2026年の内部監査は何が変わった?現場担当者が押さえるべき変化と実務対応
- 1 日前
- 読了時間: 16分
「例年どおりの監査計画で本当に大丈夫なのだろうか」——最近、こうした問いを自分に向ける内部監査担当者が増えています。
2025年1月から適用が始まったグローバル内部監査基準(GIAS)、急速に普及が進むAIツールの実務活用、ESG・サステナビリティ情報の信頼性確保への要請——これらの変化が重なり合う2026年の内部監査は、数年前とは明らかに異なる様相を呈しています。ひとつの基準改訂への対応だけでも相応の準備が必要なのに、複数の大きな変化が同時進行している状況は、担当者にとって相当な負荷です。
本記事では、2026年現在の内部監査をめぐる主要な変化を5つの軸で整理します。制度・基準面の変化、テクノロジーの実務実装、ESG監査の本格化、ガバナンス強化に伴う役割の拡大、そして人材・スキルセットの変革——それぞれについて、「何が変わったのか」「現場でどう対応すればよいか」を具体的に解説します。
自部門の現在地を確認したい方、次の監査計画の方向性を考えたい方、あるいは「内部監査が変わっている」と聞いても何から手をつければよいかわからない方に、読んでいただける内容を目指しました。
変化① グローバル内部監査基準(GIAS)の適用が本格化している
2025年1月から始まった「新基準時代」の現実
2024年1月にIIA(国際内部監査人協会)が公表し、2025年1月9日から正式適用が始まったグローバル内部監査基準(Global Internal Audit Standards、以下GIAS)は、2017年以来7年ぶりの大改訂です。2024年7月には日本語版も公表され、日本の内部監査部門にとっても無視できない内容が多数含まれています。
GIASは「15の指導的原則」を核として、内部監査の在り方を体系的に再定義しています。前身の基準との最大の違いのひとつが、内部監査の目的を「適合(コンプライアンス)の確認」から「価値の創出・保全・維持への貢献」へと明確にシフトさせた点です。従来は「ルールを守っているか」を確認することが内部監査の中心的な役割と見なされることが多くありました。しかしGIASは、組織が戦略目標を達成し、長期的な価値を生み出す能力を高めることに内部監査が積極的に貢献すべきだと位置づけています。
この変化は、内部監査部門のあり方に大きな問いを投げかけています。「我々の内部監査は、経営の戦略目標の達成に実質的に貢献できているか」——この問いに正面から答えられる部門は、まだ多くないのが現実です。
「内部監査の戦略」という新しい要求事項
GIASの改訂で特に実務への影響が大きいのが、「内部監査の戦略」に関する要求事項の新設です。2017年版の旧基準には存在しなかったこの要求は、内部監査部門長(CAE)が取締役会・最高経営責任者と対話を重ねながら、内部監査部門としてのビジョンと中長期的な戦略目標を策定・維持することを求めています。
「3〜5年後の内部監査部門の目指す姿(ビジョン)」と「それを実現するための戦略目標」を明文化し、組織体の戦略・目標が変化するたびに見直す——これが新しい要求です。
現場での反応を見ると、この要求事項に戸惑いを感じている担当者は少なくありません。「毎年の監査計画は策定しているが、中長期的なビジョンや戦略を考えたことがなかった」という声は、規模の大小を問わず多くの部門で聞かれます。短期的な監査テーマの選定には慣れていても、自部門の将来像を取締役会と共有するための議論の場や機会が整っていないケースが多いのです。
対応のポイントとしては、まず「自部門は今後3年間で何を達成したいか」を言語化することから始めることをお勧めします。大仰な文書を作る必要はなく、A4一枚程度の簡潔な形でビジョンと目標を整理し、CAEが取締役会・監査委員会との対話の場でそれを示せる状態を作ることが第一歩です。
発見事項の「重大性評価」が義務化された影響
