【わかりやすく解説】内部統制監査とは？目的、内部監査/会計監査との違い

執筆者：茅原淳一（Junichi Kayahara）

企業が上場すると、内部統制監査を受ける必要が生じます。内部統制監査とは企業全体が関わる監査で、企業が健全に活動する上で大きな意義があります。

この記事では、内部統制監査の概要と主な監査項目、監査のチェック項目、会社内のそれぞれの立場での責任などについて分かりやすく解説します。

内部統制監査が求められる背景

内部統制監査が求められる背景には企業の会計情報への信頼性を確保すべきという、投資家や世論の機運が高まったことにあります。

まず、2001年ごろにアメリカで大規模な不正事件が続いたことで、日本に大きな影響を与えることになるアメリカの「SOX法」が誕生しました。

このSOX法は、粉飾決算などの企業会計の不祥事を規制するためにアメリカ政府が制定したもので、日本語では「上場企業会計改革および投資家保護法」と訳されます。

2002年に制定されたこのSOX法は、企業による不正会計を防止するために一定の役割を果たしてきました。

同じ頃、日本でも大企業による粉飾決算などの不正が相次いだため、日本版SOX法となる「財務報告にかかる内部統制報告制度（いわゆるJ-SOX）」が2006年に制定されました。このJ-SOX法の実施対象は、すべての上場企業となります。

SOX法とJ-SOX法は文化による違いなどがあるものの、企業に不正会計を防止することを求め、内部統制を促すという目的で共通しています。

興味深いことに、J-SOX法は企業の負担軽減に努め、過大なコスト増にならないように設計されています。

例えば、SOX法が内部統制の評価を「重要な欠陥」「不備」「軽微な不備」の3つに区分するのに対し、SOX法は「重要な欠陥」「不備」の2つとしています。また、SOX法が経営者と監査人の二重評価を求めるのに対し、J-SOX法は監査人が経営者の内部統制評価のみ監査することを要求します。

このような違いはあるものの、日本でも企業統治の強化を目指して法律が整備される流れとなりました。

J-SOXについてさらに詳しくは、以下の記事もご覧ください。
⇒J-SOXとは？内部統制の目的とJ-SOXの具体的な進め方と役割について解説
⇒J-SOXの3点セットとは？作成目的や手順をサンプルを交えて解説

内部統制監査とは

内部統制監査とは、企業内部の内部統制評価が適切なものかどうかを監査するものです。

以下に詳しくご説明します。

内部統制監査の目的

内部統制監査は、企業の内部統制が適切に行われているかどうかを調べるためのものです。企業が自ら設定した内部統制という仕組みを、外部の監査機関が客観的な立場から検証します。

企業は、会計関連の情報を適切に報告できているか、あるいはミスや不正が万が一発生してもすぐに是正できる体制を採用しているかどうか、などについて自ら内部統制報告書として作成します。

内部統制監査は、この報告書の評価が適切に実施されているかどうかを調べるために行います。監査で問題がなかった場合、企業が信頼できる会計報告を提供できていることを対外的に証明できます。

そもそも、内部統制は企業内部の健全な組織を維持するために必要不可欠です。しかし、不正の発生・隠蔽を防ぐためには第三者がその有効性や信頼性を検証する必要があります。

企業が検証を必要とする内部統制は、以下のような要素で構成されています。

統制環境	組織の気風を決定し、以下のすべての要素に影響を及ぼす基盤となるもの。これには経営者の意向や経営戦略、組織としての倫理観などが含まれます。
リスク評価と対応	組織にとってリスクとなる事象を認識・判断し、適切な対応を行うプロセス。
統制活動	経営者の命令や指示が適切に実行されるための方針や手続き。権限や職責の付与などにより、統制活動が業務に含まれて機能していることを指します。
情報と伝達	必要な情報が識別・処理され、組織内外の関係者相互に正しく伝えられることを確保すること。
モニタリング	内部統制がきちんと機能していることを継続して評価するプロセスのこと。
ITへの対応	組織の目標を踏まえて、組織内外のITに適切な対応をしていること。

