「内部監査を導入しなければならないことはわかったが、何から始めればよいのかがまったく見当がつかない」内部監査部門を新設したばかりの担当者や、上場準備に伴って内部監査体制の整備を急ぐ企業からよく聞く声です。

内部監査は、組織の内部から業務の適正性・法令遵守・リスク管理の状況を独立した立場で確認し、問題点を経営層に報告して改善につなげる仕組みです。金融商品取引法によって上場企業には実質的に内部監査の実施が求められており、IPO（株式上場）を目指す企業にとっては上場審査の重要な評価項目のひとつでもあります。一方、中小企業には法的な義務はないものの、組織規模の拡大に伴うリスク管理の観点から自主的に導入する企業も増えています。

本記事では、内部監査をゼロから立ち上げる際の具体的な7つのステップを、体制設計から初回実施まで順を追って解説します。中小企業・IPO準備企業・上場企業と、それぞれの規模や目的に応じた導入のポイントも整理していますので、自社の状況に合った形で活用していただければ幸いです。

まず確認することは？なぜ今、内部監査が必要なのか

法的義務の有無と自社のポジションを整理する

内部監査の導入を始める前に、まず自社がどのような立場にあるかを確認することが出発点です。内部監査に関連する法的要件を整理すると、以下のとおりです。

上場企業は、金融商品取引法第24条の4の4に基づき、内部統制報告書の作成・提出が義務付けられています。内部統制報告書の作成には、内部監査による統制評価の実施が実質的に不可欠であり、内部監査機能の整備は法的要件と密接に結びついています。

IPO（上場）準備企業は、申請先の証券取引所の審査において、内部監査体制の整備状況と運用実績が重要な審査項目となります。「直前々期」（申請期の2期前）までに内部監査の骨子を構築し、「直前期」および「申請期」には実際に運用できている状態を求められるのが一般的です。形式だけ整えても実績がなければ審査に通らないため、早期の立ち上げが求められます。

大会社（会社法上の大会社：資本金5億円以上または負債200億円以上）は、会社法上、内部統制システムの整備方針を取締役会で決議し、事業報告に記載することが義務付けられています。この一環として、内部監査機能の整備が含まれることが多くあります。

中小企業・スタートアップには、法的義務は直接課されていません。ただし、従業員数が50名を超えてくると、経営者が直接すべての業務を管理することが物理的に難しくなってきます。不正リスクの高まりや部門間連携の課題が顕在化してきた段階で、内部監査の仕組みを整えることを真剣に検討する価値があります。

「外部監査」「監査役監査」との違いを確認する

内部監査の位置づけを理解するうえで、「外部監査」と「監査役監査」との違いを整理しておくことが重要です。この三者を合わせて「三様監査」と呼び、相互に連携することで組織のガバナンスを支える仕組みが構成されます。

外部監査は、監査法人・公認会計士による財務諸表の監査です。企業と利害関係のない外部の専門家が、財務情報の正確性を独立した立場から検証します。一定規模以上の会社には会社法・金融商品取引法で義務付けられています。

監査役監査は、取締役の職務執行が法令・定款に従っているかを監査役がチェックするものです。コーポレートガバナンスの重要な柱のひとつですが、あくまでも取締役の行為の適法性を確認することが中心です。

内部監査は、経営者の指示のもと、社内の独立した部署（または担当者）が業務プロセス・リスク管理・法令遵守の状況を継続的に評価するものです。外部監査や監査役監査と異なり、「業務の効率性」「リスクへの対応状況」「改善提案」まで踏み込んで機能します。三者は重複する部分もありますが、それぞれ独立した役割があり、上場審査においても三者の連携体制が整っていることが評価されます。

STEP1 導入目的と基本方針を明確にする

「何のために内部監査を行うか」を言語化する

内部監査の導入で最初に行うべきことは、「自社にとっての内部監査の目的」を言語化することです。これが曖昧なまま制度を立ち上げると、形式だけ整って実効性を持たない「チェックリストを埋めるだけの監査」になる可能性が高くなります。

目的として考えられる代表的なものを整理すると、以下のようになります。

目的が複数ある場合は、優先順位をつけることが重要です。「IPO審査のために早急に体制を整えること」を最優先とするなら、まず形式と実績を確保することが急務になります。一方「中長期的な組織力の向上」を目的とするなら、時間をかけて実効性のある仕組みを丁寧に設計することが重要です。