GIASのもうひとつの重要な改訂ポイントが、発見事項の重大性評価の義務化です。旧基準では発見事項の伝達は求められていましたが、その重大性を評価・判断するプロセスまでは明示的に規定されていませんでした。GIASでは、個々の発見事項について根本原因を識別し、潜在的な影響を評価して重大性の判断を行うことが明示的に要求されています。
実務への影響は小さくありません。これまで「発見事項の一覧を作成して報告する」というスタイルで監査報告書を作成してきた部門では、報告の構造そのものを見直す必要が生じます。発見事項ごとに「これはどれほど重大か」「なぜそうなっているのか」「どう対処すべきか」という分析を加えた報告書の形式に移行することが、GIASへの適合に向けた具体的なアクションのひとつです。
また、重大性の判断基準を事前に設定しておくことも重要です。「どの発見事項が重大で、どれが軽微か」を都度主観的に判断するのではなく、影響の金額的規模・発生頻度・コントロールの失効可能性・経営目標への影響といった複数の評価軸を組み合わせた判断基準をあらかじめ整備しておくことで、報告の一貫性と説得力が高まります。
変化② AIは「検討段階」から「実装段階」へ移行した
内部監査における生成AIの活用は実験を終えつつある
2024年前後まで「これから検討する」という段階にあった内部監査へのAI活用は、2026年現在、先進的な企業や大手監査法人では「どう実装・運用するか」という段階に移行しています。PwCは2026年の白書の中で「人間主導・エージェント駆動の新しい内部監査」という方向性を打ち出しており、AIエージェントがリスクコントロールマトリクスをかつての数日から数分のスケールで生成できるという実例も報告されています。
IIAのGIASは「デジタルテクノロジーを継続的に検討し、内部監査に効果的に活用すること」を明文化し、テクノロジーを「人・財務」と並ぶ重要なリソースとして位置づけています。これは任意の選択肢ではなく、基準への適合という観点からもAIを含むデジタルツールの活用を検討することが求められているということです。
2026年3月には、IIAが「GTAG:ITチェンジマネジメント 第4版」を公表し、AI時代のITガバナンスと内部監査の関係について最新のガイダンスを示しました。また、COSOは2026年2月に「生成AIのガバナンスに関する監査対応ガイダンス」を公表しており、内部監査AIは「実験段階」から「規制要請レベル」に達したとも言われています。
内部監査部門がAIを活用できる具体的な場面
内部監査業務の中でAIが特に効果を発揮しやすい領域を整理すると、以下のとおりです。
監査フェーズ | AI活用の具体例 |
リスクアセスメント・計画策定 | 過去の指摘事項・業界トレンド・組織変更履歴を統合分析し、優先監査領域を提案 |
文書・証拠のレビュー | 大量の契約書・メール・仕訳データを分析し、異常パターンや不整合を検出 |
監査調書の作成 | インタビュー内容や証拠から調書の下書きを自動生成 |
報告書のドラフト作成 | 発見事項を整理し、報告書の構成案・文案を提示 |
規制・基準の動向把握 | 金融庁・IIA・COSOなどの公開情報を自動収集・要約して監査計画へ反映 |
継続的モニタリング | 業務データをリアルタイムまたは定期的に監視し、閾値超過・異常を自動検出 |
このうち特に普及が進んでいるのは、仕訳データの異常検知(機械学習による取引パターンの逸脱検出)と、文書の読み取り・要約(生成AIによる大量ドキュメントの処理)です。いずれも従来は膨大な人的工数を要した作業であり、AIの導入によってカバレッジと速度を大幅に改善できる可能性があります。
現場で「AI活用が進まない」理由と対処法
一方で、多くの日本企業の内部監査部門では、AI活用が思うように進んでいないというのが実態です。「AI活用の必要性は感じているが、何から始めればよいかわからない」「個人情報・機密情報をAIに入力してよいのか、社内ルールが整っていない」「ベンダーのデモは見たが、実際の監査業務への適用イメージが湧かない」——こうした声が現場からよく聞こえます。