※出典：金融庁『内部統制の基本的枠組み（案）』

これらの実態を評価して提出された報告書に基づき、実際に実行できているかを外部から監査するのが内部統制監査の目的です。

内部統制監査の基本的な要素

内部統制監査は、基本的に以下のような要素で構成され、実施されます。

・内部統制の整備状況を確認する
・内部統制の運用状況を確認
・不備への対応
・整備状況に対する評価
・最終的な不備を集計する
・「開示すべき不備」に当たるかを判断する
・内部統制報告書を作成
・監査法人や公認会計士など、外部による監査
・内部統制報告書および内部統制監査報告書を公表する

※出典：金融庁『財務報告に係る内部統制の評価及び監査の基準』

アメリカのSOX法よりも企業負担の軽減が考慮されており、外部の監査機関によって二重に監査することはありません。

外部の監査機関が介入するのは報告書を公表する手前の段階で、内部統制報告書の作成までは企業内部で行います。

内部統制監査におけるポイント

内部統制監査でチェックされるポイントは以下のとおりです。

実在性	資産や負債が実際に存在すること。財務諸表の情報が実在する取引であること、帳簿上の残高と実際の残高が一致していること、販売している製品がきちんと保管・保存されていることなどをチェックします。
網羅性	計上されるべき資産や負債、取引内容がすべて計上されているかどうかをチェックします。例えば、期末時点で取引があるなら、漏れずに計上されていなければなりません。
権利と義務の帰属	貸借対照表上に計上された資産に関する権利や、負債に対する義務が会社に帰属しているかどうかをチェックします。企業が保管しているものが実際には誰の所有物かについて、権利関係を調べます。
評価の妥当性	資産や負債を適正な価格で計上しているかどうかをチェックします。棚卸資産の適切な評価や、有価証券の時価基準の適切な評価を調べます。
期間配分の適切性	取引や会計が正しい会計期間で計上されているかどうかをチェックします。期間外の会計を記載しないこと、減価償却が正しく処理されていることなどが含まれます。
表示の妥当性	資産や負債など、財務諸表がすべて適切な項目で表示されているかどうかをチェックします。

※出典：金融庁『財務報告に係る内部統制の評価及び監査の基準』

これらは、財務諸表などの情報を正しく公表するための構成要素で、内部統制において「アサーション」とも呼ばれます。

これらの要素をチェックすることで、内部統制が適切に行われているかどうかを監査します。

内部統制監査と内部監査・会計監査の違い

内部統制監査とよく混同される言葉として、「内部監査」と「会計監査」が挙げられます。

以下にこれらの違いを解説します。

内部監査との違い

内部監査とは、内部統制がきちんと機能しているかどうかを会社内部で監査するものです。そのため、経営者直下に配属された内部監査人など社内の人物が行います。

内部監査は内部統制の仕組みの一部で、法令や社内規定に沿って業務が適切に行われているかどうかを確認します。

内部統制の機能をチェックし、リスクや問題の早期発見、また業務が適正に行われていることを見るのが特徴です。

内部統制監査のように、外部の監査機関による法令に基づいた監査ではありません。

内部監査の役割・プロセスに関してさらに詳しくは、以下の記事もご覧ください。
⇒【経営者向け】内部監査とは？目的・外部監査の違い・監査プロセスを解説！
⇒J-SOX対応における内部監査部門が担う役割とは？J-SOXの3点についても解説

