内部監査報告会とは?全業種向け、実務テンプレ付きで徹底解説!
- 敏行 鎌田
- 10月14日
- 読了時間: 12分
はじめに:内部監査報告会とは?
内部監査報告会は、一定期間に実施した内部監査の結果(適合・不適合・改善機会)を、経営・取締役会・監査委員会・関係部門に構造的に共有し、**是正・予防処置(CAPA)**と次期の重点テーマを合意するための公式の場である。単なる「報告の儀式」に終わらせず、①事実の提示 → ②リスク評価 → ③経営判断 → ④CAPA承認 → ⑤モニタ設計 → ⑥再発防止の定着へつなぐ設計が肝要である。業種を問わず、財務・オペレーション・IT・法務/コンプライアンス・人事・サプライヤ管理など横断テーマを扱うため、1見出し=1検索タスクの粒度でアジェンダを分解すると、意思決定速度が上がる。
ガバナンス位置づけと関係者(Three Lines + 取締役会)
Three Lines(3つの防衛線)
第一線(業務部門):リスク所有・統制の運用。
第二線(リスク/コンプライアンス/品質):方針・モニタ・助言。
第三線(内部監査):独立・客観的アシュアランス。
取締役会・監査委員会/監査役会:内部監査の計画・結果・重大不適合・重要な統制不備(例:J-SOXの重要な欠陥)が報告され、是正監督が行われる。
外部監査人:財務報告領域では連携が生じる。報告会では、意見・スコープの独立性を保ちつつ、事実ベースの整合を確認する。
年間計画と開催頻度の設計
推奨頻度:四半期ごと(年4回)+年度総括。小規模組織は年2回でも開始可能。
年間ロードマップ例
Q1:ITGC・アクセス管理・権限
Q2:財務プロセス(売上/仕入/固定資産)・J-SOXテスト
Q3:サプライヤ管理・贈答/接待・反社・反トラスト
Q4:個人情報/情報セキュリティ・広告/表示レビュー
期末:総括・成熟度評価(プロセス/人材/ツール)と翌年度目標
会議時間:60〜90分を上限。議題が多い場合は二部制(経営判断が必要な項目→先)に分ける。
KGI例(断定値ではなく方針):重大不適合の早期封じ込め、CAPA期限遵守率の改善、再発率の逓減など。
参加者の役割整理(RACI)
項目 | R(実行) | A(最終責任) | C(協議) | I(報告) |
会議設計・開催通知 | 内部監査部 | 監査委員長/監査役 | 取締役会事務局 | 関係部門 |
監査結果の発表 | 主任監査人 | 内部監査責任者 | 関係部門長 | 全社 |
CAPA策定 | 各部門長 | 管掌役員 | 内部監査・法務/コンプラ | 関係部門 |
議事録作成/保管 | 事務局 | 内部監査責任者 | 監査役/委員会事務局 | 関係者 |
ダッシュボード更新 | 監査データ担当 | 内部監査責任者 | IT/データ管理 | 全社 |
事前準備:証跡収集からアジェンダ確定まで
1) 証跡収集
ログ:アクセス権限申請/承認、定期棚卸、監査追跡、教育受講、変更管理、バックアップ検証。
帳票:インシデント/ヒヤリハット、サプライヤ審査票、贈答/接待申請、広告レビュー記録、RCSA結果。
抽出単位:直近3か月を網羅+重大事案は12か月遡及。Rの抽出条件は資料脚注に明示(再現性確保)。
2) アジェンダ確定(1見出し=1検索タスク)
例:「①前回CAPA進捗、②今期スコープ(ITGC)、③不適合と是正案、④根本原因、⑤決裁、⑥次回テーマ」
時間配分例(60分):進捗10分/本題35分/合意10分/次回5分。
3) 画面操作の準備(実務)
SharePoint/Googleドライブ
共有フォルダ「内部監査」→「報告会_YYYYMMDD」新規作成。
サブフォルダ「01_証跡」「02_スライド」「03_議事録」「04_CAPA」。
権限は「閲覧:関係者/編集:内部監査+発表者」に限定。リンク共有は社外不可を既定。
Excel/Googleスプレッドシート(指摘台帳)
シート名「監査指摘_YYYYQ」。
列:「ID」「プロセス」「重大度(1–25)」「事実」「影響」「根本原因」「是正」「予防」「担当」「期限」「状態」「証跡ID」。
フィルタビュー「重大度>=16」を作成、会議で即参照。
Teams/Zoom
会議オプションで録画=オフ既定、入室はロビーあり。画面共有は発表者のみに制限。
PowerPoint/Googleスライド
フッタに日付・版・注意書き(「最新の制度・社内規程を確認のこと」)を固定表示。