AI活用を進めるうえで最初の壁となりやすいのが、「データの整備」と「ガバナンスルールの策定」です。AIが監査に役立つ洞察を提供するためには、前提として監査に使えるデータが整理・アクセス可能な状態になっている必要があります。財務データ・業務データ・過去の監査記録が散在していたり、Excelファイルがローカルに保存されていたりする状況では、AIの効果は限定的です。まずデータ基盤を整備することが、AI活用の実質的な前提条件となります。
ガバナンスルールの観点では、「内部監査で使うAIツールにどのようなデータを入力してよいか」「AIの出力をどのように検証・承認するプロセスにするか」「AIが出した結論を調書として記録する場合の証跡はどう残すか」といった点を社内で合意しておく必要があります。COSOの2026年ガイダンスでも、「AIは事実の集約と下書き作成を担い、判断と結論は必ず人間の監査人が行う設計が大原則」であること、「AIの出力にはエビデンスを付与し、調書として証跡を残す」ことが明文化されています。
AIを使い始めるための現実的な第一歩としては、「低リスクな業務から小さく始める」アプローチが有効です。たとえば、社内規程の整合性チェック、過去の監査報告書の要約・分類、監査計画書の下書き作成など、外部に出ないデータを扱う作業から生成AIの活用を試してみることで、感触を掴みながら社内のガバナンスルールを育てていくことができます。
変化③ ESG・サステナビリティ監査が内部監査の本流になりつつある
ESGは「興味があれば対応する」段階を超えた
2026年現在、ESG(環境・社会・ガバナンス)に関する情報の信頼性確保は、特定の先進企業だけの話ではなくなっています。欧州のCSRD(企業サステナビリティ報告指令)に代表されるグローバルな開示規制の強化、東京証券取引所のコーポレートガバナンス・コード改訂、そして国際サステナビリティ基準審議会(ISSB)が策定したIFRSサステナビリティ開示基準の普及——これらが重なり合い、上場企業にとってESG情報の正確性・信頼性を担保することは経営上の重要な課題となっています。
内部監査部門にとっての意味合いは明確です。財務情報の信頼性確保を担ってきた内部監査が、非財務情報であるESG情報の信頼性確保にも関与することへの期待が、取締役会・経営陣・投資家から高まっています。
現場の実態を見ると、ESG監査への対応は「監査対象にESG関連のテーマを追加する」という段階から、「ESGリスクをリスクアセスメントの主要な軸のひとつとして組み込む」という段階へと移行しつつあります。CO2排出量データの収集・計算プロセスの妥当性、サプライチェーン調査の実施体制、ダイバーシティ関連指標の算定根拠——これらが内部監査の実際の監査テーマとして取り上げられるケースが増えています。
ESG監査を行ううえで内部監査部門が直面する課題
ESG監査の本格化に伴い、内部監査部門が直面する固有の課題があります。
まず、「専門知識の不足」の問題です。財務・会計の知識を基盤として育ってきた多くの内部監査人にとって、環境データの収集・集計方法の妥当性を評価したり、サプライチェーンにおける人権リスクのコントロールを評価したりすることは、新たな学習を要する領域です。社内にESGの専門チームや担当者がいる場合は、その知見を積極的に借りることが重要です。外部の専門家や監査法人のリソースを活用するという選択肢も、特に対応の初期段階では現実的な方法です。
次に、「基準・指標の不統一」という課題があります。財務報告には確立された会計基準がありますが、ESG情報の報告については複数の開示フレームワーク(GRI、TCFD、ISSB等)が並存しており、企業ごとに採用している指標や定義が異なります。監査の対象とするESG情報が「どのフレームワークに基づいて算定されているか」を最初に確認し、その基準に照らして評価することが基本的なアプローチになります。