会計監査との違い

会計監査は、財務諸表の信頼性をチェックします。いくつか関係する部分もあるものの、監査対象が内部統制報告か財務報告かという点で異なります。

公認会計士や監査法人が行うという意味では内部統制監査と似ていますが、内部統制監査では財務諸表を使用しません。

内部統制報告書に基づき、会計分野も含む内部統制そのものが有効かどうかを監査します。

内部統制監査とコーポレート・ガバナンス / コンプライアンスとの違い

企業の内部を統制するという意味では、コーポレート・ガバナンスやコンプライアンスも似ていますが、違いは不祥事を防ぐことに重点を置いているかどうかです。

コーポレート・ガバナンスは、企業統治という英語の言葉の通り、企業が経営を安定して行っていく上での規律や管理体制のことです。

コンプライアンスは、法令遵守と訳されることが多いことから分かるように、法令や社内規範、企業倫理などを適正に守っていることを指します。

当然ながら、不安定な経営や法令に違反する行為は、経営陣による経営改善や国家機関による捜査の対象であり、監査の対象ではありません。

これらに対して、内部統制監査は「不祥事を防ぐ仕組みが公表された通りに機能しているかどうか」を調べる監査です。

3つとも関連する部分がありますが、意味するところは異なります。

言うなれば、内部統制によってコーポレート・ガバナンス / コンプライアンスを達成することが企業の持つべき目標です。

コーポレート・ガバナンス に関してさらに詳しくは、以下の記事もご覧ください。
⇒コーポレートガバナンス(企業統治)とは？目的・強化方法・歴史的背景について解説！
⇒コーポレートガバナンス・コードとは？概要・特徴・制定された背景について解説
⇒コーポレートガバナンス・コードの5つの基本原則｜特徴・制定の背景・適用範囲と拘束力について解説
⇒【2021年改訂】コーポレートガバナンス・コードの実務対応と開示事例

内部統制監査報告書とは

内部統制監査報告書は、企業が作成した内部統制報告書を監査した内容をまとめた報告書です。J-SOX法によって、すべての上場企業に公表が義務付けられるようになりました。

これは監査の報告書であるため、内部統制の監査人である公認会計士や監査法人が作成します。

企業が自ら作成した内部統制報告書だけでは、客観性を保証できず、公表する意味を成しません。

そのため外部による監査を公認会計士や監査法人が行い、その結果を記した内部統制監査報告書によって客観性を証明します。

内部統制報告書は金融庁に提出しますが、内部統制監査報告書を添付して初めて受理されます。

内部統制監査報告書に載せる内容

内部統制監査報告書には、企業が作成した内部統制報告書に対する監査人の意見が記されます。

以下のいずれかの内容で監査結果を記載します。

無限定適正意見	内部統制報告書の内容はおおむね正しいものである。
限定付適正意見	報告書の一部に不適切な箇所はあるものの、記載内容はおおむね正しいものである。
不適正意見	報告書の記載内容は不適切なものである。
意見不表明	報告書の記載内容が適切かどうかは判断できない。

※出典：金融庁『Ⅲ．財務報告に係る内部統制の監査（案）』

実は、「不適正意見」や「意見不表明」によってすぐに厳罰が科されるわけではありません。

しかし、対外的・社会的な信頼を失うことは会社の存続に関わるため、企業は基本的に無限定適正意見を目指して努力する必要があります。

内部統制監査に関係する役職

内部統制監査が行われる場合、企業の経営者や監査人だけでなく大勢の人が関係します。

以下に、それぞれに求められる役割や責任を分かりやすくまとめました。

経営者

企業の代表者であるため、最も責任が重く管理能力が問われる立場です。

企業のあらゆる活動における最終的な責任を背負っており、内部統制を整備し、運用する役割があります。

まず、経営者は内部統制を行うための仕組みを設計することから求められます。

そして、設計した仕組みが実際の業務で用いられ、それを企業が活動する間ずっと有効に機能させる努力も必要です。

それらを運用する体制を立ち上げたなら、自ら内部統制の実態を評価し、内部統制報告書として監査人に提出します。

取締役会・監査役会

取締役会は、経営者とともに経営や企業統治に関わる立場であり、経営者に次ぐ重要な役割と責任を担っています。

取締役会は、経営に関して大きな権限と責任を担いながら、経営者の業務執行を監視し、必要であれば是正することも業務に含まれます。内部統制のみならず、企業の業務プロセスにおいても一部分を成す存在です。