現場でよく見られる失敗のひとつが、目的が「IPO審査のため」だけに特化してしまい、上場後に内部監査が形骸化するケースです。上場審査を突破することはもちろん重要ですが、「上場後も企業価値を高め続けるための仕組み」として内部監査を位置づけることが、長期的に見て真に意義ある導入につながります。

経営トップのコミットメントを得る

内部監査の導入にあたって最大の阻害要因となりやすいのが、「経営者が内部監査の本来の意義を正しく理解していない」という状況です。これは中小企業に限らず、大企業でも過去によく見られた課題です。

経営者が「内部監査とは問題を探して責めるものだ」「余計な手間が増えるだけだ」という認識を持っていると、担当者がどれだけ努力しても内部監査は機能しません。逆に経営トップが「内部監査は組織を強くするための投資だ」という認識を持ち、被監査部門にもその姿勢を示すことで、現場の協力を得やすくなります。

経営者へのコミットメント取得のための具体的なアプローチとして有効なのは、「他社の内部監査導入の事例・効果を示す」「上場審査上の要件を数字で示す」「最初は小さく始めて効果を実感してもらう」という3点です。すべてを一度に解決しようとせず、まず経営者が「必要だ」と感じる一点を見つけることが突破口になります。

STEP2 内部監査の体制を設計する

「誰が」「どのような位置づけで」行うかを決める

内部監査の体制設計で中心となる問いは「誰が内部監査を行うか」です。この問いに対する答えは、会社の規模・リソース・目的によって大きく変わります。

専任の内部監査部門を設ける（大企業・規模の大きいIPO準備企業）

最も望ましい形態は、内部監査専任の部署（内部監査室、内部監査部など）を設け、専属の担当者が業務を行う体制です。他の業務を兼務しないため、監査の独立性が確保しやすく、十分な時間とリソースを投入できます。ただし、少なくとも数名の人員が必要であり、コスト面での考慮が必要です。

兼任担当者が内部監査を行う（中規模・IPO準備中小企業）

人員確保が難しい場合は、他部署の担当者が内部監査業務を兼任する形も認められています。EYの資料によれば、上場審査においても兼任が認められており、重要なのは「兼任者が監査対象部門や監査対象業務から独立していること」です。自分が日常的に関与している業務や部門を自分で監査することは客観性を損なうため、担当範囲の設計が重要です。

アウトソーシング（少人数・中小企業・IPO準備初期段階）

内部監査業務をコンサルタントや監査法人の内部監査支援部門にアウトソーシングする方法もあります。東証の上場審査においても、「申請会社が主体的に関与していれば、計画書の作成や実施等をアウトソーサーが行うことも問題ない」とされています。

ただし、アウトソーシングにもリスクがあります。社内に監査の知識・経験が蓄積されないため、上場後に自社で内部監査を担える人材が育っていないというケースがよく見られます。アウトソーシングを活用する場合でも、社内の担当者がアウトソーサーと一緒に動き、知識を吸収する仕組みを組み込むことが重要です。

独立性の確保：何から誰を独立させるか

内部監査において「独立性」は最も重要な概念のひとつです。独立性とは、内部監査担当者が「監査対象から利害関係的に独立していること」と「自分が行った業務を自分で監査しないこと」の2つを指します。

組織上の独立性としては、内部監査部門が経営者（社長・CEO）に直接報告するラインを持つことが一般的です。被監査部門の上位に位置する部門長に報告することで、監査結果の客観性が確保されます。グローバル内部監査基準（GIAS）では、取締役会・監査委員会との直接対話も求められますが、まず第一歩として「社長直結のラインを持つ」形から始めることが現実的です。

機能上の独立性としては、内部監査担当者が監査以外の業務（たとえば日常的な経理業務や購買業務など）を担当している場合、その業務の監査からは除外する設計が必要です。「自分が作ったものを自分でチェックする」という状態は、独立性の観点から問題が生じます。

STEP3 内部監査規程を作成する

規程に盛り込むべき必須事項

内部監査を正式に制度として機能させるためには、「内部監査規程」（または「内部監査基本規程」「内部監査規則」など）を作成する必要があります。規程は内部監査の根拠文書であり、「何のために」「誰が」「どのような権限で」「どのような手順で」内部監査を行うかを定めるものです。

