2σ Guide

実効性評価(モニタリング)のやり方
企業法務・コンプライアンス実務

制度が存在するだけで終わらせず、現場で機能しているかを証拠で確認し、改善・報告・再テストまでつなげる実務を体系的に整理します。

10実務ステップ
5評価軸
3層評価単位
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

実効性評価(モニタリング)のやり方 企業法務・コンプライアンス実務

制度が存在するだけで終わらせず、現場で機能しているかを証拠で確認し、改善・報告・再テストまでつなげる実務を体系的に整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
実効性評価(モニタリング)のやり方 企業法務・コンプライ
アンス実務
制度が存在するだけで終わらせず、現場で機能しているかを証拠で確認し、改善・報告・再テストまでつなげる実務を体系的に整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 実効性評価(モニタリング)のやり方 企業法務・コンプライアンス実務
  • 制度が存在するだけで終わらせず、現場で機能しているかを証拠で確認し、改善・報告・再テストまでつなげる実務を体系的に整理します。

POINT 1

  • 実効性評価(モニタリング)のやり方の全体像
  • 1. 1. 対象リスクを定義します:法令名ではなく、具体的な失敗シナリオに落とし込みます。
  • 2. 2. 期待される統制・行動・成果を明文化します
  • 3. 3. 評価基準と証拠を先に決めます
  • 4. 4. 日常的な確認と独立的評価を組み合わせます
  • 5. 5. テスト、分析、インタビュー、文書確認を行います
  • 6. 6. 不備の重大性と根本原因を判定します
  • 7. 7. 改善計画、責任者、期限、再評価方法を決めます
  • 8. 8. 経営陣・取締役会・監査役等へ報告します
  • 9. 9. 改善状況を追跡し、再テストします

POINT 2

  • 実効性評価(モニタリング)のやり方を理解するための定義
  • 評価、監査、点検、レビューとの違いを整理します。
  • 1.1 実効性の定義
  • 1.2 モニタリングの定義
  • 1.3 「評価」と「監査」と「モニタリング」の違い

POINT 3

  • 企業法務で実効性評価(モニタリング)が必要な理由
  • 制度が存在するだけでは企業を守れない理由を確認します。
  • 2.1 「作っただけ」の制度は、企業を守らない
  • 2.2 当局・裁判・投資家・取締役会は「実際に機能していたか」を見る
  • 2.3 実効性評価は「責任追及」ではなく「リスク低減」の仕組みです

POINT 4

  • 実効性評価(モニタリング)の共通原則
  • リスクベース
  • 高リスク領域、高額取引、過去不備、新規事業などに重点を置きます。
  • 比例性
  • 企業規模、業種、海外展開、規制環境に応じて評価の深さを調整します。

POINT 5

  • 実効性評価(モニタリング)のやり方 ― 全体の判断の流れ
  • 1. リスク特定
  • 2. 統制・制度の目的設定
  • 3. 評価基準・証拠の設計
  • 4. モニタリング計画の作成
  • 5. データ収集・テスト・ヒアリング
  • 6. 不備評価・根本原因分析
  • 7. 改善計画の策定
  • 8. 経営・取締役会等への報告
  • 9. 改善実行・再テスト
  • 10. 次回リスク評価・制度改定へ反映

POINT 6

  • 実効性評価(モニタリング)の実務手順10ステップ
  • ステップ0 ― 評価のスポンサーと権限を決める
  • ステップ1 ― 対象リスクを定義する
  • ステップ2 ― 統制目的と期待される行動を定義する
  • ステップ3 ― 評価基準を決める
  • ステップ4 ― 評価計画を作成する
  • ステップ5 ― データを収集する
  • ステップ6 ― テストを実施する
  • ステップ7 ― 不備を評価し、重大性を判定する
  • ステップ8 ― 根本原因を分析する
  • ステップ9 ― 改善計画を作成する
  • 権限設定、リスク定義、証拠収集、不備評価、改善、報告までを具体化します。