報告スライド作成の実務(PowerPoint/Googleスライド)
推奨構成(10〜14枚)
表紙(会名・日付・版・注意書き)
目的と本日の流れ
監査スコープと基準(文書名・版・適用期間)
前回CAPAの進捗(信号表示)
KPIサマリー(今期ダッシュボード)
不適合一覧(重大度順)
代表事例①(事実→影響→原因→是正→予防)
代表事例②(同上)
リスクマップ(頻度×影響)
意思決定が必要な事項(チェックボックス明記)
次回テーマ・宿題
付録(定義・表記ルール)
操作のコツ
[表示]→[スライド番号]を全ページ表示。
[デザイン]→[バリエーション]で色弱配慮パレットに変更。
[挿入]→[図形]→「■/▲/●」でステータス(緑=完了、黄=進行、赤=遅延)。
[ファイル]→[バージョン履歴]→「報告会直前保存」をラベル付け。
KPIとダッシュボード設計(事実→成果→再現性→組織固有性)
設計原則
事実:システムログ・帳票・監査記録など客観データに限定。
成果:コンプライアンス事故減少・統制の有効化など結果に接続。
再現性:定義・算式・採取タイミングを標準書に記載。
組織固有性:拠点数・従業員数・IT構成・取引量などの前提を脚注に明示。
四半期KPI例(全社)
区分 | KPI | 算式 | 目安 | 補足 |
監査計画 | 計画遵守率 | 実施監査数 ÷ 計画監査数 | 前期比改善 | サンプルサイズ併記 |
CAPA | 期限遵守率 | 期限内完了CAPA ÷ 全CAPA | 80〜90%を目指し得る | 赤案件の定義明確化 |
再発 | 同類指摘再発率 | 再発件数 ÷ 同類総件数 | 逓減傾向 | 分類コード固定 |
ITGC | 休眠ID残存率 | 休眠ID数 ÷ 全ID | 低減 | 休眠定義(90日等)併記 |
J-SOX | 重要統制テストカバレッジ | 実施テスト数 ÷ 計画テスト数 | 100%に近づける | 重要性基準を注記 |
情報 | 不許可アクセス率 | 違反アクセス ÷ 総アクセス | 低減 | 二要素認証導入率も併記 |
算定例(誤差検算つき)
期限内完了CAPA=72件、全CAPA=90件 → 72÷90=0.8 → 80.00%。
休眠ID=18、全ID=1,200 → 18÷1,200=0.015 → 1.50%(小数第3位四捨五入)。
再発件数=7、同類総件数=56 → 7÷56=0.125 → 12.50%。
ダッシュボード構成(Excel/スプレッドシート/BI)
シート1:KPI定義(名称/算式/データ源/採取頻度/所有者)。
シート2:月次/四半期推移(折れ線+前年同期影)。
シート3:重大度ヒートマップ(条件付き書式で色分け)。
シート4:CAPA進捗(簡易ガント:開始日→期限)。
BI連携:Power BI/Looker Studioで拠点・部門・期間のスライサーを配置。
指摘の分類と重大度評価(リスクマトリクス)
分類例:不適合(重大/中/軽微)、改善機会、参考。重大度スコア:影響(1–5) × 頻度(1–5)=1–25。
21–25:重大(直ちに是正計画と経営報告)
11–20:中(30日以内に是正計画)
1–10:軽微(次回までに改善)
リスクマトリクス雛形
影響1 | 影響2 | 影響3 | 影響4 | 影響5 | |
頻度1 | 1 | 2 | 3 | 4 | 5 |
頻度2 | 2 | 4 | 6 | 8 | 10 |
頻度3 | 3 | 6 | 9 | 12 | 15 |
頻度4 | 4 | 8 | 12 | 16 | 20 |
頻度5 | 5 | 10 | 15 | 20 | 25 |
運用ポイント
スコアは合意した根拠(金額、法令影響、顧客影響、継続性)を脚注に残す。
同種指摘はクラスタリングし、CAPAの共通化を検討する。
根本原因分析(RCA)とCAPAの作り込み
RCA手順(標準)
事象を事実で記述(日時・場所・影響・証跡ID・関与統制)。
「なぜ?」を5回繰り返す。人ではなく仕組みに焦点。
特性要因図(人・方法・機械/IT・材料/データ・環境・測定)で漏れを点検。
仮説に対し、反証とデータ裏付けを検討。
是正(止血)と予防(仕組化)を分離して設計。
CAPA票 必須項目「ID/不適合/根本原因/是正処置/予防処置/担当/期限/モニタ方法/完了判定(証跡ID)」
CAPAモニタKPI例
期限遵守率、是正後の再発率、統制有効化の証跡(例:自動アラート起動率)、教育実施率。