監査役会は、経営者の業務の監視に特化して業務を行い、重大な事実が発見された場合は速やかに取締役会に報告します。

取締役会よりも専門的に内部統制の監査と検証を担っているため、内部統制監査を問題なく通過するためには欠かせない存在です。

内部監査人

内部監査人は、企業の内部から内部統制について監査する立場です。

内部監査人の監査は法律で定められた要求事項ではないものの、内部統制において実質的に必須の役割となっています。

内部統制のモニタリングの一環であり、自身の検証や評価に基づいて改善を促す責務を担っているのが特徴です。

役員・役職以外の従業員

従業員は、内部統制の方針に従う立場にあります。

内部統制が適正に機能するためには、各従業員が内部統制の意義や内容を理解し、それぞれの業務において遵守する必要があります。そのため、自らの業務において内部統制に根本的に関わる立場です。

従業員が適正に業務を行うことで、内部統制の整備や運用に貢献する役割を果たします。

内部統制監査の実務の助けになる資格

内部統制監査に際して必須となる資格はありませんが、関連業務を円滑に行うにあたって役立つ資格があります。

以下にて、実務を手助けする資格をご紹介致します。
・公認内部監査人
・公認不正検査士
・公認情報システム監査人

公認内部監査人

日本内部監査協会が提供する、世界水準のCIA（公認内部監査人）資格認定試験の日本語版に合格した人に与えられる資格です。

内部監査人に関しては唯一の国際的な資格でもあり、内部監査人として独立的・客観的に監査するために必要な知識を身につけます。

内部監査に関する知識を体系立てて理解しており、国際基準に則った理解力を持っていることを証明します。

公認不正検査士

一般社団法人「日本公認不正検査士協会」が提供する、不正防止に関する実務経験と知識を有する人に与えられる資格です。

財務取引・会計に関する不正スキームや不正の法律的な要素、不正調査に関する知識、犯罪学と倫理など、財務だけでなく法的な知識を問われる資格となっています。

資格登録にあたっては「2年以上の不正対策関連業務経験」と「3名の推薦状」を必要とし、不正対策の専門家として認められるプロフェッショナルな内容です。

国際資格であり、アメリカの「公認不正検査士協会（ACFE）」が認定しています。

公認情報システム監査人

情報システムの監査、セキュリティ、コントロールに関する知識や技能を有する人に与えられるもので、ISACA（情報システムコントロール協会）が提供する国際的な資格です。

企業が運用するネットワークの信頼性・セキュリティが維持されているか、企業活動に貢献しているかを検証します。

個人情報を含む企業の情報漏洩やセキュリティの脆弱性、システム障害などへの対策がなされているかを調べることで、情報管理による問題が発生するのを防ぎます。

まとめ

内部統制監査は、上場企業に義務付けられた客観的な監査であり、企業の信頼や市場の安定に貢献する制度です。

内部統制の重要性はますます高まっており、健全で適正な企業運営による内部統制監査の良い評価が求められています。

この記事が、内部統制監査に際して概要を知るお役に立てば幸いです。最後までお読みいただきありがとうございました。

---

内部統制・内部監査については次の記事もご参照ください。
⇒法定監査とは？種類、任意監査や税務調査との違いを解説
⇒ISMS（ISO27001）内部監査とは？進め方、実施の注意点を解説
⇒ISO9001内部監査とは？目的、質問例、進め方を徹底解説
⇒内部監査報告書とは？目的や書き方、流れをわかりやすく解説
⇒内部統制監査とは？目的、内部監査/会計監査との違い
⇒内部統制実施基準とは？概要や2023年4月の改訂ポイントをわかりやすく解説
⇒内部統制システムとは？目的、義務がある会社、具体例をわかりやすく解説
⇒内部統制報告書とは？目的、提出義務がある会社、作成方法などを解説