いわゆる日本版SOX法のインパクトが大きかったこともあり、多くの企業は法制度への対応を念頭に置いて内部統制に取り組んでいるようです。しかしながら、経営における健全性の維持は、法規制以前の問題でもあります。実際、日本版SOX法が施行される前から、企業は自社の健全性を保つために内部監査を実施してきました。

とはいえ、会社法や日本版SOX法などの法制度の整備が進み、またITシステムが企業経営に欠かせない存在となる中で、内部監査の位置付けも変わってきています。

そこでこの連載では、中堅・中小企業における内部監査のあり方について、IT活用の観点から考えていくことにします。第1回は、内部統制時代における内部監査の役割について整理してみましょう。

　国内で内部統制についての議論が高まったのは、米国のSOX法が成立した2002年以降のことであり、多くの企業が真剣に内部統制の整備に取り組み出したのは、日本版SOX法が国会で成立した2006年前後からです。

しかし内部監査自体は、それよりかなり前から行われていました。わが国を代表する内部監査関連団体であり、内部監査人の国際組織であるIIA（The Institute of Internal Auditors）の日本支部として活動している日本内部監査協会は、1960年、内部監査の普及と定着を目指して「内部監査基準」を公表しました。これはおよそ50年も前のことです。

それでは、内部統制と内部監査はどう違うのでしょうか？

簡単に説明すると、内部統制は社員による不正やミスを防ぐ仕組みを構築、実践することであるのに対し、内部監査は社内の監査スタッフが業務部門から独立した立場で会計上の不正を調べることです。

内部監査が国内の企業に根付きはじめた当時、その果たすべき役割は「不正の摘発」や「不正の未然防止」であり、企業の経営の実態を評価し、報告することに重きが置かれていました。

　しかし今日に至って、企業を取り巻く環境や法制度の変化により、内部監査の定義も変わりつつあります。

例えば、日本内部監査協会では内部監査を次のように定義しています。

「内部監査は、組織体の運営に関し価値を付加し、また改善するために行われる、独立にして、客観的な保証およびコンサルティング活動である。内部監査は、組織体の目標の達成に役立つことにある。このために、内部監査は、体系的手法と規律遵守の態度とをもって、リスク・マネジメント、コントロールおよび組織体の統治プロセスの有効性を評価し、改善する。」（「内部監査のガイダンス」より）

また、外部監査を行う公認会計士の団体である日本公認会計士協会は、次のように内部監査を定義しています。

「内部監査は、内部統制の構成要素である監視活動における主要な機能の一つである。内部監査は、主として独立的評価による監視活動として機能し、内部統制が有効でかつ効率的であるかどうかについてこれを継続的に監視するために、内部統制の整備状況を評価し、運用状況を検証して、内部統制の改善に関して助言し、勧告すること等を業務とする。内部監査の結果は、改善提案とともに経営者等に報告されることが必要である。」（「内部監査の実施状況の理解とその利用」より）

つまり今や、内部監査は企業経営を単に「評価」するだけでなく、そこから一歩踏み込んで、企業が経営目標を達成するための「改善提案」「コンサルティング」としての役割が求められているのです。

　こうした状況を受け、あらためて内部監査に注目し、内部監査部門の機能を強化する企業が増えています。

さらに、先進的な取り組みを行っている企業の中には、内部監査部門とは別に、業務審査部門を設けているところもあります。内部監査部門が内部統制が整備され機能していることを「評価」する一方で、業務審査部門は業務部門が内部統制上の問題を指摘されないように助言・提言します。両部門が連携することで健全な経営を実現する、これもある種の機能強化といえるでしょう。

実際、内部統制が整備されていなければ、内部監査は有効に機能しません。その意味では内部監査が果たすべき役割はさらに広がりつつあり、大きな転換期を迎えようとしているといえるでしょう。