規程に含めるべき主な事項は以下のとおりです。

• 目的：内部監査の目的・役割・期待する成果

• 対象範囲：監査の対象となる組織・業務・拠点の範囲

• 組織と報告ライン：内部監査部門の位置づけ、報告先（社長・取締役会・監査役会など）

• 独立性と権限：被監査部門からの独立性、資料閲覧権・質問権・立入権などの監査権限

• 実施手順：計画策定→実施→報告→フォローアップの基本的な流れ

• 守秘義務：監査で知り得た情報の取り扱い

• 品質管理：監査の品質を確保・改善するための仕組み

• GIASへの準拠のコミットメント（グローバル内部監査基準を参照する場合）

規程の作成でよくある失敗は、「市販のテンプレートをそのまま使い、自社の実態と合わない規程が出来上がる」というものです。内部監査の権限として「全部門への立入権・資料閲覧権」が明記されていても、実際には特定の部門から協力が得られないという状況が生じることがあります。規程に書いてあることと実態が乖離していると、監査の実効性を損なうだけでなく、上場審査においても不整合として指摘されることがあります。

規程に書く内容は「実際にできること」を前提に設計し、段階的に権限と範囲を広げていくアプローチが現実的です。

規程の取締役会承認と社内周知

作成した内部監査規程は、取締役会での承認を経て正式に発効させることが重要です。取締役会の承認を得ることで、「この制度は経営トップが正式に認めたものだ」というメッセージを組織全体に伝えることができます。被監査部門の担当者にとっても、「内部監査に協力することが会社のルールである」という認識を持ちやすくなります。

承認後は、全社員に対して内部監査の目的・概要・実施スケジュール・協力のお願いを周知します。内部監査を導入したことを社内に告知せず、ある日突然「監査に来ました」と各部門に現れると、被監査部門からの反発や非協力という状況が生じやすくなります。内部監査は「会社を守る仕組みであり、現場を責めるものではない」というメッセージを早期に伝えることが、その後の監査の円滑化につながります。

STEP4 リスクアセスメントと年間監査計画を策定する

リスクベースのアプローチが基本

内部監査の計画は、「リスクの高いところから優先して監査する」というリスクベースのアプローチが標準的な実務慣行です。すべての業務・部門を毎年同じ深さで監査することは、リソースが限られた多くの企業では現実的ではありません。

リスクアセスメントの手順は、概ね以下のように進めます。

①監査対象の洗い出し 会社の全業務プロセス・部門・子会社・機能を一覧化します。

②リスクの識別と評価 それぞれの監査対象について、財務報告への影響・不正リスク・法令違反リスク・業務停止リスクなどの観点でリスクを評価します。リスクの評価には「発生可能性」と「発生した場合の影響度」の2軸を組み合わせたマトリクスを使うのが一般的です。

③優先順位の設定 リスクの高い領域から監査の優先順位を設定し、年間の監査計画に落とし込みます。

リスクアセスメントで現場でよくある誤りが、「例年と同じリスク評価を使い回す」ことです。組織の変化・業務プロセスの変更・市場環境のリスク・新たな規制の導入——これらに合わせてリスクも変化します。毎年のリスクアセスメントを形式的に済ませると、実態に合わない計画が出来上がり、「監査はしたが重要なリスクは見ていなかった」という結果になりかねません。

年間監査計画のフォーマット

年間監査計画には、以下の要素を盛り込むことが一般的です。

• 監査テーマ（監査する業務プロセス・機能・部門）の一覧

• 各テーマの優先度とその根拠（リスクアセスメントの結果）

• 実施時期と想定工数（日数・人員）

• 担当者（内部・外部・アウトソーサーの別）

• 報告先と報告のタイミング

計画の策定段階で、取締役会・監査委員会（または監査役）に内容を共有し、承認を得ることが重要です。GIASでも取締役会が監査計画の優先順位付けを支援することが求められており、計画を経営層と共有・合意することが実効性のある内部監査の出発点となります。

STEP5 個別監査の準備と実施

予備調査で「監査の地図」を描く

個別の監査業務を実施する前に、まず「予備調査（Preliminary Survey）」を行います。これは、監査対象の業務プロセスや部門について事前に情報を収集・整理し、本調査でどこに重点を置くかを決める作業です。

