制度が存在するだけで終わらせず、現場で機能しているかを証拠で確認し、改善・報告・再テストまでつなげる実務を体系的に整理します。
制度が存在するだけで終わらせず、現場で機能しているかを証拠で確認し、改善・報告・再テストまでつなげる実務を体系的に整理します。
まず結論、目的、10段階の進め方を把握します。
下の重要ポイントは、実効性評価(モニタリング)のやり方で最初に押さえる結論を整理したものです。制度の有無ではなく、現場で使われ、証拠で説明でき、改善に戻るかを読み取ることが重要です。
実効性評価は、リスク定義、期待行動、評価基準、証拠収集、不備評価、改善、報告、再テストを一続きで扱う企業法務の中核実務です。
次の判断の流れは、実効性評価(モニタリング)のやり方を10段階に分けて示します。各段階を順に見ることで、何を決め、どの証拠を集め、どこで経営判断につなげるかを確認できます。
法令名ではなく、具体的な失敗シナリオに落とし込みます。
企業法務・コンプライアンスの現場では、規程、研修、承認手順、通報窓口、第三者管理、契約審査、個人情報管理、取締役会運営、内部統制、内部監査など、多数の仕組みが導入されています。しかし、企業にとって本当に重要なのは「仕組みが存在すること」ではなく、「仕組みが実際に機能していること」です。この「機能しているか」を、証拠に基づき、継続的かつ独立性を確保して確認し、必要な改善につなげる実務が、実効性評価(モニタリング)です。
このページは、実効性評価(モニタリング)のやり方を、企業法務・コンプライアンスの専門実務として体系化します。金融庁の内部統制基準におけるモニタリング概念、米国司法省の企業コンプライアンス・プログラム評価指針、英国贈収賄防止ガイダンス、ISO 37301、コーポレートガバナンス・コード、公益通報者保護制度、個人情報保護委員会の委託先監督FAQ、IIAのスリーライン・モデル等を参照しつつ、非専門家にも理解できるよう、定義、設計、実施、評価、報告、改善、証跡化までを一貫して解説します。
結論を先に述べれば、実効性評価(モニタリング)は、次の順序で進めるのが合理的です。
評価、監査、点検、レビューとの違いを整理します。
このページでいう実効性とは、企業が導入している法務・コンプライアンス・内部統制上の仕組みが、実際の業務現場において、意図した目的を達成している程度を指します。
たとえば、贈収賄防止規程が存在するだけでは、贈収賄リスクを低減できているとは限りません。営業担当者が規程を理解し、代理店選定時に必要なデューデリジェンスを行い、接待・贈答の承認が実際に記録され、不適切な支出が検知され、問題があれば是正されてはじめて、「実効性がある」と評価できます。
同様に、内部通報窓口が設置されていても、従業員が窓口を知らず、報復を恐れて利用できず、通報後の調査が遅延し、再発防止策が実行されていないのであれば、その制度は形式的には存在していても、実効的とはいえません。
モニタリングとは、内部統制、コンプライアンス・プログラム、法務プロセス、リスク低減策などが有効に機能しているかを、継続的または定期的に評価する活動です。
金融庁・企業会計審議会の内部統制基準では、モニタリングは「内部統制が有効に機能していることを継続的に評価するプロセス」と位置づけられ、日常的モニタリングと独立的評価が含まれると整理されています。この整理は、財務報告内部統制だけでなく、企業法務・コンプライアンス領域にも応用可能です。
実務では、「評価」「監査」「点検」「レビュー」「モニタリング」という用語が混在しやすいです。厳密には、次のように整理できます。
下の比較表は、1.3 「評価」と「監査」と「モニタリング」の違いで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 用語 | 主な意味 | 典型的な実施者 | 特徴 |
|---|---|---|---|
| 評価 | 対象が基準を満たしているかを判断すること | 法務、コンプライアンス、内部監査、外部専門家 | 判定・結論を伴う |
| モニタリング | 継続的・定期的に状況を把握し、変化や不備を検知すること | 業務部門、管理部門、内部監査 | 継続性が重視される |
| 監査 | 独立した立場から証拠に基づき検証すること | 内部監査、監査役、公認会計士等 | 独立性・客観性が重視される |
| 点検 | チェックリスト等に基づく確認 | 現場、法務、コンプライアンス | 比較的簡易な確認 |
| レビュー | 文書・運用・判断過程の確認 | 法務、外部弁護士、専門部署 | 個別案件にも使われる |
企業法務上の実効性評価では、これらを対立的に考える必要はありません。むしろ、日常的な点検、コンプライアンス部門によるモニタリング、内部監査による独立的評価、外部弁護士・会計士・専門家によるレビューを、リスクに応じて組み合わせることが重要です。
実効性評価(モニタリング)のやり方とは、次の問いに、証拠をもって答えるプロセスです。
この問いに答えるためには、規程の有無を見るだけでは不十分です。実際の案件、取引、通報、承認、契約、研修、懲戒、是正対応、取締役会報告、システムログ、外部委託先管理、グループ会社管理などを横断的に確認する必要があります。
制度が存在するだけでは企業を守れない理由を確認します。
企業法務においては、しばしば次のような状態が見られます。
このような状態では、制度の存在を示すことはできても、制度が機能していることを示すことは難しい。実効性評価は、形式と実態の差を可視化し、改善に結びつけるための技術です。
不祥事、情報漏えい、労務問題、会計不正、競争法違反、贈収賄、品質不正などが発生した場合、企業は「規程はありました」と説明するだけでは足りません。問われるのは、少なくとも次の点です。
米国司法省の企業コンプライアンス・プログラム評価指針も、企業のプログラムが「紙の上のプログラム」ではなく、実際に機能しているかを重視し、継続的な改善、定期的なテスト、運用データの活用、通報制度の実効性、調査・是正の実効性などを確認する枠組みを示しています。
実効性評価というと、現場からは「監視される」「ミスを探される」「処分の材料にされる」と受け止められることがあります。しかし、本来の目的は責任追及ではなく、リスクを低減し、企業と従業員を守ることです。
よい実効性評価は、次の性質を持つ。
その意味で、実効性評価は、企業法務、内部統制、内部監査、リスクマネジメント、コーポレートガバナンスをつなぐ「実務上の中核機能」です。
内部統制、ISO、DOJ、英国ガイダンス、スリーライン・モデルから原則を読み解きます。
下の一覧は、制度・標準・公的資料に共通する実効性評価(モニタリング)の原則を整理したものです。原則ごとの役割を読むことで、自社の評価が形式確認に偏っていないかを点検できます。
高リスク領域、高額取引、過去不備、新規事業などに重点を置きます。
企業規模、業種、海外展開、規制環境に応じて評価の深さを調整します。
担当者の説明だけでなく、契約書、ログ、承認記録、研修履歴などで確認します。
契約、通報、会計、研修、アクセス権限などの実データから兆候を読み取ります。
自己点検だけに依存せず、第2線、第3線、必要に応じた外部レビューを組み合わせます。
評価結果を制度改定、教育、監査計画、経営報告に戻していきます。
金融庁・企業会計審議会の内部統制基準では、内部統制を、業務の有効性・効率性、報告の信頼性、事業活動に関わる法令等の遵守、資産の保全という目的を達成するため、組織内のすべての者によって遂行されるプロセスとして説明しています。内部統制の基本的要素の一つとして、モニタリングが位置づけられている点は重要です。
ここから企業法務に応用できる示唆は明確です。すなわち、法令遵守や不祥事予防は、法務部だけが担う単発作業ではなく、業務プロセスに組み込まれ、経営者、管理職、従業員、内部監査、監査役等がそれぞれの役割を果たす継続的プロセスです。
上場会社においては、取締役会の実効性評価も重要な実務です。東京証券取引所のコーポレートガバナンス・コードは、取締役会全体としての実効性に関する分析・評価と、その概要開示を求める原則を置いています。