POINT 7

  • 実効性評価(モニタリング)の評価軸・基準・スコアリング
  • 設計有効性
  • 導入状況
  • 運用有効性
  • 成果有効性
  • 文化・行動
  • 五つの評価軸、0から5の成熟度、KPIとKRI、先行指標と遅行指標を扱います。

POINT 8

  • 実効性評価(モニタリング)の具体的手法
  • 文書レビュー、ウォークスルー、サンプルテスト、インタビュー、データ分析を使い分けます。
  • 7.1 文書レビュー
  • 7.2 ウォークスルー
  • 7.3 サンプルテスト

まとめ

  • 実効性評価(モニタリング)のやり方 企業法務・コンプライ
  • 実効性評価(モニタリング)のやり方の全体像:まず結論、目的、10段階の進め方を把握します。
  • 実効性評価(モニタリング)のやり方を理解するための定義:評価、監査、点検、レビューとの違いを整理します。
  • 企業法務で実効性評価(モニタリング)が必要な理由:制度が存在するだけでは企業を守れない理由を確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

実効性評価(モニタリング)のやり方の全体像

まず結論、目的、10段階の進め方を把握します。

下の重要ポイントは、実効性評価(モニタリング)のやり方で最初に押さえる結論を整理したものです。制度の有無ではなく、現場で使われ、証拠で説明でき、改善に戻るかを読み取ることが重要です。

仕組みが存在するだけでは足りず、機能していることを証拠で確認します

実効性評価は、リスク定義、期待行動、評価基準、証拠収集、不備評価、改善、報告、再テストを一続きで扱う企業法務の中核実務です。

次の判断の流れは、実効性評価(モニタリング)のやり方を10段階に分けて示します。各段階を順に見ることで、何を決め、どの証拠を集め、どこで経営判断につなげるかを確認できます。

実効性評価の10段階

1. 対象リスクを定義します

法令名ではなく、具体的な失敗シナリオに落とし込みます。

2. 期待される統制・行動・成果を明文化します
3. 評価基準と証拠を先に決めます
4. 日常的な確認と独立的評価を組み合わせます
5. テスト、分析、インタビュー、文書確認を行います
6. 不備の重大性と根本原因を判定します
7. 改善計画、責任者、期限、再評価方法を決めます
8. 経営陣・取締役会・監査役等へ報告します
9. 改善状況を追跡し、再テストします
10. 次年度のリスク評価・研修・規程改定・リソース配分へ反映します

企業法務・コンプライアンスの現場では、規程、研修、承認手順、通報窓口、第三者管理、契約審査、個人情報管理、取締役会運営、内部統制、内部監査など、多数の仕組みが導入されています。しかし、企業にとって本当に重要なのは「仕組みが存在すること」ではなく、「仕組みが実際に機能していること」です。この「機能しているか」を、証拠に基づき、継続的かつ独立性を確保して確認し、必要な改善につなげる実務が、実効性評価(モニタリング)です。

このページは、実効性評価(モニタリング)のやり方を、企業法務・コンプライアンスの専門実務として体系化します。金融庁の内部統制基準におけるモニタリング概念、米国司法省の企業コンプライアンス・プログラム評価指針、英国贈収賄防止ガイダンス、ISO 37301、コーポレートガバナンス・コード、公益通報者保護制度、個人情報保護委員会の委託先監督FAQ、IIAのスリーライン・モデル等を参照しつつ、非専門家にも理解できるよう、定義、設計、実施、評価、報告、改善、証跡化までを一貫して解説します。

結論を先に述べれば、実効性評価(モニタリング)は、次の順序で進めるのが合理的です。

  1. 対象リスクを定義します。
  2. 期待される統制・行動・成果を明文化します。
  3. 評価基準と証拠を先に決める。
  4. 日常的モニタリングと独立的評価を組み合わせます。
  5. サンプルテスト、データ分析、インタビュー、文書レビューを行います。
  6. 不備の重大性と根本原因を判定します。
  7. 改善計画、責任者、期限、再評価方法を決める。
  8. 経営陣・取締役会・監査役等に報告します。
  9. 改善状況を追跡し、再テストします。
  10. 評価結果を次年度のリスク評価・研修・規程改定・リソース配分に反映します。
Section 01

