイント
混同しやすい「内部統制監査」との違い
「内部監査」と非常によく似た言葉に「内部統制監査」があります。名称は類似していますが、根拠法令や実施主体が根本的に異なります。特に上場企業や上場準備企業においては、この違いを明確に区別しておく必要があります。
以下の表で、内部監査と内部統制監査の違いを比較します。
| 項目 | 内部監査 | 内部統制監査 |
|---|---|---|
| 実施者 | 組織から独立した内部監査人等 | 会計監査人(外部の監査法人等) |
| 対象 | 全従業員の業務活動やリスク管理、ガバナンス | 内部統制報告書および評価プロセス |
| 目的 | 業務改善・リスク管理・自浄作用の強化 | 内部統制報告書の適正性への意見表明 |
| 報告先 | 経営陣・取締役会・監査役等 | 取締役会・監査役等(外部へ開示) |
内部監査と内部統制監査の比較
内部監査は、これまで解説してきた通り「社内の人間」が「社内の業務」をチェックする活動です。自社のための活動であり、経営管理の一環として行われます。
一方、内部統制監査は、経営者が作成した「内部統制報告書」が適正であるかどうかについて、独立した立場にある会計監査人が意見を表明するものです。具体的には、経営者が自ら整備・運用した仕組みを正しく評価しているかを、外部の視点から監査します。
監査報告書の作成者の違い
成果物である報告書の作成者と、その後のプロセスも大きく異なります。内部監査の結果は「内部監査報告書」としてまとめられ、内部監査部門長から経営陣・取締役会へ提出されます。これは組織の自浄作用を高めるための内部管理文書としての扱いです。
対して、内部統制監査の結果は、監査法人が「内部統制監査報告書」として作成します。報告書は、経営者が作成した「内部統制報告書」と併せて、金融庁(EDINET等)を通じて提出され、一般に公表される法的根拠を持った公的文書となります。この報告書によって、投資家は「この会社の財務報告プロセスには信頼性がある」と判断することができます。
内部統制・内部監査を実施する流れ
内部統制の構築から運用評価(内部監査)までの一連の流れは、一般的に以下のようなステップで進められます。ここでは上場企業やIPO準備企業で求められるJ-SOX(内部統制報告制度)対応を念頭に置いた標準的なフローを解説します。
【関連記事】J-SOXとは?基本から2024年改正まで完全解説
基本方針の決定と評価範囲の選定
まずは経営者が中心となり、内部統制構築の基本方針を決定します。会社全体でどのようなリスク管理を行うかというビジョンを明確にし、社内に周知します。
その上で、評価対象とする範囲を選定します。全社的な統制はもちろんですが、決算財務報告プロセスや、売上・仕入・在庫管理など、財務諸表への影響が大きい重要な業務プロセスを重点的な評価対象として特定します。この段階で、監査法人と協議を行い、評価範囲の妥当性を確認しておくことがスムーズな運用の鍵となります。
業務プロセスの文書化
次に、対象となる業務プロセスが現在どのように行われているかを可視化します。その際、作成されるのが以下の3つの文書です。
- 業務記述書:業務の内容や手順を文章で記述したもの。
- 業務フローチャート:業務の流れを図式化し、部門間の連携や書類の動きを可視化したもの。
- リスクコントロールマトリクス(RCM):業務プロセス上のリスク(何が起きる可能性があるか)と、それに対するコントロール(どのような対策を行っているか)を表にしたもの。
これらの文書を作成することで、業務の現状とリスクの所在が明確になり、内部統制の整備状況を客観的に評価できるようになります。
整備状況の評価(ウォークスルー)
文書化が終わったら、そのルール自体が適切に設計されているか(整備状況)を評価します。このプロセスを「ウォークスルー」と呼びます。
具体的には、作成したフローチャートや業務記述書を片手に、実際の取引を一件追跡してみます。現場の担当者にヒアリングを行ったり、実際の画面や伝票を確認したりして、「文書通りに業務が流れているか」「リスクに対するコントロールが現場で正しく理解・実施可能な形になっているか」を確認します。もし不備があれば、この段階で修正します。
運用状況の評価(運用テスト)
整備状況に問題がないことが確認できたら、一定期間運用した後、そのルールが継続的に守られているか(運用状況)を評価します。実務上、評価の客観性を担保するために、経営者直轄の内部監査部門がこの評価実務を担うのが一般的です。
母集団(例えば評価対象期間の取引データ)の中からサンプルを抽出し、証憑間の整合があり承認が正しく行われているかなどをテストします。この運用テストによって、内部統制が「絵に描いた餅」にならず、実際に機能していることを証明します。
不備の是正と報告書の作成
評価の結果、コントロールの不備や運用のミス(逸脱)が見つかった場合は、速やかに是正措置を講じます。単にミスを修正するだけでなく、なぜミスが起きたのか原因を分析し、再発防止策を策定・実行することが重要です。
最終的に、期末日時点での内部統制の有効性を評価し、「内部統制報告書」を作成します。経営者が「自社の内部統制は有効である」と表明し、監査法人の監査を受けた上で開示することで、一連のサイクルが完了します。
内部統制と内部監査はどう連携すべきか?
