不合法。公司内部审计部门的负责范围限于公司内部,可以查看公司的文件,资料,如果发现有疑问的情况,可以通过公司内部资料深入挖掘,同时如果是个人在入职时提供的资料,内部审计也有权利要求员工出示原件证明资料证实性,但是个人银行卡流水完全是个人隐私数据,除非是公安等机关有权限从银行调取,一般公司和个人是无权从银行调取个人银行卡流水信息的
法律依据:
《中华人民共和国治安管理处罚法》 第四十二条 有下列行为之一的,处5日以下拘留或者500元以下罚款;情节较重的,处5日以上10日以下拘留,可以并处500元以下罚款:(一)写恐吓信或者以其他方法威胁他人人身安全的;(二)公然侮辱他人塌掘辩或者捏造事实诽谤他人的;(三)捏造事团缺实诬告陷害他人,企图使他人受到刑事追究或者受到治安管理散御处罚的;(四)对证人及其近亲属进行威胁、侮辱、殴打或者打击报复的;(五)多次发送淫秽、侮辱、恐吓或者其他信息,干扰他人正常生活的;(六)偷窥、偷拍、窃听、散布他人隐私的。
《民法典》 第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。