【決定版】内部監査とはなにか|目的・外部監査との違い・仕事内容・やりがい・求人

この記事は、将来は内部監査に関する仕事に興味があるという学生の方や、内部監査関係の仕事に関心がある社会人の方に向けて記載しています。

そもそも内部監査とはなにか、なぜ行う必要があるのか、内部監査を仕事にするためにはどんなスキルが必要なのかなどを解説します。

関連:CISAに合格する方法を解説

関連:CISMに合格する方法を解説

関連:CEHに合格する方法を解説

関連:セキュリティを仕事にしたい人が絶対に読むべきオススメ書籍まとめ

関連:セキュリティ人材への転職にオススメな転職サイト、転職エージェントまとめ

内部監査の目的

社内の被監査部門からは「ISOの要求事項で年1回監査が決まってるから」等と思われがちですが当然違います。

内部監査の目的は、一言でいうと企業の業務運営が適正に行われているか評価することで、経営リスクの低減や、不祥事の防止、業務の有効性や効率性を高めるために行います。

具体的には、以下のような観点の確認を行います。

ルールへの適合性の評価

ISOの要求事項に従っているか

法令に従っているか

会社の定めるポリシー、スタンダード、プロシージャーに従っているか など

業務プロセスの有効性の評価

マネジメントシステムで定めるプロセスが目的通り有効に機能しているか など

改善点の評価

マネジメントシステムで定めるプロセスに改善点が無いか

ポリシー、スタンダード、プロシージャーに改善点がないか

システム化や電子化に対する改善点がないか など

指揮命令系統の有効性評価

承認プロセスや、意思決定プロセスが有効に機能しているか

指揮命令系統が有効に機能しているか など

 

参考として、一般社団法人内部監査協会は、内部監査の目的を以下であると宣言しています。

内部監査の必要(内部監査基準)

組織体が、その経営目標を効果的に達成し、かつ存続するためには、ガバナンス・プロセ
ス、リスク・マネジメントおよびコントロールを確立し、選択した方針に沿って、これらを
効率的に推進し、組織体に所属する人々の規律保持と士気の高揚を促すとともに、社会的な
信頼性を確保することが望まれる。内部監査は、ガバナンス・プロセス、リスク・マネジメ
ントおよびコントロールの妥当性と有効性とを評価し、改善に貢献する。経営環境の変化に
迅速に適応するように、必要に応じて、組織体の発展にとって最も有効な改善策を助言・勧
告するとともに、その実現を支援する。

参考:内部監査基準(一般社団法人日本内部監査協会)

外部監査との違い

社内に、外部監査人が来る前に行う試験対策のような立て付けとして内部監査があると考えている場合は「間違い」ですので考えを改めてもらいましょう。

まず内部監査について、内部監査人協会(IIA)では以下の画像のように定義しています。

内部監査とは「組織体の運営に価値を付加し、改善するために行われる、独立・客観的なアシュアランスおよびコンサルティング活動」であると定義しています。

内部監査の目的は、組織の目標達成に役立つことであり、このためにリスクマネジメント、リスクコントロール、ガバナンスの各プロセスの有効性評価、改善を、内部監査の専門職として規律ある姿勢で体系的な手法をもって行う」と定義しています。

次に外部監査について、国際会計士連盟(IFAC)では以下のように定義しています。

外部監査とは「財務諸表がすべての重要な点において適用可能な財務報告フレームワークに準拠して作成されているかどうか(または、すべての重要な点において真実かつ公正な見解を示すか公正に表示して)について、監査に関する国際基準に基づいて公認会計士が、合理的な保証を提供する業務」であると定義しています。

出典:内部監査と外部監査組織ガバナンスにおける独自の役割

よって繰り返しになりますが、内部監査の全般的な使命は、組織の業務に対する保証や、組織目的を達成することです。そのために、ガバナンス、リスクマネジメント、内部統制の業務を掘り下げ、組織の文化、風土、行動、様式に対してまでかい入し、取り上げていくことが求められます。