実効性評価(モニタリング)のやり方を理解するための定義

評価、監査、点検、レビューとの違いを整理します。

1.1 実効性の定義

このページでいう実効性とは、企業が導入している法務・コンプライアンス・内部統制上の仕組みが、実際の業務現場において、意図した目的を達成している程度を指します。

たとえば、贈収賄防止規程が存在するだけでは、贈収賄リスクを低減できているとは限りません。営業担当者が規程を理解し、代理店選定時に必要なデューデリジェンスを行い、接待・贈答の承認が実際に記録され、不適切な支出が検知され、問題があれば是正されてはじめて、「実効性がある」と評価できます。

同様に、内部通報窓口が設置されていても、従業員が窓口を知らず、報復を恐れて利用できず、通報後の調査が遅延し、再発防止策が実行されていないのであれば、その制度は形式的には存在していても、実効的とはいえません。

1.2 モニタリングの定義

モニタリングとは、内部統制、コンプライアンス・プログラム、法務プロセス、リスク低減策などが有効に機能しているかを、継続的または定期的に評価する活動です。

金融庁・企業会計審議会の内部統制基準では、モニタリングは「内部統制が有効に機能していることを継続的に評価するプロセス」と位置づけられ、日常的モニタリングと独立的評価が含まれると整理されています。この整理は、財務報告内部統制だけでなく、企業法務・コンプライアンス領域にも応用可能です。

1.3 「評価」と「監査」と「モニタリング」の違い

実務では、「評価」「監査」「点検」「レビュー」「モニタリング」という用語が混在しやすいです。厳密には、次のように整理できます。

下の比較表は、1.3 「評価」と「監査」と「モニタリング」の違いで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

用語主な意味典型的な実施者特徴
評価対象が基準を満たしているかを判断すること法務、コンプライアンス、内部監査、外部専門家判定・結論を伴う
モニタリング継続的・定期的に状況を把握し、変化や不備を検知すること業務部門、管理部門、内部監査継続性が重視される
監査独立した立場から証拠に基づき検証すること内部監査、監査役、公認会計士等独立性・客観性が重視される
点検チェックリスト等に基づく確認現場、法務、コンプライアンス比較的簡易な確認
レビュー文書・運用・判断過程の確認法務、外部弁護士、専門部署個別案件にも使われる

企業法務上の実効性評価では、これらを対立的に考える必要はありません。むしろ、日常的な点検、コンプライアンス部門によるモニタリング、内部監査による独立的評価、外部弁護士・会計士・専門家によるレビューを、リスクに応じて組み合わせることが重要です。

1.4 「実効性評価(モニタリング)のやり方」を一言でいうと

実効性評価(モニタリング)のやり方とは、次の問いに、証拠をもって答えるプロセスです。

確認質問その制度・統制・法務プロセスは、紙の上だけでなく、現場で実際に使われ、リスクの予防・早期発見・是正・再発防止に役立っているか。

この問いに答えるためには、規程の有無を見るだけでは不十分です。実際の案件、取引、通報、承認、契約、研修、懲戒、是正対応、取締役会報告、システムログ、外部委託先管理、グループ会社管理などを横断的に確認する必要があります。

Section 02

企業法務で実効性評価(モニタリング)が必要な理由

制度が存在するだけでは企業を守れない理由を確認します。

2.1 「作っただけ」の制度は、企業を守らない

企業法務においては、しばしば次のような状態が見られます。

  • コンプライアンス規程はありますが、現場が読んでいません。
  • 契約審査ルールはありますが、例外承認が常態化しています。
  • 個人情報管理台帳はありますが、実際のデータの流れと一致していません。
  • 内部通報窓口はありますが、通報者保護への信頼が低いです。
  • ハラスメント研修は実施しているが、管理職の行動が変わっていません。
  • 贈答・接待承認制度はありますが、会計データと突合していません。
  • 子会社管理方針はありますが、海外子会社の実態が見えていません。
  • 取締役会評価を行っているが、翌年の議題設計や情報提供に反映されていません。