J-SOX/財務報告・内部統制テーマの扱い
範囲例:売上計上、債権管理、仕入/在庫、固定資産、経費、決算・開示、ITGC(アクセス/開発変更/運用)。
評価結果の報告:重要統制のテスト進捗、欠陥の有無、是正見込み、開示影響の有無。
サンプル例(算式明記)
重要統制テスト数=145、計画=150 → 145÷150=0.966… → 96.67%。
欠陥件数=2(うち重要な欠陥=0):定義と金額的重要性を脚注で提示。
連携:経理/財務・開示担当・外部監査人との事実整合を会議前に確認する。
IT監査(ITGC/アクセス管理/BCP)
主な論点
アクセス管理:職務分掌、定期棚卸、休眠ID、権限申請/承認ログ、二要素認証導入率。
変更管理:開発→テスト→本番の分離、コードレビュー、緊急変更手順、リリース記録。
運用管理:バックアップ/リストア検証、監視アラート、脆弱性パッチ適用、ログ改ざん防止。
BCP/DR:復旧目標時間(RTO)・復旧目標時点(RPO)の合意と試験証跡。
画面操作(例:アクセス棚卸の実務)
ID管理ツールで「最終ログイン日時」をエクスポート。
Excelで「最終ログイン≦基準日から90日前」をTRUEで抽出。
休眠候補リストを部門長へ配布→承認結果を「解除/削除/維持」で回収。
チケットに承認者・実施日・証跡IDを記録し、ダッシュボードへ反映。
サプライヤ・贈答・反トラスト/贈収賄・反社チェック
サプライヤ管理:事前審査(信用/反社/品質/環境/情報セキュリティ)、契約条項(守秘/再委託/監査条項)、定期評価。
贈答/接待:金額・頻度の上限、事前承認、第三者立替の禁止、帳票整備。
反トラスト:同業他社との情報交換・価格協議の禁止、業界団体会合の記録。
反社:取引開始前のスクリーニング、疑義発生時の取引停止フロー。
KPI例:事前審査完了率、贈答申請の承認率と否認理由、反社スクリーニング完全率。
個人情報・情報セキュリティ・匿名化運用
原則
目的外利用の禁止、最小権限、保存期間の明記。
会議資料のスクリーンショットは氏名・住所・生年月日・個人番号などを完全マスキング。
履歴書・応募書類に**個人番号(マイナンバー)**を記載しない運用を教育・徹底。誤記載は受領拒否または即時マスキング+廃棄記録。
会議前に通知オフ、会議後に投影履歴削除とアクセス権回収。
KPI例:権限棚卸完了率、アクセス違反件数、教育受講率、多要素認証普及率。
広告・表示(景表法)および表現の監査観点
比較優良・有利誤認の回避:他社比較の断定は避け、根拠と前提条件を併記。
体験談:個別結果の一般化を避け、「条件・期間・母数・個人差」を明示。
数値表示:期間・算式・母数・測定条件を脚注に記載。
レビュー運用:配信前の二重チェック、アーカイブ保存、撤回フローを整備。
取締役会/監査委員会・監査役への報告と決裁
経営判断が必要な事項(例:重大統制不備、開示影響の可能性、是正投資)をチェックボックスで明確化。
決裁記録:承認者・決裁日・条件・期限を議事録とCAPA票に二重記録。
インシデント報告ライン:通常報告と**緊急報告(24時間以内等)**を区別し、連絡網を整備。
会議運営のファシリテーション:台本とタイムボックス
60分台本(例)
開会・目的共有(3分)
進行:「本会は内部監査結果の事実共有とCAPA合意が目的。個人非難ではなく仕組みを議論する。」
前回CAPA進捗(7分)
今期の主要指摘(20分)
根本原因・是正案(15分)
決裁・期限合意(10分)
次回テーマと宿題(5分)
合意形成の技法
事実と解釈の分離、タイマーで発言時間を均等化、決裁事項の明文化。
議事録作成・承認・保管ルール(電子化前提)
必須項目:「会名/日時/出席/議題/決定事項/宿題/CAPA一覧(担当・期限)/版番号」実務手順(SharePoint/Googleドキュメント)
ドキュメント名「議事録_YYYYMMDD」を作成。
冒頭に注意文:「個人識別情報は記載しない。数値は算式・前提を脚注に記す」。
[共有]で閲覧:関係者のみ、編集は限定。
PDF化は紙出力を避け、版管理+改ざん防止(バージョン履歴)を併用。
会後フォローアップ:ロードマップと再発防止の定着
CAPAレビュー:隔週15分、赤案件のみを対象にステータス更新。
KPI更新:月次でダッシュボード更新、四半期累計でトレンド確認。
学習の定着:匿名化事例をナレッジ化し、イントラやeラーニングで共有。
