内部監査は組織内部の独立性・客観性を持った人・組織が実施する監査である一方、外部監査は公認会計士や監査法人など社外の第三者的立場の者が実施する監査を指します。前者を第一者監査、後者を第三者監査と呼ぶこともあります。

内部監査は監査人が自組織の財務状況や業務状況を主体的に調査・分析し、必要に応じて被監査部門の改善活動の取り組みをサポートします。外部監査は一般的に、賃借対照表や損益計算書などの企業の財務状況に関する報告に妥当性があるかどうかを調査・分析し、その結果を株主や顧客、取引先などの利害関係者に提示することを目的としています。

会計監査

企業の財務諸表の内容が適切に記載されているかを確認するための監査です。企業会計の監査基準を基に、企業の財政状態や業績、キャッシュフローなどの状況を経営者が適正に表示しているかを確認します。

業務監査

購買・生産・販売などの経営活動に関する監査で、これらの活動の遂行状況や、活動が経営の目的と合致しているかを確認します。例えば、規程や業務マニュアルが整備されているか、業務手順書に沿った業務を実施しているかを経営の目的と照らし合わせながら確認します。

デューデリジェンス監査

企業が不動産投資やM&Aを行う際に投資対象の実態を把握するために行う監査であり、財務監査、法務監査、経営監査の三つの視点から実施します。

システムセキュリティ監査

情報システムリスク及びそこから引き起こされる各種のリスクを適切に管理するために実施する監査です。例えば、ITコントロールの有効性などについて検証します。

コンプライアンス監査

組織内部の規則や法令、倫理憲章、社会的規範などを含めたルールに関して、遵守できているかチェックするための監査です。コンプライアンス基本方針や規程、マニュアル、研修などのコンプライアンス体制の整備や運用状況、部門ごとに設けられている規程や業務マニュアルに対する業務の準拠性を確認します。監査人は被監査部門や子会社などにおける規程類の整備・運用状況を保証する役割を担います。

内部監査は以下の流れで実施します。各項目に関して解説します。

1. 情報の収集
2. リスクアセスメント
3. 内部監査の対象範囲の決定
4. 内部監査実施計画の作成
5. 内部監査の実施
6. 内部監査報告書の作成
7. 内部監査結果の報告
8. 内部監査のフォローアップ

1. 情報の収集

内部監査実施計画を策定する前に、経営陣に対して、インタビューなどのオフサイトモニタリングによって「経営にとって重要なリスクは何か」「内部統制面での懸念」を確認します。その上で、リスクや内部統制に関わる定量・定性情報を収集し経営陣に報告します。収集する情報としては以下が想定されます。

• 前回の監査結果や自主検査の結果
• 経営会議やリスク管理委員会で報告されている各種リスク指標
• ストレステストの実施結果
• 法令、規程・マニュアルの改正による影響　等

2.リスクアセスメント

収集した情報を基にリスクアセスメントを行います。リスクアセスメントとは、対応すべきリスクが複数ある中で、限られた経営資源を最適に配分するために用いられるアプローチ方法の一つです。詳細はこちらをご覧ください。

3. 内部監査の対象範囲の決定

リスクアセスメントの結果を踏まえ、リスクが高いと判定された部署・拠点を中心に、内部監査を実施する対象範囲を決定します。

4. 内部監査実施計画の作成

「内部監査実施計画書」を策定します。計画書には以下の内容について記載します。

1. 内部監査の基本方針、重点目標
2. 内部監査の実施対象
3. 個別監査の実施スケジュール
4. 年度の要員計画

5. 内部監査の実施

内部監査では十分かつ適切な監査証拠に基づいて報告書を作成する必要があります。IIAの内部監査指針では以下の4つのポイントを押さえて内部監査を実施することが求められています。

1. 情報の入手
2. 監査証拠資料の評価および結論の形成
3. 監査調査書の作成および保存
4. 内部監査の監督

「情報の入手」では、質と量の両面において十分な信頼性や関連性、有用性を備えた情報を収集します。「監査証拠資料の評価および結論の形成」においては、入手した情報を分析・評価した上で監査証拠資料（監査意見の基礎となる情報資料）にするかどうかを判断し、それに基づいて結論を出します。「監査調査書の作成および保存」では、結論に至るまでの過程に関して監査調書に記録を残すことが求められます。「内部監査の監督」では、品質を確保した上で内部監査の目標を達成できるよう、適切な監督が必要になります。

6. 内部監査報告書の作成

最終報告として内部監査報告書を作成します。内部監査報告書には、実施した内部監査の目標と範囲、内部監査人の意見、是正措置の計画を含めます。併せて、経営陣や内部監査の対象部門、関連部門に対して内部監査結果や問題点を説明する必要があります。これにより、迅速な是正措置の実現を促し、内部監査の効果と信頼性を高めることができます。

7. 内部監査結果の報告

内部監査の結果を最高経営責任者に対して、取締役会や監査委員会などで報告します。報告内容は内部監査で明らかになった指摘事項等で、正確性や客観性が求められるのはもちろん、監査で判明した事実に基づく内部監査人の意見を含める必要があります。

8. 内部監査のフォローアップ

フォローアップとは、内部監査での指摘事項や勧告について、対象部門や関連部門がどのような是正措置を行ったのかを継続的にモニタリングすることです。フォローアップ実施時に問題が解決されていないと判断した場合には、取締役会および監査役（会）または監査委員会に伝達します。ただし、被監査部門は全ての是正措置を行う必要はありません。是正措置を実行することが難しい場合は、監査人が阻害要因を確認し、それを解消するための具体的な方策を提言するなどします。一定水準以下のリスクは受容することも可能です。

内部監査自体の品質を担保するツールの一つとして、QA&IP（Quality Assurance and Improvement Program：品質の保証・改善プログラム）があります。IIAが定めた国際基準に従って監査が行われているかを確認するためのプログラムです。経営目標の達成に向け、このようなツールを利用して内部監査の品質を保つのも良いでしょう。