「監査委員会は業務の情報を必要としている。外部監査の役割は3つのディフェンスラインの外にあるが『周辺を注視する』立場にあるので、その貢献は重要かつ補完的である」
IIAマレーシア
ヌル・ハヤティ・バハルディン氏

内部監査プロセス

内部監査のプロセスですが、以下のように進みます。

監査計画

まず監査人が監査をするための計画を策定します。

監査計画は、大きく以下の3つに分類されます。

中期監査計画

これは、3~5年の視点で、会社の経営方針や経営計画から想定されるリスクに対して必要になると考えられるマネジメントや内部統制を考慮して、どのような観点を重点的に確認していくべきか、どんな手法を取るべきかなど、実施方針や対象を定めるものです。

本年度の監査計画

これは中期監査計画に基づいて、本年度監査をどのように行うか優先度の高いマネジメントや内部統制などを考慮して、監査手続の方針、監査対象、監査内容を定めるものです。

各個別の監査に対する計画

実際に監査に着手するに当たり、個別の案件ごとに具体的にどこを確認していくかなどの目的の設定、リスク評価の方法や監査確認項目を具体化して絞り込み、実施する手順を決定するものです。

予備調査

監査に行く前に、まずは予備調査を行います。

監査対象の資料収集と分析

組織図、体制図、マニュアル類、業務フローなどの証跡を収集し、証跡から監査項目との確認を行います。

監査項目の妥当性・有効性の検証

部門の責任者や管理者に対してインタビューを実施することで、監査対象に対する現状の把握を行います。

監査手続の検討

資料分析の結果や、インタビューの結果からリスクを評価して、その結果に基づいて監査項目の絞り込みを行います。

絞り込んだ監査項目に基づいて監査チェックシートや、監査のスケジュールなどのプログラムを作成します。

本調査・往査

往査とは、実際に現場に行きヒアリングをしたり、モニタリングをしたりします。

個別の監査計画で策定した監査チェックシートや、監査スケジュールに従って実施します。

この際に、以下の予備調査の情報を考慮します。

  • 事前収集した資料
  • 事前に評価したリスク
  • 事前に絞り込んだ監査項目
  • 監査チェックシートや手順書

監査報告書の作成

監査結果を要約して経営層にわかりやすい報告書形式に落とします。

報告書の中身としては大きく以下の3つになります。

結果要約

経営者に短時間で要点を伝達します。

結果詳細

監査項目全般に対して詳細な結果を記述します。

監査結果、指摘事項、要改善事項など

根拠資料

判断や評価、論理形成に至った背景や根拠を提示します

必要に応じてインタビューや構成の時系列を考慮した記載や、現場の写真などを掲載する場合もあります。

フォローアップ

監査指摘事項や改善事項が出た場合は、指摘した部門の改善計画の実施状況であったり、改善結果を確認することでフォローアップを図っていきます。

以下のような点を考慮します。

  • 改善計画の遂行状況を定期的にモニタリングして、確認したりアドバイスを下知ります。
  • 計画がスケジュールどおりに進んでいるかを確認し、スケジュールに対する適正性を確認していきます。
  • 抜き打ちでモニタリングを行い、本当に改善されているのか確認をします。
  • 改善状況を評価し、経営者や関係者に正しく報告します。
  • 改善を評価し、改善が不十分である場合は原因を明確化してさらなる改善を勧告します。

内部監査を仕事にするには

あずさ、あらた、トーマツといった監査法人に所属してしまいますと、内部監査人ではなく、外部監査人になってしまいますので、監査法人ではなく、いわゆる事業会社に所属する必要があります。

事業会社の中の、監査部門、情報セキュリティ部門、情報システム部門、リスク・コンプライアンス部門などが内部監査を担当していることが多いので、これらの部門が現在監査部門に関する応募をしているか、転職サイトで確認するのが良いでしょう。

転職サイトである、リクナビやDUDAに登録し、内部監査と検索すれば今どんな会社でどこの部門が監査チームに対する人員を募集しているかがわかりますので登録してみることをおすすめします。