このような状態では、制度の存在を示すことはできても、制度が機能していることを示すことは難しい。実効性評価は、形式と実態の差を可視化し、改善に結びつけるための技術です。

2.2 当局・裁判・投資家・取締役会は「実際に機能していたか」を見る

不祥事、情報漏えい、労務問題、会計不正、競争法違反、贈収賄、品質不正などが発生した場合、企業は「規程はありました」と説明するだけでは足りません。問われるのは、少なくとも次の点です。

  • リスクを事前に把握していたか。
  • リスクに応じた統制を設計していたか。
  • 統制が現場で実行されていたか。
  • 運用状況を定期的に確認していたか。
  • 通報・兆候・異常値を検知できていたか。
  • 不備が見つかったときに是正していたか。
  • 経営陣・取締役会・監査役等に報告していたか。
  • 同様の問題を再発させない仕組みに変えていたか。

米国司法省の企業コンプライアンス・プログラム評価指針も、企業のプログラムが「紙の上のプログラム」ではなく、実際に機能しているかを重視し、継続的な改善、定期的なテスト、運用データの活用、通報制度の実効性、調査・是正の実効性などを確認する枠組みを示しています。

2.3 実効性評価は「責任追及」ではなく「リスク低減」の仕組みです

実効性評価というと、現場からは「監視される」「ミスを探される」「処分の材料にされる」と受け止められることがあります。しかし、本来の目的は責任追及ではなく、リスクを低減し、企業と従業員を守ることです。

よい実効性評価は、次の性質を持つ。

  • 現場の実態を尊重します。
  • 形式的なチェックではなく、リスクの本質を見ます。
  • 違反者探しではなく、仕組みの改善に焦点を当てる。
  • 不備を早期に発見し、小さいうちに是正します。
  • 経営資源を高リスク領域に集中させる。
  • 再発防止策の実行状況を追跡します。

その意味で、実効性評価は、企業法務、内部統制、内部監査、リスクマネジメント、コーポレートガバナンスをつなぐ「実務上の中核機能」です。

Section 03

実効性評価(モニタリング)の共通原則

内部統制、ISO、DOJ、英国ガイダンス、スリーライン・モデルから原則を読み解きます。

下の一覧は、制度・標準・公的資料に共通する実効性評価(モニタリング)の原則を整理したものです。原則ごとの役割を読むことで、自社の評価が形式確認に偏っていないかを点検できます。

リスクベース

高リスク領域、高額取引、過去不備、新規事業などに重点を置きます。

比例性

企業規模、業種、海外展開、規制環境に応じて評価の深さを調整します。

証拠ベース

担当者の説明だけでなく、契約書、ログ、承認記録、研修履歴などで確認します。

運用データ

契約、通報、会計、研修、アクセス権限などの実データから兆候を読み取ります。

独立性

自己点検だけに依存せず、第2線、第3線、必要に応じた外部レビューを組み合わせます。

継続的改善

評価結果を制度改定、教育、監査計画、経営報告に戻していきます。

3.1 内部統制基準におけるモニタリング

金融庁・企業会計審議会の内部統制基準では、内部統制を、業務の有効性・効率性、報告の信頼性、事業活動に関わる法令等の遵守、資産の保全という目的を達成するため、組織内のすべての者によって遂行されるプロセスとして説明しています。内部統制の基本的要素の一つとして、モニタリングが位置づけられている点は重要です。

ここから企業法務に応用できる示唆は明確です。すなわち、法令遵守や不祥事予防は、法務部だけが担う単発作業ではなく、業務プロセスに組み込まれ、経営者、管理職、従業員、内部監査、監査役等がそれぞれの役割を果たす継続的プロセスです。