取締役会実効性評価は、法務・コンプライアンス領域のモニタリングと別物ではありません。むしろ、重大な法的リスク、内部統制上の不備、不祥事、内部通報、規制対応、訴訟、サステナビリティ、情報セキュリティ、AI利用等について、取締役会が十分な情報を受け、実質的に監督しているかを確認する点で、企業法務の実効性評価と密接に結びつきます。
ISO 37301は、コンプライアンス・マネジメントシステムに関する国際規格で、コンプライアンス体制の構築、実施、評価、維持、改善に関する要求事項と指針を示す。認証取得の有無にかかわらず、同規格の考え方は、企業法務における実効性評価を体系化するうえで参考になります。
重要なのは、コンプライアンスを「規程集」ではなく「マネジメントシステム」として捉えることです。マネジメントシステムとして捉えると、リスク評価、方針、役割、研修、コミュニケーション、運用、監視、内部監査、マネジメントレビュー、改善という循環が必要になります。
米国司法省の「Evaluation of Corporate Compliance Programs」は、企業のコンプライアンス・プログラムを評価する際の観点を示す資料です。同資料は、企業規模、業種、地域、規制環境等に応じた個別判断を前提としつつ、リスク評価、ポリシー、研修、通報、調査、第三者管理、M&A、インセンティブ、データ活用、継続的改善等を確認する枠組みを示しています。
同資料から学ぶべき中心命題は、次の三つです。
この三分法は、企業法務全般の実効性評価にもそのまま応用できます。
英国法務省のBribery Act 2010 guidanceは、商業組織が贈収賄防止手続を整備するための六つの原則として、比例性、トップレベルのコミットメント、リスク評価、デューデリジェンス、コミュニケーション・研修、モニタリングとレビューを掲げています。この構造は、贈収賄防止に限らず、競争法、個人情報、労務、下請法、輸出管理、AI利用などにも応用できます。
IIAのスリーライン・モデルは、ガバナンスとリスクマネジメントにおける役割分担を整理する実務モデルです。企業法務の実効性評価では、一般に次のように適用できます。
下の比較表は、3.6 スリーライン・モデルで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| ライン | 主体 | 役割 |
|---|---|---|
| 第1線 | 事業部門、現場管理者 | リスクを日々管理し、統制を実行する |
| 第2線 | 法務、コンプライアンス、リスク管理、個人情報保護、情報セキュリティ、人事労務等 | ルール設計、助言、モニタリング、教育、基準整備を担う |
| 第3線 | 内部監査 | 独立した立場から保証・助言を行う |
| ガバナンス機関 | 取締役会、監査役、監査等委員会、監査委員会等 | 経営監督、重要リスクの把握、改善状況の監督を担う |
実効性評価では、第1線の自己点検だけに依存しないことが重要です。第2線による継続的モニタリングと、第3線による独立評価を組み合わせることで、評価の信頼性が高まります。
リスク特定から再テスト、制度改定への反映までを一続きで確認します。
実効性評価(モニタリング)のやり方は、抽象的には次の判断の流れで表せます。
下の判断の流れは、リスク特定から制度改定への反映までの順番を示します。順番どおりに見ることで、評価が単発の確認で終わらず、改善に戻る構造を確認できます。
この流れを「年1回の儀式」にしてはなりません。リスクの高い領域では、四半期、月次、案件発生時、インシデント発生時など、より短いサイクルで確認する必要があります。
実効性評価は、対象単位を明確にしないと曖昧になります。典型的な評価単位は次の三層です。
下の比較表は、4.2 実効性評価の単位で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 評価単位 | 例 | 評価の焦点 |
|---|---|---|
| 全社レベル | コンプライアンス体制、内部統制、取締役会監督、内部通報制度 | ガバナンス、リソース、報告ライン、企業文化 |
| 領域レベル | 贈収賄、個人情報、労務、競争法、契約管理、下請法、輸出管理 | 分野別リスクと統制の適合性 |
| 取引・案件レベル | 代理店契約、M&A案件、海外接待、個人データ委託、懲戒案件 | 個別プロセスの運用状況・証跡 |
優れた実効性評価は、この三層をつなげる。たとえば、海外代理店契約のサンプルテストで承認漏れが見つかった場合、単に当該契約を是正するだけでなく、全社の第三者管理規程、営業部門の研修、会計データの監視、内部監査計画、取締役会への報告内容に反映する必要があります。
実効性評価の品質を左右する原則は、次の八つです。
すべてを同じ深さで評価することは不可能です。高リスク領域、高額取引、規制業種、海外子会社、過去に不備があった領域、通報が多い領域、新規事業、AI・データ活用などに重点を置く。
企業規模、業種、海外展開、取引形態、従業員数、規制環境に応じて、評価の深さを調整します。中小企業に大企業並みの仕組みを機械的に求めるのは非現実的です。一方、規模が小さくても高リスク事業を行う企業では、相応の評価が必要となります。
「担当者が大丈夫と言っている」「研修を実施したはず」という確認では不十分です。契約書、承認記録、ログ、会計データ、研修受講履歴、通報記録、調査報告書、是正完了証跡など、検証可能な資料に基づく必要があります。
実効性評価では、アンケートやヒアリングだけでなく、実際の業務データを使う。たとえば、契約審査依頼件数、差戻し理由、例外承認件数、接待交際費、代理店手数料、通報受付件数、調査期間、研修未受講者、アクセスログ、退職者面談結果などです。
制度を運用している部門が自己評価を行うことは有用ですが、それだけでは楽観的評価になりやすい。第2線によるモニタリング、第3線による内部監査、必要に応じた外部専門家レビューを組み合わせる必要があります。
実効性評価は、点数をつけて終わる作業ではありません。不備を発見したら、原因、責任部署、改善策、期限、再評価方法を決める。改善計画が未完了のまま放置される評価は、実効性評価とはいえません。
重大リスク、重大不備、再発防止策、リソース不足、組織横断課題は、経営陣・取締役会・監査役等に報告する必要があります。現場だけで完結させると、構造的問題が改善されません。
リスクは変化します。法改正、新規事業、M&A、海外展開、AI導入、情報セキュリティ攻撃、社会的期待の変化に応じて、評価項目も更新する必要があります。
権限設定、リスク定義、証拠収集、不備評価、改善、報告までを具体化します。
ここからは、企業が実際に導入できる形で、実効性評価(モニタリング)のやり方を10ステップに分解します。
最初に、誰の権限で評価を行うのかを明確にします。実効性評価は、現場から見ると負担を伴うため、経営陣・取締役会・監査役等の支援がなければ形骸化しやすい。
決めるべき事項は次のとおりです。
下の比較表は、ステップ0 ― 評価のスポンサーと権限を決めるで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 項目 | 決定事項 |
|---|---|
| 評価責任者 | CCO、CLO、ゼネラルカウンセル、法務部長、コンプライアンス部長、内部監査部長など |
| 評価承認者 | 経営会議、リスク管理委員会、コンプライアンス委員会、取締役会、監査役会等 |
| 対象範囲 | 全社、特定部門、子会社、特定法令領域、特定プロセス |
| 権限 | 資料提出要請、ヒアリング、システムデータ閲覧、委託先確認、外部専門家起用 |
| 報告先 | 経営者、取締役会、監査役、監査委員会、社外取締役、内部監査部門等 |
| 秘密保持 | 通報情報、個人情報、営業秘密、弁護士秘匿特権、調査情報の取扱い |
評価権限が曖昧なまま始めると、必要なデータが得られず、評価が「お願いベース」になってしまう。評価規程、年間監査計画、コンプライアンス委員会規程、内部統制規程などに根拠を置くことが望ましいです。