予備調査で確認すべき主な情報には、以下のものがあります。

• 対象業務の規程・マニュアル・業務フロー

• 過去の監査結果・指摘事項と是正状況

• 関連する法令・業界規制の変更状況

• 組織変更・担当者交代・システム変更などの最近の変化

• 財務データ（取引量・金額・比率など）の概観

予備調査を丁寧に行うことで、「本調査で何を確認すべきか」が明確になり、限られた時間で効果的な監査ができるようになります。予備調査を省略したまま本調査に入ると、調査の方向性が定まらず、手当たり次第にデータを集めるだけで時間を消費してしまうという状況が生じやすくなります。

監査通知と現場とのコミュニケーション

監査の実施に先立ち、被監査部門に「監査通知」を発します。監査通知には、監査の目的・対象範囲・実施期間・担当監査人・事前に準備してほしい資料などを記載します。通常は実施の2〜4週間前に通知します。

現場でよく生じる問題が、「監査通知が遅すぎて被監査部門が準備できない」または「急な資料提出要求で現場に過大な負荷をかける」という状況です。適切なリードタイムで通知し、準備する資料の範囲を明確に伝えることで、監査の品質と現場の負担の両方をバランスよく保てます。

本調査（フィールドワーク）の進め方

本調査では、①インタビュー、②資料・証跡の閲覧、③サンプルテスト、④現場観察の4つの手法を組み合わせて証拠を収集します。

インタビューは「業務が規程・マニュアルどおりに行われているか」「なぜそのように行われているか」という実態を確認するうえで最も重要な手法のひとつです。インタビューは単なる「尋問」ではなく、「現場の実態を正確に理解するための対話」であるという姿勢で臨むことが大切です。現場の担当者が「監査人は話してもわかってもらえない」と感じると、必要な情報が得られにくくなります。

サンプルテストでは、コントロール（承認手続きや確認作業など）が実際に機能していたかを証跡（電子記録・印紙・ログなど）によって確認します。「ルールとして定められている」ことと「実際に行われている」ことは別物であり、証跡の確認によって乖離を検出できます。

STEP6 監査報告書の作成と報告

報告書に盛り込むべき内容

フィールドワークが終わったら、監査調書を整理したうえで監査報告書を作成します。報告書は内部監査の成果物であり、経営層・取締役会・監査役などに内部監査の結果を伝える重要な文書です。

監査報告書に盛り込む主な内容は以下のとおりです。

• 監査の概要：目的・対象範囲・実施期間・担当者

• 主要な発見事項：確認された問題点・リスク・改善機会の内容と根本原因

• 重大性の評価：各発見事項がどの程度重大かの評価（高・中・低など）

• 改善勧告：各発見事項に対する具体的な改善提案と推奨期限

• 総合的な評価：監査対象全体として、内部統制の有効性はどのような状態にあるかの見解

• 被監査部門のコメント（あれば）：被監査部門から得た改善対応の方針

報告書の作成でよく見られる課題が、「発見事項を箇条書きで列挙するだけで、改善勧告が曖昧」という問題です。「改善が必要です」という指摘だけでは、被監査部門はどう行動すればよいかがわかりません。「いつまでに、誰が、どのように対応するか」を具体化した改善勧告を記載することで、是正につながりやすくなります。

経営層・取締役会への報告

報告書は、適切なタイミングで経営層・監査役・取締役会などに提出・報告します。口頭での報告（プレゼンテーション）を組み合わせることで、重要な発見事項の意味と緊急性を経営層に正確に伝えることができます。

報告の場では、「発見事項を責める場」ではなく「経営判断に役立つインサイトを提供する場」として位置づけることが大切です。「〇〇部門のここが悪かった」という表現より、「〇〇プロセスに△△というリスクがあり、将来的に□□という影響が生じる可能性があります。対応策として〜を提案します」という形で報告することで、経営層の意思決定に資する情報として受け取られやすくなります。

STEP7 フォローアップと継続的な改善

是正状況の確認がなければ監査は完結しない

監査報告書を提出して終わり——これでは内部監査が「問題を指摘するだけの儀式」に終わってしまいます。内部監査の実効性を高めるためには、指摘事項への是正対応がきちんと行われているかをフォローアップする仕組みが不可欠です。