3.2 コーポレートガバナンス・コードにおける実効性評価

上場会社においては、取締役会の実効性評価も重要な実務です。東京証券取引所のコーポレートガバナンス・コードは、取締役会全体としての実効性に関する分析・評価と、その概要開示を求める原則を置いています。

取締役会実効性評価は、法務・コンプライアンス領域のモニタリングと別物ではありません。むしろ、重大な法的リスク、内部統制上の不備、不祥事、内部通報、規制対応、訴訟、サステナビリティ、情報セキュリティ、AI利用等について、取締役会が十分な情報を受け、実質的に監督しているかを確認する点で、企業法務の実効性評価と密接に結びつきます。

3.3 ISO 37301とコンプライアンス・マネジメントシステム

ISO 37301は、コンプライアンス・マネジメントシステムに関する国際規格で、コンプライアンス体制の構築、実施、評価、維持、改善に関する要求事項と指針を示す。認証取得の有無にかかわらず、同規格の考え方は、企業法務における実効性評価を体系化するうえで参考になります。

重要なのは、コンプライアンスを「規程集」ではなく「マネジメントシステム」として捉えることです。マネジメントシステムとして捉えると、リスク評価、方針、役割、研修、コミュニケーション、運用、監視、内部監査、マネジメントレビュー、改善という循環が必要になります。

3.4 DOJの企業コンプライアンス・プログラム評価指針

米国司法省の「Evaluation of Corporate Compliance Programs」は、企業のコンプライアンス・プログラムを評価する際の観点を示す資料です。同資料は、企業規模、業種、地域、規制環境等に応じた個別判断を前提としつつ、リスク評価、ポリシー、研修、通報、調査、第三者管理、M&A、インセンティブ、データ活用、継続的改善等を確認する枠組みを示しています。

同資料から学ぶべき中心命題は、次の三つです。

  1. プログラムはよく設計されているか。
  2. プログラムは誠実かつ十分な資源をもって実行されているか。
  3. プログラムは実際に機能しているか。

この三分法は、企業法務全般の実効性評価にもそのまま応用できます。

3.5 英国贈収賄防止ガイダンスにおける「monitoring and review」

英国法務省のBribery Act 2010 guidanceは、商業組織が贈収賄防止手続を整備するための六つの原則として、比例性、トップレベルのコミットメント、リスク評価、デューデリジェンス、コミュニケーション・研修、モニタリングとレビューを掲げています。この構造は、贈収賄防止に限らず、競争法、個人情報、労務、下請法、輸出管理、AI利用などにも応用できます。

3.6 スリーライン・モデル

IIAのスリーライン・モデルは、ガバナンスとリスクマネジメントにおける役割分担を整理する実務モデルです。企業法務の実効性評価では、一般に次のように適用できます。

下の比較表は、3.6 スリーライン・モデルで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

ライン主体役割
第1線事業部門、現場管理者リスクを日々管理し、統制を実行する
第2線法務、コンプライアンス、リスク管理、個人情報保護、情報セキュリティ、人事労務等ルール設計、助言、モニタリング、教育、基準整備を担う
第3線内部監査独立した立場から保証・助言を行う
ガバナンス機関取締役会、監査役、監査等委員会、監査委員会等経営監督、重要リスクの把握、改善状況の監督を担う

実効性評価では、第1線の自己点検だけに依存しないことが重要です。第2線による継続的モニタリングと、第3線による独立評価を組み合わせることで、評価の信頼性が高まります。

Section 04

実効性評価(モニタリング)のやり方 ― 全体の判断の流れ

リスク特定から再テスト、制度改定への反映までを一続きで確認します。

4.1 全体の流れ

実効性評価(モニタリング)のやり方は、抽象的には次の判断の流れで表せます。

下の判断の流れは、リスク特定から制度改定への反映までの順番を示します。順番どおりに見ることで、評価が単発の確認で終わらず、改善に戻る構造を確認できます。

実効性評価の基本的な順番

リスク特定
統制・制度の目的設定
評価基準・証拠の設計
モニタリング計画の作成
データ収集・テスト・ヒアリング
不備評価・根本原因分析
改善計画の策定
経営・取締役会等への報告
改善実行・再テスト
次回リスク評価・制度改定へ反映