内部統制と内部監査は、車の両輪のような関係です。双方がバラバラに動くのではなく、密に連携することで、会社全体のガバナンスが強化されます。
監査役や会計監査人との三様監査
企業には3つの監査機能が存在します。
一つは社内の「内部監査人」、二つ目は取締役の職務執行を監査する「監査役」、三つ目は財務諸表をチェックする外部の「会計監査人」です。これら三者が連携することを「三様監査」と呼びます。それぞれの監査計画や発見したリスク情報を共有することで、監査の重複排除による効率化に加え、三者が異なる専門視点でリスク情報を共有することで、全社的なガバナンスの有効性を高めることが可能になります。定期的な情報交換会を開催し、お互いの視点から見た会社のリスクをすり合わせることが、効率的な監査体制構築の鍵となります。
情報共有によるリスク管理の強化
内部統制を構築する部門と内部監査部門が日常的に情報共有することも重要です。例えば、新しい業務ルールを策定する段階で内部監査部門が独立性を損なわない範囲で助言を行い、監査しやすい仕組みにしておくことで、後の評価業務(独立的評価)がスムーズになります。
また、内部監査で見つかった現場の課題を、次期の内部統制整備計画に反映させるというサイクルを回すことで、統制の品質が継続的に向上します。対立するのではなく、同じ目的を持つパートナーとして協力体制を築く姿勢が必要です。
効率的なモニタリング体制の構築
J-SOX対応などでは、膨大な量の業務記述書やフローチャートの作成が必要になります。内部統制部門が整備したこれらの文書を、内部監査部門が評価対象の基礎資料として活用することで、資料作成の手間を大幅に削減できます。
また、ITシステムを活用してモニタリングを自動化する際も、両部門が協力して要件定義を行うことが効果的です。人手によるチェックには限界があるため、システムのログ監視などを活用し、効率的かつ網羅的なモニタリング体制を共同で設計することが推奨されます。
まとめ
この記事の要点をまとめます。
- 内部統制は、健全な組織運営に不可欠な「ルールや仕組み」であり、全社員が実行主体となる。
- 内部監査は、独立した立場から内部統制の有効性を評価し、経営に改善を促す「評価活動」である。
- ガバナンス体制の強化は、不正防止といった「リスク管理」のみならず、業務効率化や社会的信用の向上に寄与する。
- IPO準備においては、内部統制の文書化(3点セット)に加え、内部監査による「実効性の立証」が上場審査の最重要項目となる。
内部統制という「業務を適正に進めるための仕組み」と、それを客観的に検証する内部監査は、企業の健全な成長と社会的信用を支える車の両輪です。これらを適切に連携・運用させることは、不正防止やJ-SOX対応といった「守り」の強化だけでなく、業務効率化などの「攻め」の経営基盤を築くことにもつながります。
もし社内のリソースや専門知識に不安がある場合は、無理に抱え込まず外部専門家による知見を積極的に活用し、自社の規模や特性に応じた実効性の高いガバナンス体制を構築することが、上場への近道となります。