実効性評価の出発点はリスクです。対象リスクを定義せずに評価を始めると、確認項目がチェックリスト化し、重要度の低い項目に時間を費やすことになります。
リスク定義では、少なくとも次を整理します。
下の比較表は、ステップ1 ― 対象リスクを定義するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 観点 | 例 |
|---|---|
| 法令リスク | 会社法、金融商品取引法、個人情報保護法、労働法、独占禁止法、下請法、景品表示法、薬機法、外為法等 |
| 契約リスク | 不利な責任制限、知財帰属不明、解除条項欠落、再委託管理不備、反社条項欠落 |
| 不祥事リスク | 贈収賄、横領、会計不正、品質不正、インサイダー取引、情報漏えい |
| 労務リスク | 長時間労働、ハラスメント、解雇紛争、労働時間記録不備、メンタルヘルス対応不備 |
| ガバナンスリスク | 取締役会監督不全、子会社管理不備、利益相反、関連当事者取引、権限規程逸脱 |
| レピュテーションリスク | SNS炎上、消費者対応不備、行政処分、公表事案、報道対応不備 |
| 技術・データリスク | AI誤用、情報セキュリティ攻撃、個人データ越境移転、ログ不足、委託先管理不備 |
ここで重要なのは、リスクを法令名だけで分類しないことです。たとえば「個人情報保護法リスク」と書くだけでは、評価対象が曖昧です。実務上は、「委託先における個人データ取扱状況を把握できていないリスク」「アクセス権限の棚卸しが行われないリスク」「漏えい時の報告・通知判断が遅れるリスク」のように、具体的な失敗シナリオに落とし込む必要があります。
次に、各リスクに対して、どのような統制が何を達成すべきかを定義します。これを統制目的と呼びます。
例として、贈収賄防止を取り上げます。
下の比較表は、ステップ2 ― 統制目的と期待される行動を定義するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| リスク | 統制目的 | 期待される行動 |
|---|---|---|
| 高リスク代理店を通じた不正支払 | 代理店起用前にリスク評価を行い、不適切な第三者を排除する | 営業部門が申請し、法務・コンプライアンスが審査し、承認前に契約締結しない |
| 公務員接待の不正 | 公務員等への接待・贈答を事前承認制にする | 申請者が目的・金額・相手方を記録し、上長・コンプライアンスが承認する |
| 不自然な手数料支払 | 会計データから異常支払を検知する | 高額・丸数字・タックスヘイブン・成功報酬等を抽出し確認する |
実効性評価では、「規程があるか」ではなく、「期待される行動が実際に行われたか」を確認します。
評価基準は、評価開始前に決める必要があります。後から都合よく基準を変えると、評価の客観性が失われます。
典型的な評価基準は、次の五つです。
下の比較表は、ステップ3 ― 評価基準を決めるで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 評価軸 | 問い |
|---|---|
| 設計有効性 | リスクに対して制度・統制の設計は適切か |
| 導入状況 | 規程、責任者、システム、研修、業務手順は導入されているか |
| 運用有効性 | 実際の案件でルール通りに運用されているか |
| 成果有効性 | 予防、早期発見、是正、再発防止に役立っているか |
| 文化・行動 | 従業員・管理職が制度を信頼し、適切に行動しているか |
たとえば、契約審査制度の実効性評価では、次のような基準を置くことができます。
評価計画は、実効性評価の設計図です。最低限、次の項目を含める。
下の比較表は、ステップ4 ― 評価計画を作成するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 項目 | 内容 |
|---|---|
| 評価目的 | 何を明らかにするか |
| 対象範囲 | 部門、子会社、法令領域、期間、取引類型 |
| 評価基準 | 何を満たせば有効と評価するか |
| 実施手法 | 文書レビュー、インタビュー、データ分析、サンプルテスト等 |
| サンプル方法 | ランダム抽出、リスクベース抽出、異常値抽出、全件確認等 |
| 必要資料 | 規程、承認記録、契約書、ログ、研修記録、会計データ等 |
| 実施者 | 第1線、第2線、第3線、外部専門家 |
| スケジュール | 開始日、資料提出期限、ヒアリング日、報告日 |
| 報告先 | 経営会議、取締役会、監査役、委員会等 |
| 秘密保持 | 個人情報、通報情報、調査情報、法的特権の取扱い |
評価計画には、評価の限界も明記します。たとえば、「本評価は2025年度に締結された国内販売代理店契約を対象とし、海外子会社契約は対象外です」といった限定です。限定を明記しないと、後に評価結果が過大に解釈されるおそれがあります。
実効性評価では、複数のデータ源を組み合わせます。単一の情報源だけに依存すると、偏りが生じます。
主なデータ源は次のとおりです。
下の比較表は、ステップ5 ― データを収集するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| データ源 | 例 | 長所 | 留意点 |
|---|---|---|---|
| 文書 | 規程、マニュアル、議事録、契約書、稟議書 | 客観的に確認しやすい | 実際の運用を反映しないことがある |
| システムデータ | 業務手順、契約管理、経費精算、アクセスログ | 全件分析しやすい | データ定義・欠損・権限に留意点 |
| 会計データ | 交際費、手数料、外注費、寄付金 | 不正兆候の検知に有効 | 勘定科目だけでは意味が不明なことがある |
| 研修データ | 受講率、テスト結果、未受講者 | 浸透状況を確認できる | 受講率だけでは理解・行動変容は測れない |
| 通報データ | 件数、内容、受付経路、処理期間、是正状況 | 文化・信頼・リスク傾向が見える | 件数の多寡だけで単純評価しない |
| インタビュー | 経営者、管理職、現場担当者、監査役等 | 実態・背景・暗黙知を把握できる | 回答バイアスに留意点 |
| アンケート | 従業員意識調査、コンプライアンス調査 | 広範囲を把握できる | 設問設計が悪いと結論を誤る |
| 外部情報 | 行政処分、報道、苦情、取引先情報 | 社内では見えない兆候を把握できる | 信頼性確認が必要 |
実務では、文書レビュー、データ分析、インタビューの三つを組み合わせるだけでも、評価の精度は大きく高まります。
テストとは、実際の案件やデータを選び、統制が想定通りに機能したかを検証する作業です。
例として、個人データ委託先管理のテストを考える。
下の比較表は、ステップ6 ― テストを実施するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| テスト項目 | 確認資料 | 判定例 |
|---|---|---|
| 委託先選定時の安全管理確認 | チェックシート、審査記録 | 実施済み/不十分/未実施 |
| 契約条項 | 委託契約、DPA、再委託条項 | 必須条項あり/一部不足/欠落 |
| 定期確認 | アンケート、監査報告、口頭確認記録 | リスクに応じて実施/形式的/未実施 |
| 再委託管理 | 再委託承認記録、再委託先一覧 | 承認済み/把握不十分/無断再委託 |
| インシデント対応 | 連絡体制、報告記録、訓練記録 | 実効的/遅延あり/未整備 |
個人情報保護委員会のFAQは、委託先の取扱状況把握について、立入検査が常に義務付けられるわけではなく、委託する個人データの内容・規模に応じた適切な方法を講じれば足りるとの考え方を示しています。この考え方は、実効性評価一般にも示唆的です。すなわち、評価手法は「重ければよい」のではなく、リスクに応じて合理的に選ぶ必要があります。
不備が見つかった場合には、単に「不備あり」と記録するだけでは足りません。重大性、影響範囲、原因、再発可能性を評価します。