また、「第三者保証との役割分担」も整理が必要なポイントです。ESGレポートに対する外部からの第三者保証(限定的保証または合理的保証)の取得を検討している企業では、内部監査と外部の保証機関の役割をどのように設計するかを事前に検討しておくことが、作業の重複を避け、監査資源を効率的に活用するうえで重要です。
変化④ 内部監査に求められるガバナンスの役割が変化している
取締役会・監査委員会との関係が変わりつつある
コーポレートガバナンス改革の継続的な進展とともに、内部監査部門と取締役会・監査委員会(または監査役会)との関係が変化しています。
GIASは、取締役会が内部監査部門の監督に積極的に関与することを要求しており、CAEと取締役会が定期的にコミュニケーションを取り、内部監査部門への期待を共有し、組織体の戦略・目標・リスクに関する取締役会の視点を監査計画に反映することを求めています。
以前の内部監査では、「経営陣が承認した計画に基づいて監査を実施し、結果を経営陣に報告する」という流れが一般的でした。しかし2026年の内部監査では、取締役会・監査委員会が内部監査計画の承認に直接関与し、CAEが取締役会に対して内部監査の機能・成果・課題を直接説明する体制が、より明確な形で求められるようになっています。
現場で実際に起きている変化として、「監査委員会との定期的なプライベート・セッション(経営陣が同席しない形での直接対話の場)の設定」を求められるケースが増えています。取締役会から独立した立場で内部監査がインサイトを提供するためには、経営陣を介さない直接対話のチャネルが重要だという認識が広がっているからです。
「3つのディフェンスライン」モデルの進化と実務への影響
内部監査の役割を語るうえで基本的なフレームワークとして知られる「3つのディフェンスライン」モデルも、近年の考え方では進化しています。
従来の「3つのディフェンスライン」は、第1線(業務部門)・第2線(リスク管理・コンプライアンス部門)・第3線(内部監査部門)という構造で、内部監査は独立したアシュアランス機能として位置づけられていました。
現在のIIAの考え方では、この縦割りの構造をそのまま維持するのではなく、第1線・第2線・第3線が協働し、相互に連携しながらガバナンスの目的を達成することが重視されています。特に、第2線(リスク管理部門)と第3線(内部監査部門)の機能の重複・連携・役割分担を意識的に整理することが、限られた監査資源を効果的に活用するうえで重要なテーマとなっています。
実務上の課題として多いのが、「第2線のリスク管理部門が実施しているモニタリング活動と、内部監査のテスト手続の内容が重複している」という状況です。どちらも同じプロセスのリスクを評価していながら、情報共有がなく、それぞれが独立して作業しているケースは珍しくありません。第2線の活動結果を内部監査のインプットとして活用することで、監査の効率を高め、同時に第2線の機能の実効性を確認するという二重の目的を達成できます。
変化⑤ 内部監査人に求められるスキルセットが変化している
「監査のプロ」から「ビジネスの理解者かつ監査のプロ」へ
2026年の内部監査に求められる人材像は、数年前と比べて明らかに幅広くなっています。財務・会計・内部統制の知識に加え、以下のような領域への理解が実務上不可欠になりつつあります。
データアナリティクスとデジタルリテラシー
大量のデータから意味のあるインサイトを引き出す能力、AIツールを効果的に活用する能力、データの品質を評価できる眼——これらはもはや「あれば望ましい」スキルではなく、内部監査人として機能するための基本的な素養になりつつあります。
サイバーセキュリティとIT監査の知識
デジタル化の進展に伴い、ITシステムやサイバーリスクに関連した監査テーマが増加しています。すべての内部監査人がITセキュリティの専門家である必要はありませんが、リスクの性質と重要性を理解し、適切な質問をできる程度の基礎知識は不可欠です。