一般的なフォローアップの手順は以下のとおりです。

①改善計画の確認 被監査部門が報告書の指摘事項に対して、「誰が、いつまでに、どのように対応するか」を明示した改善計画を提出します。

②進捗状況のモニタリング 設定した期限が近づいたタイミングで進捗を確認します。改善計画どおりに進んでいるか、遅延の原因は何かを把握します。

③是正確認 改善が完了したと報告を受けたら、実際に是正されているかを確認（再確認テストなど）します。口頭で「対応しました」と言われても、実態を確認することが重要です。

④未是正項目のエスカレーション 期限内に是正が完了していない重要な指摘事項は、CAE（最高監査責任者）や経営層に報告し、追加の対応を促します。

フォローアップを疎かにすると「毎年同じ指摘を繰り返しているが何も変わらない」という状況が定着します。これは内部監査の信頼性を大きく損なうだけでなく、被監査部門に「どうせ指摘されても変わらない」という誤ったメッセージを与えることになります。

規模別・目的別の導入アドバイス

中小企業が内部監査を導入する際のポイント

中小企業が内部監査を導入する際に最も現実的な課題は、「専任の人員を確保できない」という問題です。限られたリソースの中で内部監査を機能させるためには、以下のアプローチが有効です。

まず、最初から広い範囲を対象にしようとしないことです。たとえば「第1年度は経費精算と承認プロセスのみ」のように、リスクが高く、かつ比較的シンプルなプロセスから始めて実績を積み、徐々に対象範囲を広げていくことをお勧めします。

次に、外部の専門家（コンサルタントや中小企業向けの内部監査支援サービス）を部分的に活用することも選択肢のひとつです。自社担当者が外部専門家と一緒に動くことで、監査の進め方を学びながら体制を育てていくことができます。

ただし、「内部監査を外部に丸投げする」形は避けることを強くお勧めします。外部委託を活用しつつも、社内担当者が計画策定・報告への関与・フォローアップ管理を主体的に担う設計にしなければ、内部監査が組織に根付かないからです。

IPO準備企業が意識すべきスケジュール感

IPO（上場）を目指す企業にとって、内部監査体制の整備は「間に合わせるもの」ではなく「実績を積み上げるもの」です。上場審査では、計画書が存在するだけでなく「実際に監査を実施した記録」と「指摘事項が是正された記録」が評価の対象となります。

一般的なスケジュール感の目安として、以下を参考にしてください。

多くの上場審査では、審査機関が内部監査の「実施記録」（計画書・報告書・フォローアップ記録）を確認します。記録が丁寧に整備されているか、指摘事項が放置されていないか——こうした点が評価されます。記録を後から作ることはできますが、実際の監査の実施から時間が経つと実態との乖離が生じやすくなります。早期に本格的な運用を開始し、地道に記録を残すことが、結局は最も確実な方法です。

内部監査の導入でよくある失敗と対策

失敗① 形式だけ整えて内実が伴わない

最も多い失敗パターンです。規程を作り、年間計画を策定し、報告書を提出するという形式は整っているが、実際の監査は「チェックリストを埋めて終わり」という状態です。チェックリストが毎年同じで、リスクアセスメントが更新されず、現状のリスクに対応できていないケースもよく見られます。

対策としては、「毎年同じことをしない」という意識を常に持ち、リスクアセスメントの年次更新と監査テーマの見直しを仕組みとして組み込むことが重要です。

失敗② 指摘事項が改善されず蓄積する

監査では問題を見つけるが、是正が追いつかず指摘事項が積み上がっていく状態です。被監査部門が「改善しても監査で評価されるわけでもないし、後回しにしよう」と感じているケースや、改善に必要なリソースや決定権が現場にない場合に生じます。

対策としては、改善計画の期限管理を仕組み化し、期限超過の案件は経営層にエスカレーションするプロセスを規程に明記することが効果的です。改善が完了した際にその事実を経営層に報告することで、被監査部門の改善努力が可視化され、モチベーションにつながります。

失敗③ 内部監査担当者が孤立する

内部監査は「問題を探して責める人」というイメージを持たれやすく、担当者が社内で孤立しやすいという現実があります。特に少人数の組織では、監査担当者が社内に味方がいない状態に置かれることがあります。

対策としては、監査の開始時に「内部監査の目的は問題を責めることではなく、組織を守り強くするためのものだ」というメッセージを経営トップから発信してもらうことが重要です。また、監査の発見事項を「改善の機会（Opportunity for Improvement）」として前向きに伝えるコミュニケーションスタイルを担当者自身も意識することで、被監査部門との関係性が変わってきます。