下の比較表は、ステップ7 ― 不備を評価し、重大性を判定するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 不備レベル | 目安 | 対応 |
|---|---|---|
| 軽微 | 個別ミスで、リスク顕在化の可能性が低い | 担当者是正、教育、記録補正 |
| 中程度 | 複数案件で同種不備があり、統制運用に弱さがある | 手続改定、追加研修、一定期間の重点モニタリング |
| 重大 | 法令違反・行政処分・重大損害・通報者不利益・情報漏えい等につながるおそれ | 経営報告、取締役会報告、外部専門家関与、緊急是正 |
| 構造的 | 組織設計、権限、リソース、企業文化に根本原因がある | 組織改革、責任者変更、システム投資、ガバナンス改善 |
重大性評価では、金額だけで判断してはなりません。個人情報、ハラスメント、公益通報者保護、贈収賄、競争法、労働安全、品質不正、上場会社の適時開示などでは、金額が小さくても重大な法的・社会的影響が生じることがあります。
実効性評価で最も重要なのは、根本原因分析です。表面的な原因で止まると、同じ不備が再発します。
例として、契約審査漏れが発見された場合を考える。
下の比較表は、ステップ8 ― 根本原因を分析するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 表面的原因 | さらに問うべき根本原因 |
|---|---|
| 担当者が申請を忘れた | 申請基準が分かりにくいのではないか |
| 事業部が法務を通さなかった | 法務審査が遅く、現場が迂回しているのではないか |
| 契約管理システムに登録されていない | 締結後登録の責任者が不明なのではないか |
| 高リスク条項を見落とした | テンプレート、チェックリスト、研修が不足しているのではないか |
| 上長承認が形式的だった | 承認者がリスクを理解していないのではないか |
根本原因は、個人の不留意点ではなく、業務量、権限設計、システム、教育、評価制度、経営メッセージ、組織文化にあることが多いです。
改善計画には、次の要素を必ず含める。
下の比較表は、ステップ9 ― 改善計画を作成するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 項目 | 内容 |
|---|---|
| 不備内容 | 何が問題だったか |
| 根本原因 | なぜ発生したか |
| 改善策 | 何を変えるか |
| 責任者 | 誰が実行責任を負うか |
| 期限 | いつまでに完了するか |
| 必要資源 | 人員、予算、システム、外部専門家 |
| 完了証跡 | 何をもって完了とするか |
| 再テスト方法 | 改善後にどう確認するか |
| 報告先 | 誰に進捗を報告するか |
改善策は、「再周知する」「注意喚起する」だけでは不十分なことが多いです。周知で解決するのは、ルールが存在し、理解すれば遵守できる場合に限られます。実際には、業務手順変更、システム制御、承認権限変更、テンプレート改定、監査項目追加、人員増強、業績評価制度の見直しなど、構造的対応が必要となることがあります。
評価結果は、適切な階層に報告します。軽微な不備は部門内で処理できるが、重大不備や構造的問題は経営陣・取締役会・監査役等に報告します。
報告書には、次を含める。
報告後は、改善計画の進捗を追跡し、期限到来時に再テストします。再テストで改善が確認できなければ、改善策の設計自体を見直す必要があります。
五つの評価軸、0から5の成熟度、KPIとKRI、先行指標と遅行指標を扱います。
下の一覧は、実効性評価(モニタリング)で使う五つの評価軸を並べたものです。設計、導入、運用、成果、文化を分けて読むことで、単なる実施有無ではなく改善余地を特定できます。
制度や統制がリスクに対して合理的に設計されているかを確認します。
規程、責任者、システム、研修、記録様式が整備されているかを見ます。
実際の案件でルールどおりに運用され、証跡が残っているかを確認します。
予防、早期発見、是正、再発防止に役立っているかを見ます。
従業員や管理職が制度を信頼し、適切に行動できる状態かを確認します。
実効性評価では、単に「できている/できていない」で判断すると、改善に結びつきにくい。少なくとも次の五軸で評価します。
設計有効性とは、制度や統制がリスクに対して合理的に設計されているかを指します。
例 ― 海外公務員との接触が多い企業で、贈答・接待承認制度が国内取引だけを想定している場合、設計上の不備があります。
導入状況とは、規程、責任者、プロセス、システム、教育、記録様式が実際に整備されているかを指します。
例 ― 通報制度規程はありますが、受付担当者の指定、調査手順、報復防止措置、記録管理ルールが未整備であれば、導入状況に問題があります。
運用有効性とは、制度が実際の案件でルール通りに運用されているかを指します。
例 ― 契約審査ルールでは法務承認が必要とされているが、サンプル30件中8件で承認前に契約締結されていれば、運用上の不備があります。
成果有効性とは、制度がリスク低減、早期発見、是正、再発防止に実際に役立っているかを指します。
例 ― 研修受講率は100%でも、理解度テストが低く、違反事例が減少せず、管理職が相談を抑え込んでいる場合、成果有効性は低いです。
文化・行動とは、従業員が制度を信頼し、倫理的・法的に適切な行動を選択できる状態にあるかを指します。
例 ― 内部通報窓口の認知率が高くても、「通報すると不利益を受ける」と考える従業員が多い場合、制度の実効性には疑義があります。
評価結果を比較可能にするため、スコアリングを用いることがあります。以下は一例です。
下の比較表は、6.2 スコアリング例で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| スコア | 評価 | 状態 |
|---|---|---|
| 0 | 未整備 | 制度・統制が存在しない |
| 1 | 初期的 | 規程や担当者はありますが、運用が属人的・不安定 |
| 2 | 部分的 | 一部で運用されているが、対象範囲や証跡にばらつきがある |
| 3 | 概ね有効 | 主要リスクに対して運用され、不備も是正されている |
| 4 | 高度 | データ分析、独立評価、改善サイクルが機能している |
| 5 | 先進的 | リスク変化を予測し、グループ・海外・デジタル領域まで統合管理している |
スコアは便利ですが、数字だけが独り歩きしないように注意します。必ず、根拠、証拠、不備、改善策を併記する必要があります。
実効性評価では、KPIとKRIを区別します。
下の比較表は、6.3 KPIとKRIで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 種類 | 意味 | 例 |
|---|---|---|
| KPI | 望ましい活動が実施されているかを見る指標 | 研修受講率、契約審査処理日数、委託先確認実施率 |
| KRI | リスクの高まりや異常兆候を見る指標 | 通報処理遅延件数、例外承認増加率、高額交際費、未登録契約件数 |
KPIだけでは、実効性を誤解することがあります。たとえば、研修受講率100%はよいKPIですが、違反発生率、理解度、現場相談件数、管理職の対応品質を見なければ、研修の成果は分かりません。
下の比較表は、6.4 先行指標と遅行指標で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 種類 | 例 | 意味 |
|---|---|---|
| 先行指標 | 未受講者数、例外承認件数、期限超過案件、相談件数の急減 | 将来のリスクを示す兆候 |
| 遅行指標 | 違反件数、行政処分、訴訟、漏えい件数、懲戒件数 | すでに発生した問題の結果 |
先行指標を重視することで、問題を大きくなる前に発見できます。通報件数が少ないことも、必ずしも「問題がない」ことを意味しません。制度への信頼が低い、通報先が知られていない、管理職が握りつぶしている、といったリスクも考えられます。
