監査(かんさ、audit または auditing)とは、ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること。
監査人が誰であるかによる分類として、外部監査、内部監査、監査役監査などがある。監査する対象による分類として、会計監査(財務諸表監査など)、業務監査、システム監査、情報セキュリティ監査、個人情報保護監査、環境監査などがある。
ここでは、主に日本における各種監査の概要について説明する。また、歴史については、「監査の歴史」で説明する。
行政機関に対して行う監査は広義の行政監査や行政活動の監査と呼ばれる『日本の行政監察・監査』法政大学出版局、2001年9月発行、5頁。地方自治法第199条第2項の行政監査以外もそれに含まれる。
国の機関における会計監査は、行政機関の一つである会計検査院が行い、これは特に会計検査と呼ばれる。一方、業務監査は総務省行政評価局(以前は総務庁行政監察局)が行政評価(以前は行政監察)の観点から実施する。
それぞれの地方公共団体に置かれる執行機関のひとつである監査委員が行う。なお、地方公共団体に置かれる監査委員は、地方公共団体により人数は異なるが、各監査委員が個別の権限で監査を行う(独任制)ため、監査委員会ではなく単に監査委員という。一般監査と特別監査とがある。また一部の地方公共団体では外部監査が義務付けられている。
会計監査・業務監査に区分される。前者は財務諸表監査とも呼ばれる。
公認会計士が行う監査、会社法上の監査役(または監査役会、監査委員会。以下「監査役等」)が行う監査、そして企業の内部監査人が行う監査の三種類があり、総称して三様監査制度と呼ばれる。
公認会計士が行うのが会計監査であり、監査役等は、会社法において業務監査と会計監査の責任を負っているが、公認会計士も監査を行う会計監査人設置会社と他の会社においては、監査の方法に差異がある。
公認会計士、あるいはその集まりである監査法人によって実施される監査を総称して、公認会計士監査と呼ぶ。
公認会計士監査の目的は、企業の財務情報の信頼性の保証にあり(公認会計士法1条)、企業の経営者が作成した財務諸表が、企業の実態をすべての重要な点において適正に表示しているかどうかについて監査し、その結果を意見として表明することにある(監査基準第一)
公認会計士監査は、法律によって実施が求められている法定監査と、法律に規定はない任意監査に分けられる。
会社の機関のひとつ、監査役または監査委員会等によって行われる監査である。監査役等は、取締役や執行役の職務執行に不法な点がないかを監督、指導する立場にある。目的は会社の出資者たる株主の保護にある。
内部監査人監査は、社内に設置された監査部門など監査部門の名称は、監査部、検査部、監察部、監理部、品質保証部、品質管理部など様々であり、場合によっては管理部門内の一部署(課)として置かれる場合や、代表取締役直属の室とされる場合もある。によって行われ、経営管理の一環として行われる内部監査である。従業員の業務内容全般について、合理性、能率性、適法性などを、経営者のニーズによって任意に監査する。
受査組織の「情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から検証又は評価して、もって保証を与えあるいは助言を行うこと」を情報セキュリティ監査と称する。情報セキュリティ監査は監査を行った範囲について適切か否かの保証を与える保証型監査と、今後のセキュリティ対策の改善を目的とした助言を与える助言型監査とに分類することができる。情報セキュリティ監査は契約条項の遵守についての監査の他、情報セキュリティマネジメントシステム(ISMS)の適合性審査、脆弱性診断及びペネトレーションテストなどで行われる。
受査組織の内部者(内部監査人)による監査、または、経営者による委託を受けたコンサルタント等(代理人)による監査を内部監査または第一者監査と称する。詳しくは「内部監査」を参照。
受査組織と監査者との間に受発注関係または資本関係などの利害関係が存在する場合、第二者監査と称する。例えば、契約時に情報セキュリティに関する条項を取り決めたときに発注者が受注者または下請事業者の契約遵守状況について行う監査や、親会社が子会社に対して行う内部統制状況の監査がこれに当たる。
受査組織と監査者との間に受発注関係及び資本関係などの利害関係が存在しない場合、第三者監査または第三者審査と称する。例えば、上述の#公認会計士監査、マネジメントシステム規格の審査登録制度において審査登録機関が実施する適合性審査、内閣官房内閣サイバーセキュリティセンターがサイバーセキュリティ基本法に基づき各政府機関に対して実施するマネジメント監査がこれに当たる。