成熟度評価:プロセス/人材/ツールの成熟度スコアを年1回で見直し。
多拠点・グローバル展開(標準化とローカル固有性の両立)
標準化:共通テンプレート・共通KPI・共通版管理(日本語/英語の二言語化)。
固有性:拠点規模・商流・規制差は「ローカル附属書」で補う。
横展開:A拠点の好事例→B拠点でPoC→定量効果を確認→標準へ昇格。
時差運用:会議はラウンドロビン開催、資料締切はUTC基準で統一。
NG→OK言い換え集(断定回避・差別回避・景表法配慮)
NG(不適切) | OK(修正案) |
「当社は業界一安全」 | 「当社は安全管理の取り組みを継続し、〇〇の記録と教育を運用している(期間・根拠を併記)」 |
「必ず法令違反は起きない」 | 「法令遵守の仕組みを運用し、継続的に改善している」 |
「女性/若年のみ募集」 | 「職務要件を満たす方を募集(性別・年齢等を要件にしない)」 |
「外国人不可」 | 「対応可能な言語に制限がある。支援体制の整備を進める」 |
「障害者は採用しない」 | 「合理的配慮の提供を検討し、機会を提供する」 |
「待ち時間ゼロ」 | 「待ち時間短縮に努めている(日時により変動)」 |
「成功率100%」 | 「一定の成果を示している(期間・母数・条件を併記、個人差あり)」 |
「最安」 | 「料金は掲示の通り(条件・適用範囲を明示)」 |
「完全準拠」 | 「最新の指針を参照し、社内手順を順次更新している」 |
「必ず再発防止」 | 「再発防止を目的とした仕組みを導入し、効果をモニタしている」 |
チェックリスト(準備・当日・事後)
準備(開催1〜2週前)
スコープ・基準(版番号)確定
証跡収集(ログ・帳票・教育・アクセス・契約)
指摘抽出と重大度スコア付与
CAPA素案(担当・期限・モニタ方法)
スライド作成・レビュー・匿名化
招集(日時・場所/URL・資料リンク)
機材(プロジェクタ/音響/リモコン/電源)
オンライン設定(待機室・録画OFF既定)
情報セキュリティ(通知OFF、持込み資料の回収計画)
当日
出席確認(定足数)
目的・進行ルールの再確認
前回CAPAの進捗可視化
主要指摘の説明(事実→影響→原因→対策)
決裁事項の明確化(チェックボックス)
次回テーマ・宿題の確認
終了前の質疑サマリー
事後(24–72時間)
議事録ドラフト共有→承認
CAPA登録→ダッシュボード反映
権限の棚卸し・アクセス提供
学習コンテンツ化(匿名化事例)
次回日程の仮押さえ
FAQ:現場のよくある疑問
Q1:会議時間はどれくらいが妥当か?A:60–90分を上限とし、重大案件は前半に配置する。案件が多い場合は二部制で分割する。
Q2:録画はしてよいか?A:個人情報・機密の観点から原則オフを基本とする。必要な場合は目的・保管期間・アクセス権を明示し、同意と規程整合を確認する。
Q3:匿名化はどの程度必要か?A:氏名・住所・生年月日・個人番号・社員番号などは非表示。案件IDは擬似ID化し、復号表の保管場所を分離する。
Q4:不適合の公開範囲は?A:必要最小限の共有にとどめ、再発防止に必要な範囲で展開する。
Q5:数値目標はどう決める?A:前期実績と外部ベンチを参考に、実行可能な改善幅で合意する。断定的な基準は避ける。
Q6:CAPAの期限遅延が続くA:RCAで資源不足・権限・優先度設定・自動化不足などの構造原因を洗い出す。
Q7:小規模で監査人が不足するA:相互監査、他部門レビュー、外部有識者の助言を検討する。
Q8:人事で差別回避をどう徹底?A:面接官マニュアルに禁止事項を明記し、チェックリストで記録する。
Q9:履歴書に個人番号が記載されていたA:受領拒否または即時マスキングし、廃棄手順に従い記録する。
Q10:広告表現の線引きは?A:根拠のない断定や比較は避け、期間・母数・条件を明記する。社内審査の二重チェックを行う。
Q11:監査疲れを避けたいA:指標を絞り、時間内に結論と責任者・期限まで到達する設計にする。
Q12:意見が割れたA:事実を基点に合意形成し、決裁者が期限内に判断する。
Q13:クラウドは安全か?A:契約・設定・権限・ログ監査を前提に、最小権限と二要素認証を運用する。
Q14:ダッシュボードのツールは?A:スプレッドシートで開始できる。要件に応じてBIを段階的に拡張する。
Q15:ヒヤリハットが出ないA:無罰性・学習目的を掲げ、簡易フォームで報告障壁を下げる。