文書レビュー、ウォークスルー、サンプルテスト、インタビュー、データ分析を使い分けます。
下の一覧は、実効性評価(モニタリング)で組み合わせる主な確認方法を整理したものです。方法ごとの強みと限界を見比べることで、文書確認だけに偏らない評価設計を読み取れます。
規程、契約書、議事録、調査報告書から設計と記録の整合性を確認します。
設計確認一件の案件を入口から出口まで追跡し、規程と実務のズレを見つけます。
実態把握母集団から案件を抽出し、承認、記録、証跡が残っているかを確認します。
証拠確認経営者、部門長、現場、管理部門から暗黙の運用や心理的安全性を把握します。
回答偏りに注意会計、契約、通報、研修、ログを使い、目視では見えにくい兆候を確認します。
異常値検知文書レビューは、規程、マニュアル、契約書、稟議書、議事録、調査報告書、監査報告書などを確認する手法です。
確認すべきポイントは次のとおりです。
文書レビューだけでは運用実態は分からないため、後述のサンプルテストやインタビューと組み合わせます。
ウォークスルーとは、実際の一件の取引・案件を入口から出口まで追跡し、統制がどこで働くかを確認する手法です。
例 ― 契約締結プロセスのウォークスルー
ウォークスルーは、規程と実務のズレを発見するうえで有効です。
サンプルテストは、対象母集団から案件を抽出し、証跡を確認する手法です。
下の比較表は、7.3 サンプルテストで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 抽出方法 | 適する場面 | 例 |
|---|---|---|
| ランダム抽出 | 全体傾向を見たい場合 | 契約100件から20件を無作為抽出 |
| リスクベース抽出 | 高リスク案件を重点確認したい場合 | 高額契約、海外取引、例外承認案件を抽出 |
| 層化抽出 | 部門・地域・金額帯ごとに比較したい場合 | 国内・海外、営業部門別に抽出 |
| 異常値抽出 | 不正兆候を探す場合 | 丸数字支払、高額接待、休日承認を抽出 |
| 全件確認 | 件数が少ないが重大な場合 | 公務員接待、重大インシデント、役員関連取引 |
サンプル数は、リスク、母集団、評価目的、許容誤差、過去不備の有無に応じて決める。重要なのは、サンプル抽出理由を記録することです。
インタビューは、現場の実態、暗黙の運用、心理的安全性、経営メッセージの浸透度を把握するうえで有効です。
対象者は、次のように分ける。
下の比較表は、7.4 インタビューで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 対象者 | 確認事項 |
|---|---|
| 経営者 | リスク認識、資源配分、トップメッセージ、取締役会報告 |
| 部門長 | 現場統制、例外承認、相談体制、評価制度との関係 |
| 現場担当者 | 実際の手順、困りごと、迂回慣行、研修理解度 |
| 法務・コンプライアンス | 制度設計、相談対応、モニタリング、改善管理 |
| 内部監査 | 独立評価、過去指摘、改善状況 |
| 人事・IT・経理 | 労務、アクセス権限、支払、ログ、懲戒、研修管理 |
インタビューでは、誘導的質問を避け、具体的事例を尋ねる。たとえば、「法務審査は機能していますか」ではなく、「直近3か月で法務審査を経ずに契約締結した例はありますか」「急ぎ案件ではどのように例外処理しますか」と聞く方が実態に近づける。
アンケートは、広範囲の従業員から情報を得る手法です。内部通報制度、ハラスメント、コンプライアンス文化、研修理解度、上司への相談しやすさなどに有効です。
設問例は次のとおりです。
アンケート結果は、部門、職位、地域、雇用形態、勤続年数等で分析すると、リスクの偏在が見えやすい。ただし、個人が特定されないよう匿名性・集計単位に配慮する必要があります。
データ分析は、実効性評価を高度化します。特に、会計、契約、業務手順、通報、研修、アクセスログ、人事データを連携すると、従来の目視点検では見えない兆候を把握できます。
例 ― 贈収賄・不正支払リスクのデータ分析
例 ― 契約管理リスクのデータ分析
データ分析では、個人情報保護、労働法、監視の相当性、就業規則、社内規程、目的外利用、アクセス権限に注意します。分析目的、対象データ、権限、保存期間を明確にする必要があります。
内部通報制度やインシデント対応では、机上演習やシナリオ演習が有効です。
例 ― 内部通報制度のシナリオ演習
ただし、テスト通報や模擬調査を行う場合は、関係者の不利益、個人情報、労務上の問題、心理的負担、虚偽通報と誤認されるリスクに配慮し、事前に設計・承認・範囲を明確にする必要があります。
契約、通報、J-SOX、取締役会、個人情報、労務、知財、M&A、独禁法、AIまで横断します。
契約法務の実効性評価では、契約審査が迅速かつ適切に行われ、リスクの高い契約が統制から漏れていないかを確認します。
下の比較表は、評価項目で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 項目 | 確認内容 |
|---|---|
| 審査対象基準 | どの契約を法務審査に回すべきか明確か |
| 受付・優先順位 | 緊急案件、高額案件、高リスク案件の優先基準があるか |
| 標準雛形 | 最新法令・事業実態に合わせて更新されているか |
| 例外承認 | 責任制限、損害賠償、知財、個人情報、解除等の逸脱が承認されているか |
| 記録管理 | 契約書、交渉履歴、承認記録が保存されているか |
| 締結後管理 | 更新、解約、義務履行、通知期限が管理されているか |
| ナレッジ化 | 差戻し理由や交渉論点が雛形・研修に反映されているか |
コンプライアンス体制の評価では、規程、研修、相談、通報、調査、懲戒、是正、経営報告の一連の流れを見ます。
下の比較表は、評価項目で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 領域 | 確認事項 |
|---|---|
| 方針 | 経営トップが明確なメッセージを出しているか |
| 規程 | 行動規範、コンプライアンス規程、懲戒規程が整合しているか |
| 研修 | リスク別・職位別・部門別に設計されているか |
| 相談 | 法務・コンプライアンスへの相談経路が機能しているか |
| 通報 | 匿名性、秘密保持、報復防止、調査手順が実効的か |
| 調査 | 利益相反を排除し、証拠保全・ヒアリング・判断が適切か |
| 是正 | 原因分析、再発防止、懲戒、被害回復が行われているか |
| 報告 | 重大案件が経営・取締役会・監査役に報告されているか |
公益通報者保護制度に関しては、通報対応体制、従事者指定、公益通報対応業務に関する体制整備、通報者保護等が重要です。消費者庁は、公益通報者保護制度に関する指針・解説等を公表しており、2025年改正法の施行予定にも留意が必要です。
通報制度の実効性評価では、件数の多寡だけを見てはなりません。通報が少ない理由は、「問題がない」場合もありますが、「制度が信用されていない」場合もあります。したがって、次のような指標を組み合わせます。
財務報告に係る内部統制では、統制の整備状況と運用状況を評価し、重要な不備を判断する枠組みが用いられる。企業法務の視点でも、次の点が重要です。
金融庁の内部統制基準が示す日常的モニタリングと独立的評価の区別は、企業法務においても有用です。たとえば、契約締結時の上長承認は日常的モニタリングで、内部監査部門が半年後に契約サンプルを抽出して法務審査漏れを検証するのは独立的評価です。
商事法務領域では、手続の正確性だけでなく、取締役会が実質的に機能しているかを評価します。
下の比較表は、取締役会実効性評価の主な観点で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 観点 | 確認事項 |
|---|---|
| 議題設定 | 重要リスク、戦略、資本政策、人材、サステナビリティ、法務リスクが議題化されているか |
