内部監査の聞き取り調査とは?定義や目的、目標設定など徹底解説
- 敏行 鎌田
- 9月9日
- 読了時間: 8分
聞き取り調査(ヒアリング)とは?— 定義・目的・位置づけ
定義:内部監査における聞き取り調査(ヒアリング)は、プロセス担当者・責任者・IT管理者等から事実・証跡・運用実態を系統立てて収集し、内部統制(J‑SOX)の整備・運用の妥当性を評価する手続。
主な目的
プロセス理解の深化:実態フローと例外経路を把握(ウォークスルーや現場観察の前提)
リスク・統制の妥当性検証:設計と運用のギャップを特定(内部統制 評価)
改善仮説の生成:ボトルネックや権限不備を把握し、是正計画へ反映
位置づけ:
設計評価の中心:フローチャート/業務記述書/RCMと照合
運用評価のトリガー:サンプリングテストに進むべき統制を選別
データ手続の接着剤:ログを根拠にプロセスマイニング・CAATs(データ分析)と往復
期待できる効果(KPIで測る)
プロセス把握の速度:対象プロセスの“端から端まで”の理解に要する日数
ギャップ検出率:設計不足・運用不備・証跡不備の件数/重要度
一次回答率(PBC):ヒアリング中の証跡提示率(画面・ログ・帳票)
改善実行率:合意した是正策の期限内実施率
監査調書の再現性:第三者が読んで結論が再現できるか(レビュー指摘率の低減)
“聞いた”ではなく“見た/残した”で語れる状態にすることが、内部監査の信頼性を左右します。
実施前の準備(失敗の8割はここで決まる)
1 目的・仮説・評価軸の明確化
目的:J‑SOXの整備状況評価か、運用のサンプリングテスト設計か
仮説:計上漏れ/承認スキップ/手動仕訳の過多/与信超過/マスタ権限の過剰 等
評価軸:財務アサーション(完全性/正確性/期間帰属/実在性/権利義務)
2 事前資料(PBC)チェックリスト
フローチャート/業務記述書(ナラティブ)
RCM(リスク・コントロール・マトリクス)
規程・承認権限表・ワークフロー設定
ログサンプル(承認・変更・アクセス)/KPI(リードタイム・逸脱率)
例外一覧(緊急購買、割戻・返品、特別値引、手動仕訳)
3 ステークホルダーとアジェンダ
担当者/承認者/システム(ITGC:アクセス管理・変更管理・運用)
60–90分を基本に、オープン質問→プロービング→証跡確認で区切る
録音/録画の可否、保存先、アクセス権限、消去期限を事前合意
4 事前案内メール(テンプレ)
件名:内部監査ヒアリング実施のご案内(販売プロセス/90分)
目的:J‑SOXに基づく内部統制の整備・運用状況の確認
確認範囲:受注〜出荷〜売上計上〜入金の承認・ログ・例外処理
事前共有:フローチャート、権限表、直近の受注案件ID(3件)
当日:画面共有にて承認履歴・仕訳・元帳・証憑を確認
取扱い:入手情報は監査目的に限定し、社内規程に従い保護します
質問設計の原則(ヒアリング 手順の肝)
オープン質問で流れと事実を引き出す
プロービングで“なぜ/いつ/誰が/どの画面で”を深掘り
クローズ質問で定義や頻度、閾値、責任者を確定
反証可能性を担保:先入観に合わない例外も探索
画面・ログ・帳票での即時実証を必ずセットに
OK例
「最近の具体案件を、起票から元帳反映まで画面で見せてください」
「金額閾値を超えた場合、誰の承認が追加され、どのログに残りますか?」
NG例
「承認は必ず課長ですよね?」(リーディング)
「規程どおりですか?」(“Yes/No”で終わる質問は避ける)
実施フレーム:PEACEモデル(実務版)
Planning & Preparation:質問票と証跡リストを紐づけ
Engage & Explain:目的・範囲・時間配分・取り扱いを共有
Account:オープン→プローブ→クローズで事実を取得
Closure:要点の口頭リキャップ、宿題(PBC)と期限を合意
Evaluation:即日で監査調書に反映(ギャップ仮説→追加テスト計画)
プロセス別「ヒアリング 質問例」バンク(使い回し可)
6.1 購買(P2P)
発注前提:相見積・取引先登録の要件、与信/反社チェックのログ
承認:金額閾値・二者承認・代行承認の条件と承認履歴
検収・計上:物理検収とシステム検収の一致、カットオフの担保
例外:緊急購買・事後申請の定義、監視KPI(逸脱率)、是正プロセス
6.2 販売(O2C)
受注・与信:価格マスタ変更権限、承認ワークフローの設定
出荷・売上計上:出荷基準/検収基準、期末切替の手続
返品・値引:閾値、承認者、重複計上防止の統制
6.3 在庫
移動・調整:手動調整の権限とレビューの実効性
棚卸:立会、差異分析、在庫評価の見積根拠
6.4 決算・税
手動仕訳:発生条件、レビュー印、根拠の添付必須化
見積計上(引当・減損):計算ロジック、閾値、承認証跡
6.5 ITGC(アクセス・変更・運用)
アクセス管理:職務分掌に基づく付与/剥奪、定期棚卸の証跡
変更管理:本番反映の承認、緊急変更のログと後追い承認
運用管理:バックアップ、ジョブ失敗時の対応、監視アラートの証跡
6.6 人事・給与
従業員登録:入社・退社の承認経路と権限剥奪の即時性
給与計算:マスタ変更、二重承認、外部委託先との責任分解点
聞き取り調査 × 他手続の連携図