内部監査の楽しさ

やや個人的な主観も入ってしまう内容ではありますが、内部監査という仕事の楽しさは以下のとおりでしょう。

経営陣に近い立場から、組織の健全な運営に貢献できる。

内部監査を実施する組織は、経営陣の直轄であることが多いです。

経営陣に近い立場から、組織の業務運営プロセスとは独立した視点で、客観的に組織の業務運営が適正かどうかを判断していくため、高い視点での判断スキルを養うことができます。

「内部監査は経営陣や取締役会のパートナーとなり、組織の全面的な健全性を注視する」
IIAコロンビア
アナ・クリスティーナ・ザンブラノ氏

「第三者視点」を持ちつつも、社内のメンバーに寄り添い一緒に考える。

PWC社の「内部監査における8つの基本要素」というコンテンツの引用になりますが、以下の通り真に成熟した監査組織とは「信頼されるアドバイザ」であると定義されています。

引用元:内部監査における8つの基本要素(PWC)

内部監査は外部監査とは違い、自分も組織の中の一部の人間として、企業のビジネスの発展を促進していく組織でもあります。

このためには、第三者的に現場の業務を客観的に評価しつつも、重箱の角をつつくのではなく現場に寄り添ってより、会社の仕事が良くなるにはどうすればよいのかを、一緒に考えていくようなスタンスが大切だと考えます。

「内部監査は組織の全般的な健全性を報告する。内部監査は有効なガバナンス、リスクマネジメント、コントロールに不可欠である」
IIAアフリカ連合
レセディ・レセテディ氏

内部監査の辛いところ

同じく、個人的な主観も入ってしまう内容ではありますが、内部監査という仕事の辛さは以下のとおりでしょう。

現場からは嫌われがち

仕事の特性上問題点を指摘することもあり、どうしても現場からは嫌われてしまったりすることもあるとおもいます。

一方で、評価してくれる人間もおり、関わる人間が多くなれば好き嫌いが出てくるのはしょうがない部分ではあるのかなとは思うのでうが、個人的にはやはり辛いところではあると思います。

担当領域が広く社内を広く理解する必要がある

メリットの裏返しになりますが、担当領域は他の職種に比べて広く、会社の規模によっては、社内全体を理解する必要がある場合も出てきます。よって非常に勤勉である必要があると言えます。

目立つ仕事ではない

例えば新サービスの開発であったり、広報担当であったり、自分のプロダクトが世の中に出る組織というのは自身の成果がわかりやすくてとても面白そうだなと、個人的には思うのですが

監査というのは何かを生み出す組織ではないため、監査をしていると一体自分の成果は何なのかよくわからなくなる時があったりします。

と、個人的な所見で「内部監査の楽しいところ」「内部監査の辛いところ」をお伝えしましたが、他の人の意見も調べてみることをおすすめします。監査は楽しい仕事ではありますが、辛いこともあります。特に転職で内部監査系の仕事に初めて参画してみたいと考えている場合などは、自分に監査という仕事がフィットするかよく調べてみたほうが良いと思います。

例えば転職口コミサイトである「OpenWork」に登録して、監査系の仕事をしている人間の口コミを見てみたりすることをおすすめします。

内部監査の資格・試験

内部監査に関連する資格としては以下が挙げられます。

公認内部監査人(CIA)

公認内部監査人(Certified Internal Auditor, CIA)は、組織体の内部監査についての知識・技能を証明することを目的とする、アメリカ合衆国発祥の国際資格です。

企業を取り巻く経営環境の激変の中、近年内部監査の重要性が認識されるようになり、内部監査人の能力の証明に対する要求が高まりました。こうした状況から、IIAの日本代表機関である日本内部監査協会(IIA-Japan)では、1999年11月より世界水準の資格であるCIA資格認定試験の「日本語」受験を実現しました。