| 情報提供 | 資料が十分な時間的余裕をもって配布されているか |
| 審議の質 | 社外取締役が発言し、反対意見・代替案が検討されているか |
| 監督機能 | 不祥事、内部統制不備、通報、訴訟、規制対応を監督しているか |
| フォローアップ | 決議・指摘事項の進捗が追跡されているか |
| スキル | 法務、会計、国際、IT、サステナビリティ等の知見が確保されているか |
東京証券取引所のコーポレートガバナンス・コードは、取締役会全体としての実効性について分析・評価を行い、その概要を開示することを求めています。したがって、取締役会実効性評価は、質問票を回収して終了するのではなく、翌年度の議題、資料、審議時間、社外役員への情報提供、内部監査との連携に反映させる必要があります。
個人情報・プライバシー領域では、法令対応が形式化しやすい。プライバシーポリシーや同意文言だけでなく、データの実際の流れを確認する必要があります。
下の比較表は、評価項目で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 領域 | 確認事項 |
|---|---|
| データマッピング | 取得、利用、保管、共有、委託、越境移転、削除が把握されているか |
| 利用目的 | 実際の利用と公表・通知内容が一致しているか |
| 同意管理 | 同意が必要な処理で適切に取得・記録されているか |
| 委託先管理 | 委託先の選定、契約、取扱状況確認、再委託管理が行われているか |
| アクセス管理 | 権限付与・削除・棚卸しが行われているか |
| 漏えい対応 | 検知、報告、本人通知、再発防止の手順が機能しているか |
| 保存・削除 | 不要データが削除されているか |
個人情報保護委員会のFAQが示すように、委託先監督では、個人データの内容・規模に応じた適切な把握方法を選択することが重要です。高リスク委託先には現地確認、監査報告書、第三者認証、詳細なセキュリティ質問票等が必要となる一方、低リスク委託先では合理的な書面確認で足りる場合もあります。
労務領域では、就業規則、労働時間管理、ハラスメント防止、懲戒、休職・復職、メンタルヘルス対応、労使協定、労働安全衛生などを対象に評価します。
労務領域の実効性評価では、個人情報、要配慮個人情報、プライバシー、労働組合対応、報復防止に特に注意する必要があります。社労士、弁護士、人事、産業医、内部監査が連携する場面が多いです。
知財法務では、権利取得だけでなく、権利維持、契約、営業秘密管理、共同研究、職務発明、ライセンス、模倣品対応の実効性を評価します。
下の比較表は、評価項目で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 領域 | 確認事項 |
|---|---|
| 発明発掘 | 研究開発部門から発明届が適時提出されているか |
| 権利管理 | 年金、更新、商標使用証拠が管理されているか |
| 契約 | 共同開発、ライセンス、秘密保持、成果帰属が明確か |
| 営業秘密 | 秘密情報の特定、アクセス制限、表示、持出制限があるか |
| 退職者対応 | 退職時誓約、アクセス削除、資料返却確認があるか |
| 侵害対応 | 監視、警告、証拠保全、税関対応、訴訟判断が整備されているか |
営業秘密管理では、「秘密管理性」を支える証跡が重要になります。アクセス権限、秘密表示、教育、持出ログ、NDA、退職時確認などが、実際に運用されているかを確認します。
M&Aでは、買収前の法務デューデリジェンスだけでなく、買収後のPMIにおけるコンプライアンス統合が重要です。米国司法省の指針も、M&A後の統合や買収対象会社へのコンプライアンス体制適用を重視しています。
下の比較表は、評価項目で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 段階 | 確認事項 |
|---|---|
| 買収前 | 重大法令違反、訴訟、通報、行政処分、契約、知財、労務、個人情報のDD |
| 契約交渉 | 表明保証、補償、誓約、クロージング条件、反社・制裁対応 |
| クロージング後 | 規程導入、権限規程、通報窓口、研修、会計・IT統制統合 |
| PMI後評価 | 買収後100日、6か月、1年での実効性評価 |
経済産業省のグループガバナンス関連資料も、実際の経営がグループ単位で行われる中で、子会社管理の実効性確保が課題となることを示しています。子会社不祥事は、親会社の監督責任、開示、レピュテーション、訴訟、行政対応に直結するため、グループ横断のモニタリングが不可欠です。
競争法・下請法領域では、研修だけでなく、営業現場・購買現場の実際の行動を確認する必要があります。
競争法違反は、会議、メール、チャット、業界団体活動など、日常的なコミュニケーションから発生することがあります。そのため、研修理解度、相談しやすさ、参加前後の報告、異常な価格推移などを組み合わせて評価します。
AI、IT、データ領域では、法務・コンプライアンスと技術部門の連携が不可欠です。NIST AI Risk Management Frameworkは、AIリスクを管理するための枠組みとして、ガバナンス、リスク把握、測定、管理といった機能を提示しています。
下の比較表は、評価項目で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 領域 | 確認事項 |
|---|---|
| AI利用方針 | 利用可能・禁止・承認要の用途が明確か |
| 入力データ | 個人情報、営業秘密、著作物、機密情報を不適切に入力していないか |
| 出力利用 | 法務確認、人間レビュー、説明責任、誤情報対策があるか |
| ベンダー管理 | AIサービスの契約、データ利用、再学習、越境移転、監査権限を確認しているか |
| ログ | 利用ログ、プロンプト、出力、承認履歴を必要範囲で保存しているか |
| インシデント | 誤出力、差別、権利侵害、漏えい、セキュリティ事故への対応手順があるか |
AI領域の実効性評価では、規程策定後の運用確認が特に重要です。生成AI利用ルールを出しても、実際に従業員がどのサービスに何を入力しているか、禁止事項が守られているか、例外承認が記録されているかを確認しなければ、実効性は判断できません。
取締役会、経営陣、法務、コンプライアンス、内部監査、外部専門家の役割を整理します。
下の役割一覧は、実効性評価(モニタリング)を誰が支えるかを整理したものです。取締役会、経営陣、第1線、第2線、第3線、外部専門家の違いを読むことで、自己点検だけに依存しない体制を確認できます。
重大リスク、評価結果、改善状況を監督し、必要な経営判断を促します。
優先順位、人員、予算、重大不備への是正方針を決めます。
評価基準と計画を設計し、相談、研修、通報、改善管理を運用します。
独立した立場でサンプルテストや改善フォローを行い、客観的な保証を提供します。
取締役会、監査役、監査等委員、監査委員は、実効性評価の最上位の受け手で、重大リスクについて監督機能を果たす。
主な役割は次のとおりです。
経営陣は、実効性評価を単なる管理部門の作業にせず、経営課題として扱う必要があります。
法務・コンプライアンス責任者は、実効性評価の設計者で、経営と現場をつなぐ役割を担います。
法務担当・企業内弁護士は、契約、紛争、規程、個人情報、知財、M&A、当局対応などの法的観点から評価を担います。
コンプライアンス担当は、日常的モニタリングの中心です。
内部監査は、独立的評価を担います。第1線・第2線から一定の独立性を保ち、経営者・取締役会・監査役等に客観的な保証と助言を提供します。
企業法務の実効性評価は、弁護士だけでは完結しません。
下の比較表は、9.7 公認会計士・税理士・社労士・弁理士・司法書士等で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 専門家 | 関与領域 |
|---|---|
| 公認会計士 | 内部統制、不正会計、財務DD、J-SOX、IPO、監査対応 |