ヒアリングで“どこで統制が効くか”の地図を作る
ウォークスルーで端から端を連続突合(原始証憑→仕訳→元帳)
サンプリングテストで期間を通じた運用有効性を統計的に検証
プロセスマイニング/データ分析で全件の逸脱・ボトルネックを定量化
ギャップに対し**是正計画(暫定/恒久)**を設定、KPIで追跡
監査エビデンス(証跡)の取り方と保存規程
スクリーンショット:取得日時・取得者・環境(本番/検証)をキャプション化
ファイル命名規則:YYYYMMDD_プロセス_証跡種別_案件ID_作成者
改ざん防止:PDF化・ハッシュ値管理・承認ログのID控え
個人情報/機密:最小限の取得、マスキングルール、アクセス権限
保管・廃棄:保存期間・保管場所・廃棄手順を監査調書に明記
調書化の型(良い例/悪い例)
良い例
事実:2025/07/15の案件P‑2025‑00123にて、閾値超過時に部長承認が承認履歴#A123に記録
根拠:ERP承認ログ(取得者:監査A、2025/08/01 10:03、本番環境)、稟議PDF
評価:設計どおりに二者承認が機能。運用評価のサンプル候補
改善仮説:緊急購買の定義が曖昧。**例外定義とKPI(逸脱率)**の整備を提案
悪い例
「担当者の説明では問題なし」→根拠なし/再現不可
「規程どおり運用」→どのログ・画面か不明
リモート監査(オンライン)の実務
事前に画面遷移を合意:承認ログ→仕訳→元帳→証憑→例外一覧
通信障害時の代替:静止画の証跡を許容、後日再実演
共有手段:共有フォルダでのPBC授受(メール添付は原則禁止)
セキュリティ:閲覧権限、リンクの有効期限、アクセス記録の保持
よくある落とし穴と対策
リーディング質問:オープン→事実→証跡→評価の順で誘導を避ける
バイアス:仮説に合致しないデータも必ず探索(反証質問をセット)
同席者が多すぎる:上司の前で本音が出ない。3名以内を原則
“規程どおり”で終了:**「直近の具体案件で画面を見せてください」**で必ず実証
記録の粗さ:当日中に調書化し、宿題と期限を明確に
ケーススタディ(典型的な論点)
緊急購買の濫用:定義が曖昧で承認スキップ。→「閾値明確化+月次KPI(逸脱率)+監査ログレビュー」
手動仕訳の多発:根拠添付が不十分。→「添付必須化+レビュー印+抽出監査」
与信超過の恒常化:一時承認の期限切れ。→「自動ブロック設定+解除理由ログ」
ヒアリングシート(テンプレ:拡張版)
項目 | 記入例(キーワード統合) |
対象プロセス/範囲 | 販売(O2C):受注〜出荷〜売上計上〜入金(内部監査 ヒアリング) |
参加者/役割 | A氏(受注・起票)/B氏(課長承認)/C氏(ITGC-権限管理) |
使用システム | ERP(販売・会計)/ワークフロー/与信管理 |
権限 | 起票:担当/承認:課長・部長(金額閾値)/代行承認条件 |
通常フロー | 受注→与信→出荷→計上→請求→入金(ウォークスルー 対象) |
例外フロー | 特別値引・返品・キャンセル・期末切替(サンプリングテスト 候補) |
主要統制 | 二者承認/価格マスタ変更レビュー/アクセス権限棚卸 |
証跡・ログ | 承認履歴ID、仕訳No、元帳、請求書、出荷記録(監査エビデンス) |
直近サンプル | 受注#S‑2025‑00456(画面提示)、値引#D‑2025‑00021 |
課題・改善案 | 値引の承認者不明→承認権限表の明確化とログ追跡 |
宿題(PBC) | 値引案件一覧(直近6ヶ月)、与信ブロック解除ログ、KPI(逸脱率) |
PBC依頼リスト(例:聞き取り調査 同時実施)
直近3案件の起票〜承認〜計上の一連ログ
例外処理(緊急購買/特別値引)の案件IDと承認履歴
権限棚卸結果(付与・剥奪の記録、最終実施日)
KPIダッシュボード(リードタイム、差戻し率、逸脱率)
品質管理:レビュー観点(監査調書のチェックリスト)
目的・範囲・日付・参加者が明記されている
事実/根拠(証跡)/評価/改善案の区別が明瞭
第三者が追試可能(リンク・ID・取得日時が記録)
宿題(PBC)と期限・責任者が合意済み
機密・個人情報の取り扱いが規程準拠
進捗管理と可視化(RAG/カンバン)
R(遅延)/A(注意)/G(順調)でセッションごとに色分け
未着手→実施中→証跡回収→調書レビュー→是正合意のカンバン管理
メトリクス:ヒアリング完了率/証跡回収率/是正実施率
FAQ(よくある質問)
Q1. 録音は必須?A. 任意。不可の場合は詳細メモ+画面キャプチャで代替。保存と廃棄は規程準拠。
Q2. 所要時間は?A. 標準60–90分。例外が多い領域は2回に分割し、ウォークスルーと併用。
Q3. リモート監査の注意点は?A. 画面遷移の事前合意、PBCは共有フォルダ、静止画代替を事前取り決め。
Q4. 匿名の指摘は?A. 事実の裏づけを最優先。人物特定の扱いは規程・法令順守。
まとめ(実務への落とし込み)
聞き取り調査(内部監査 ヒアリング)は、設計評価の中核であり、ウォークスルー→サンプリングテスト→プロセスマイニングへと続く“監査の主線”。
成功の鍵は、準備(仮説×証跡リスト)と当日の実証(画面・ログ)、当日中の調書化。
KPIで運用を可視化し、是正計画を期限付きで合意。継続的改善(CIP)につなげる。