CIA(Certified Internal Auditor-公認内部監査人)は、資格認定試験に合格し、実務経験等の要件を満たした者に授与される称号です。CIA資格認定試験は、内部監査人の能力の証明と向上を目的とした世界水準の認定制度で、世界約190の国と地域で実施されています。内部監査人の唯一国際的な資格であるCIAの称号は、業務に精通したプロフェッショナルとして経営者の信頼を得て、21世紀のグローバル社会を勝ち抜くための、最良の資格です。

公認内部監査人 認定試験ガイド-3パート構成

公認情報システム監査人(CISA)

CISAはISACAが運営する、情報システム監査・セキュリティコントロールに対する知識、技能、経験を有するプロフェッショナル認定のための国際資格です。

CISAは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして当協会が認定する国際資格で、日本語では「公認情報システム監査人」と称します。

ISACA

筆者はCISAに合格した経験があり、合格するためのノウハウをこちらでまとめていますので興味がありましたら併せて御覧ください。

関連:CISAに合格する方法

IPAシステム監査技術者

IPAが運営する監査人に関する上位資格です。

情報システムにまつわるリスクを分析し、コントロールを点検・評価・検証することによって、組織体の目標達成に寄与し、利害関係者に対する説明責任を果たす監査人や情報システム責任者などを目指す方に最適です。

IPA

公認情報セキュリティマネージャー(CISM)

CISAと同じISACAが運営する、マネジメントレベルの情報セキュリティの国際的資格です。
情報セキュリティマネージャーに特化した、情報セキュリティマネージャーの実際の業務分析を元にした認定試験であり、資格認定の前提として、情報セキュリティマネージメントとしての経験が必要です。

筆者はCISMに合格した経験があり、合格するためのノウハウをこちらでまとめていますので興味がありましたら併せて御覧ください。

関連:CISMに合格する方法

CISSP

CISSP認定資格は、(ISC)²が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認証資格です。

CISSP認定資格とは、(ISC)² (International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認証資格です。

Novell、Deloitte Touche Tohmatsu、大手ヘルスケアサービス企業その他主要企業において、CISSP認定資格の取得が情報セキュリティ関連業務従事者の必須事項とされています。

2004年6月には、米国規格協会(ANSI)よりISO/IEC17024の認証を受け、資格制度の全てのプラクティスがグローバルに認められ、 認定資格試験としての信頼度がより高くなりました。

CISSP認定資格は、情報セキュリティの共通言語とも言える『(ISC)² CISSP CBK』を理解している情報セキュリティ・プロフェッショナルのみに与えられる資格です。
CISSP認定資格の取得は、国内外において、個人および所属組織の信用・信頼の獲得につながります。

(ISC)²

関連:セキュリティ人材への転職やスキルアップにオススメな資格まとめ

関連:セキュリティ人材への転職にオススメな転職サイト、転職エージェントまとめ

内部監査の報酬・年収

先程もご説明したとおり、内部監査とは企業の一員として第三者的な視点から企業の経営をサポートするというポジションです

よって、監査法人などに就職するわけではありませんから、給与はその就職した事業会社の給与に依拠します。

よって、転職口コミサイト「OpenWork」等で、転職したい事業会社が、一体どれくらいの年収を貰えるのかを調べるのが最も確実であると言えます。

転職サイトの中でコラムが組まれていて、内部監査員だと年収これくらい、みたいなデータが纏まっているものを提示しているサイトがありますが、おそらく外部監査と内部監査の違いもわからない人間が作成した記事だと思われますので、信用しないようにご注意ください。

内部監査の採用に強い転職サイト、転職エージェント

転職支援サービスには、必ず3~5サービス以上を登録しましょう。エージェントに利用サービスを1つに絞ったほうが良いと言われても、信用してはいけません!理由は後述します。

実績があり信頼できるのは以下のサービスです。

絶対登録すべきサービス その他にも登録すべきサービスや登録のポイントは、こちらのページで詳しく解説していますのでぜひ併せて読んでください。

関連:セキュリティ人材への転職にオススメな転職サイト、転職エージェントまとめ