| 税理士 | 税務調査、組織再編税制、移転価格、インボイス、電子帳簿保存 |
| 社会保険労務士 | 労働時間、就業規則、労使協定、ハラスメント、社会保険 |
| 弁理士 | 特許、商標、意匠、ライセンス、共同研究、知財管理 |
| 司法書士 | 商業登記、役員変更、組織再編登記、会社法実務 |
| 行政書士 | 許認可、規制業種、行政手続、外国人雇用関連書類等 |
| デジタルフォレンジック専門家 | 証拠保全、ログ解析、メール調査、情報漏えい調査 |
| 法律翻訳者・通訳者 | 国際契約、海外調査、当局対応、仲裁資料 |
専門家の役割は、単に意見を述べることではありません。評価基準の設定、証拠の見方、重大性判断、改善策の現実性確認に関与することで、実効性評価の品質を高める。
重大不祥事、役員関与、利益相反、上場会社の開示問題、海外当局対応、刑事事件化のおそれがある場合には、外部弁護士や第三者委員会の関与が必要となることがあります。
外部専門家を用いるべき典型例は次のとおりです。
評価計画、RCM、不備評価シート、経営報告、秘密保持への配慮を確認します。
実効性評価では、証跡が重要です。証跡とは、後から第三者が見ても、何が行われたかを確認できる記録です。
典型的な証跡は次のとおりです。
「やったが記録がない」は、実効性評価では弱い。もちろん、すべてを過剰に文書化すると現場負担が増えるため、リスクに応じた粒度が必要です。
下の比較表は、10.2 リスク・コントロール・マトリクスの例で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| リスク | 統制 | 統制所有者 | 頻度 | 証跡 | 評価手続 | 判定 |
|---|---|---|---|---|---|---|
| 高リスク契約が法務審査を経ずに締結される | 高額・非標準契約は法務承認必須 | 営業部長・法務部 | 案件ごと | 業務手順承認履歴 | 対象契約30件を抽出し承認履歴確認 | 一部不備 |
| 公務員接待が無承認で実施される | 公務員接待は事前承認制 | コンプライアンス部 | 案件ごと | 申請書、経費精算 | 経費データから公務員関連支出を抽出 | 有効 |
| 委託先の個人データ取扱状況を把握できない | 委託先リスク別に定期確認 | 個人情報保護担当 | 年1回 | 質問票、監査報告 | 高リスク委託先10社を確認 | 不備あり |
| 通報者が不利益を受ける | 通報後の人事異動・評価を確認 | 人事・コンプライアンス | 通報後随時 | 人事記録、面談記録 | 通報案件5件のフォロー確認 | 改善要 |
下の比較表は、10.3 不備評価シートの例で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 項目 | 記載例 |
|---|---|
| 発見事項 | 高リスク代理店契約のうち、3件で事前DDが未実施だった |
| 対象範囲 | 2025年度アジア地域代理店契約20件中3件 |
| 基準 | 代理店管理規程第X条、贈収賄防止手続、契約審査基準 |
| 証拠 | 契約書、DDチェックシート、稟議、メール、支払データ |
| 影響 | 不適切第三者起用リスク、贈収賄リスク、当局調査時の説明困難 |
| 重大性 | 中程度。高リスク国を含むため一部重大化のおそれ |
| 根本原因 | 営業部門がDD対象基準を理解していません。契約業務手順にDD完了確認が組み込まれていません |
| 改善策 | 業務手順改修、営業研修、既存代理店の遡及確認、四半期モニタリング |
| 責任者 | 海外営業部長、コンプライアンス部長 |
| 期限 | 2026年9月末 |
| 再テスト | 2026年第4四半期の新規代理店契約全件を確認 |
経営層向け報告では、詳細よりも意思決定に必要な情報を重視します。
推奨構成は次のとおりです。
取締役会に報告する場合、単に「問題ありません」とするのではなく、「何をどの範囲で確認し、どの証拠に基づき、どのリスクは残っているか」を明示する必要があります。
不祥事調査や重大法的リスクに関する実効性評価では、弁護士秘匿特権、秘密保持、個人情報、労務上の権利、通報者保護に注意する必要があります。
特に、海外当局対応やクロスボーダー調査では、どの国の法制度でどの範囲の秘匿特権が認められるかを事前に検討します。社内メールやチャットの調査では、就業規則、プライバシーポリシー、労働法、個人情報保護法、越境移転規制、データ保全義務に配慮します。
形骸化しやすい評価を、改善につながる評価へ変える観点を整理します。
下の注意点一覧は、実効性評価(モニタリング)が形骸化しやすい場面を整理したものです。原因と予防策を対応させて読むことで、評価を改善につなげるための着眼点を確認できます。
実案件、承認記録、ログ、是正状況まで確認する必要があります。
受講率や件数だけでなく、理解度、処理品質、再発率を組み合わせます。
第2線、第3線、必要に応じた外部専門家レビューを組み合わせます。
責任者、期限、予算、完了証跡、再テスト方法まで決めます。
最も多い失敗は、規程があるか、研修をしたか、委員会を開催したかだけを確認することです。これでは実効性は分かりません。
予防策 ― 実際の案件サンプル、承認記録、ログ、通報処理、是正状況を確認します。
研修受講率、通報件数、契約審査件数などは重要ですが、活動量だけでは成果を測れません。
予防策 ― 理解度、行動変容、違反傾向、処理品質、是正完了率、再発率を組み合わせます。
現場の自己点検は有用ですが、自己申告だけでは見落としや忖度が生じます。
予防策 ― 第2線のモニタリング、第3線の内部監査、外部専門家レビューを組み合わせます。
報告書に「改善を要する」と書かれても、責任者、期限、予算、再テストがなければ改善は進みません。
予防策 ― 改善計画表を作成し、経営会議・取締役会・監査役等が進捗を追跡します。
親会社単体の制度は整っていても、子会社や海外拠点で不祥事が発生することは多いです。
予防策 ― グループ会社をリスクランク付けし、高リスク拠点には現地ヒアリング、データ分析、外部専門家レビューを実施します。
通報が少ない理由は、問題がないからとは限りません。制度が知られていない、信頼されていない、報復を恐れている可能性があります。
予防策 ― 認知率、信頼度、匿名通報比率、相談件数、退職者面談、従業員意識調査を併用します。
企業法務の実効性評価は、法務部だけでは実施できません。会計、税務、労務、IT、情報セキュリティ、内部監査、事業部門の協力が不可欠です。
予防策 ― 評価ごとにRACIチャートを作成し、責任者、実行者、協議先、報告先を明確にします。
30日、60日、90日の順に、重要リスクから始める方法を示します。
下の時系列は、中小企業・成長企業が30日、60日、90日で段階的に実効性評価(モニタリング)を始める順番を示します。短期間で全てを完成させるのではなく、重要リスクから着手する流れを読み取れます。
重要契約、労務、個人情報、支払、相談窓口、取締役会、許認可を確認します。
リスク上位5項目について、確認者、窓口、権限、研修、委託先リストを整えます。
直近案件のサンプルを使い、審査・承認・契約条項・報告の証跡を確認します。
大企業のような大規模体制を持たない企業でも、実効性評価は導入できます。重要なのは、完璧な制度を一度に作ることではなく、重要リスクから始めることです。
最初の30日では、次を確認します。
下の比較表は、12.1 30日で行う初期診断で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 項目 | 確認内容 |
|---|---|
| 重要契約 | 標準契約、契約審査基準、保管場所 |
| 労務 | 労働時間、就業規則、ハラスメント窓口 |
| 個人情報 | 取得データ、委託先、漏えい時連絡先 |
| 会計・支払 | 承認権限、経費精算、外注費、交際費 |
| 通報・相談 | 従業員が相談できる窓口 |
| 取締役会 | 重要リスクが議題化されているか |
| 許認可 | 期限、更新、担当者 |