ESGとサステナビリティへの理解。前述のとおり、ESG関連の監査テーマが増加する中で、環境・社会・ガバナンスに関する基本的な知識と評価の視点を持つことが求められています。
コミュニケーション・ストーリーテリング能力
GAISが取締役会との対話を重視し、内部監査の価値を組織全体に示すことを求める中で、複雑な発見事項を経営層にわかりやすく伝え、行動を促す能力の重要性が高まっています。「正確な監査はできるが、報告書が難しくて誰も読まない」という状況は、内部監査の価値を社内で認知させる機会を自ら失うことにつながります。
スキルギャップを埋めるための現実的なアプローチ
必要なスキルの幅が広がる一方で、内部監査部門の人員はほぼ横ばいというのが多くの企業の現実です。「あれもこれも必要」と言われても、すべてのスキルを全員が持つことは現実的ではありません。
この状況を乗り越えるための考え方として有効なのが、「チームとしてのスキルポートフォリオ」という発想です。個人がすべてを網羅するのではなく、チームメンバーそれぞれが異なる専門性を持ち、テーマに応じてリソースを組み合わせる体制を作ることが、現実的な対応です。
また、社内の他部門からの「ゲスト監査人」の活用も実務上有効な手段です。ITセキュリティに詳しいシステム部門の担当者、ESGに詳しいサステナビリティ担当者を一定期間内部監査チームに参加させることで、専門知識を補完しながら、その担当者の部門理解を監査に活かすことができます。
ただし、ゲスト監査人を活用する際には「独立性」の確保に注意が必要です。自分が日常的に関与している業務プロセスや部門を自ら監査することは、客観性の担保という観点から問題が生じるため、監査対象の設定を慎重に行う必要があります。
変化に対応するための自部門の現在地チェック
5つの変化への自部門の対応状況を確認する
本記事で整理した5つの変化について、自部門の現在地を簡易的に確認できるチェックリストを提示します。
GIAS対応
GIASの15原則の内容を部門全体で把握しているか
内部監査部門としてのビジョンと中長期目標を文書化しているか
発見事項の重大性評価の基準・プロセスを整備しているか
取締役会・監査委員会との定期的な直接対話の場があるか
AI活用
内部監査業務でのAIツール活用に関する社内ガイドライン・ルールを整備しているか
リスクアセスメントや調書作成でのAI活用を試行した実績があるか
AIの出力を検証・承認するプロセスを設計しているか
ESG監査
年間監査計画にESG関連テーマが組み込まれているか
ESG情報の収集・算定プロセスを監査したことがあるか
ESGに関する基礎知識を持つメンバーがチームにいるか(または育成計画があるか)
ガバナンス強化
第2線のリスク管理部門との役割分担・情報共有の仕組みがあるか
監査調書と報告書が取締役会に伝わる言語・形式で作られているか
人材・スキル
チームメンバーのスキルマップを作成し、ギャップを把握しているか
データアナリティクス・IT知識・ESG知識の習得を支援する研修計画があるか
すべての項目に「✓」をつけられる部門は、2026年現在でも相当高い対応水準にあると言えます。「✓」が半数以下であれば、対応を優先すべき項目を3つ以内に絞り込んで、段階的に改善していくアプローチが現実的です。
変化への対応で陥りやすい罠
変化への対応を急ぐあまり、現場でよく起きてしまうのが「計画だけが立派で実行が伴わない」という状態です。GIASへの適合文書を作ったものの実際の監査行動は変わっていない、AIツールを導入したが誰も使いこなせていない、ESG監査を計画に入れたが専門知識がないまま形式的な確認にとどまっている——これらは「変化した体裁を整えた」ことであり、実質的な変化とは言えません。
監査の品質向上という本来の目的から逆算して、「この変化に対応することで、どのような監査の価値が高まるか」を常に問いながら取り組むことが、実質的な進化につながります。変化への対応は、制度や技術の変化に追従することが目的ではなく、内部監査が組織にとって真に価値あるものになるための手段です。