次の60日では、リスク上位5項目について最低限の統制を決める。
90日目には、サンプルを使って確認します。
小規模企業では、評価表1枚から始めてもよいです。重要なのは、毎回同じ観点で確認し、改善を記録し、次回に反映することです。
全社、契約、通報、個人情報の点検項目と年間の確認サイクルを整理します。
実効性評価(モニタリング)のやり方の核心は、「制度が存在するか」ではなく、「制度が現場で機能し、リスクを低減し、問題を早期に発見し、改善につながっているか」を確認することです。
企業法務の実効性評価は、弁護士や法務部だけの仕事ではありません。企業内弁護士、外部弁護士、コンプライアンス担当、内部監査担当、公認会計士、税理士、社労士、弁理士、司法書士、IT・セキュリティ担当、個人情報保護担当、経営陣、取締役会、監査役等が、それぞれの専門性を持ち寄って初めて機能します。
実務上は、次の十項目を押さえれば、評価の品質は大きく向上します。
最終的に、実効性評価は、企業を縛るための手続ではなく、企業が持続的に信頼されるための経営技術です。法務・コンプライアンス体制の価値は、平時には見えにくい。しかし、問題が起きたとき、あるいは問題を未然に防げたとき、その企業がどれほど真剣に実効性を確認していたかが明らかになります。
したがって、実効性評価は「余裕があれば行うもの」ではありません。企業法務の専門実務において、リスクを発見し、経営を支え、社会的信頼を守るための必須プロセスです。
下の比較表は、A.1 全社コンプライアンス体制で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| チェック項目 | はい | いいえ | 要改善 | 証跡 |
|---|---|---|---|---|
| 重要リスクが年1回以上見直されている | ||||
| 経営トップがコンプライアンス方針を発信している | ||||
| コンプライアンス責任者と報告ラインが明確です | ||||
| 重大リスクが取締役会または経営会議に報告されている | ||||
| 内部通報制度の認知率・信頼度を確認している | ||||
| 研修の受講率だけでなく理解度を確認している | ||||
| 不備の改善計画に責任者と期限が設定されている | ||||
| 改善後に再テストしている |
下の比較表は、A.2 契約管理で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| チェック項目 | はい | いいえ | 要改善 | 証跡 |
|---|---|---|---|---|
| 法務審査対象基準が明確です | ||||
| 高リスク契約が審査から漏れていない | ||||
| 標準契約からの重大逸脱が承認されている | ||||
| 締結済み契約が一元管理されている | ||||
| 更新・解約期限が管理されている | ||||
| 紛争化した契約の原因分析を行っている |
下の比較表は、A.3 通報・調査で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| チェック項目 | はい | いいえ | 要改善 | 証跡 |
|---|---|---|---|---|
| 通報窓口が従業員に認知されている | ||||
| 匿名通報・秘密保持・報復防止が明確です | ||||
| 通報受付から初動までの期限がある | ||||
| 調査担当者の利益相反を確認している | ||||
| 通報者へのフィードバックが記録されている | ||||
| 是正措置と再発防止策が追跡されている |
下の比較表は、A.4 個人情報・データで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| チェック項目 | はい | いいえ | 要改善 | 証跡 |
|---|---|---|---|---|
| 個人データの取得・利用・委託・削除の流れを把握している | ||||
| 委託先をリスク別に管理している | ||||
| 委託先の取扱状況をリスクに応じて確認している | ||||
| アクセス権限の棚卸しを行っている | ||||
| 漏えい時の報告・通知手順を訓練している | ||||
| AI・クラウド利用時のデータ入力ルールがある |
下の時系列は、年間モニタリング計画を月別に配置したものです。対象と報告先を月次で読むことで、法務・コンプライアンス評価を年1回の確認にせず、継続的な改善へつなげる設計を確認できます。
前年不備、契約サンプル、委託先リスクを確認し、経営会議や管理委員会へ報告します。
研修、相談件数、経費データ、処理期間、是正状況を確認します。
子会社自己評価、利用ログ、例外承認、営業・購買データを確認します。
前回指摘事項の再テストと次年度計画を取締役会・監査役へ接続します。
下の比較表は、この章で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。
| 時期 | 対象 | 主な手法 | 報告先 |
|---|---|---|---|
| 4月 | 年次リスク評価 | 役員・部門長ヒアリング、前年不備分析 | 経営会議 |
| 5月 | 契約管理 | 契約サンプルテスト、法務審査ログ分析 | 法務・事業部門 |
| 6月 | 個人情報・委託先管理 | 委託先リスク評価、質問票、契約条項確認 | 個人情報管理委員会 |
| 7月 | 労務・ハラスメント | 研修結果、相談件数、労働時間データ分析 | 人事・コンプライアンス委員会 |
| 8月 | 贈収賄・接待交際費 | 経費データ分析、代理店DD確認 | コンプライアンス委員会 |
| 9月 | 内部通報制度 | 認知率調査、処理期間分析、是正状況確認 | 監査役・取締役会 |
| 10月 | 子会社管理 | 子会社自己評価、現地ヒアリング、監査結果確認 | 経営会議 |
| 11月 | AI・情報セキュリティ | 利用ログ、例外承認、インシデント演習 | リスク管理委員会 |
| 12月 | 競争法・下請法 | 営業・購買データ、研修、相談記録確認 | 法務・購買部門 |
| 1月 | 改善状況フォロー | 前回指摘事項の再テスト | 内部監査・経営会議 |
| 2月 | 取締役会実効性評価支援 | 質問票、個別ヒアリング、議題分析 | 取締役会 |
| 3月 | 年次総括 | KPI/KRI、重大不備、次年度計画 | 取締役会・監査役 |
頻度、通報件数、不備評価、外部専門家の関与を一般情報として整理します。
一般的には、低リスク領域では年次確認を基本にしつつ、高リスク領域や不備が見つかった領域では四半期、月次、案件発生時などの短い周期で確認する設計が考えられます。ただし、業種、規制環境、海外展開、過去不備、取引規模によって適切な頻度は変わります。具体的な評価計画は、社内資料を整理したうえで弁護士、公認会計士、内部監査等の専門家へ相談する必要があります。
一般的には、通報件数が少ないことだけで制度が機能しているとは評価しにくいとされています。問題が少ない可能性もありますが、窓口が知られていない、報復への不安がある、管理職で相談が止まっているといった事情も考えられます。認知率、信頼度、匿名通報比率、処理期間、是正完了率などを組み合わせて確認する必要があります。
一般的には、不備の発見は直ちに法令違反を意味するものではなく、重大性、影響範囲、原因、再発可能性、証拠関係を分けて評価する必要があります。ただし、情報漏えい、通報者不利益、贈収賄、競争法、労務安全などでは小さな不備が重大化する可能性があります。個別の見通しや対応方針は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、評価基準の設計、重大不備の判定、法的リスクを伴う調査、役員関与や利益相反が疑われる場面、海外当局対応、デジタル証拠保全が必要な場面で外部専門家の関与が検討されます。ただし、必要な専門性は案件によって異なります。弁護士、公認会計士、税理士、社労士、弁理士、デジタルフォレンジック専門家などから、論点に合う専門家を選ぶ必要があります。