この流れを「年1回の儀式」にしてはなりません。リスクの高い領域では、四半期、月次、案件発生時、インシデント発生時など、より短いサイクルで確認する必要があります。

4.2 実効性評価の単位

実効性評価は、対象単位を明確にしないと曖昧になります。典型的な評価単位は次の三層です。

下の比較表は、4.2 実効性評価の単位で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

評価単位評価の焦点
全社レベルコンプライアンス体制、内部統制、取締役会監督、内部通報制度ガバナンス、リソース、報告ライン、企業文化
領域レベル贈収賄、個人情報、労務、競争法、契約管理、下請法、輸出管理分野別リスクと統制の適合性
取引・案件レベル代理店契約、M&A案件、海外接待、個人データ委託、懲戒案件個別プロセスの運用状況・証跡

優れた実効性評価は、この三層をつなげる。たとえば、海外代理店契約のサンプルテストで承認漏れが見つかった場合、単に当該契約を是正するだけでなく、全社の第三者管理規程、営業部門の研修、会計データの監視、内部監査計画、取締役会への報告内容に反映する必要があります。

4.3 実効性評価の基本原則

実効性評価の品質を左右する原則は、次の八つです。

原則1 ― リスクベース

すべてを同じ深さで評価することは不可能です。高リスク領域、高額取引、規制業種、海外子会社、過去に不備があった領域、通報が多い領域、新規事業、AI・データ活用などに重点を置く。

原則2 ― 比例性

企業規模、業種、海外展開、取引形態、従業員数、規制環境に応じて、評価の深さを調整します。中小企業に大企業並みの仕組みを機械的に求めるのは非現実的です。一方、規模が小さくても高リスク事業を行う企業では、相応の評価が必要となります。

原則3 ― 証拠ベース

「担当者が大丈夫と言っている」「研修を実施したはず」という確認では不十分です。契約書、承認記録、ログ、会計データ、研修受講履歴、通報記録、調査報告書、是正完了証跡など、検証可能な資料に基づく必要があります。

原則4 ― 運用データの活用

実効性評価では、アンケートやヒアリングだけでなく、実際の業務データを使う。たとえば、契約審査依頼件数、差戻し理由、例外承認件数、接待交際費、代理店手数料、通報受付件数、調査期間、研修未受講者、アクセスログ、退職者面談結果などです。

原則5 ― 独立性と客観性

制度を運用している部門が自己評価を行うことは有用ですが、それだけでは楽観的評価になりやすい。第2線によるモニタリング、第3線による内部監査、必要に応じた外部専門家レビューを組み合わせる必要があります。

原則6 ― 改善につなげる

実効性評価は、点数をつけて終わる作業ではありません。不備を発見したら、原因、責任部署、改善策、期限、再評価方法を決める。改善計画が未完了のまま放置される評価は、実効性評価とはいえません。

原則7 ― 経営・取締役会への接続

重大リスク、重大不備、再発防止策、リソース不足、組織横断課題は、経営陣・取締役会・監査役等に報告する必要があります。現場だけで完結させると、構造的問題が改善されません。

原則8 ― 継続的改善

リスクは変化します。法改正、新規事業、M&A、海外展開、AI導入、情報セキュリティ攻撃、社会的期待の変化に応じて、評価項目も更新する必要があります。

Section 05

実効性評価(モニタリング)の実務手順10ステップ

権限設定、リスク定義、証拠収集、不備評価、改善、報告までを具体化します。

ここからは、企業が実際に導入できる形で、実効性評価(モニタリング)のやり方を10ステップに分解します。

ステップ0 ― 評価のスポンサーと権限を決める

最初に、誰の権限で評価を行うのかを明確にします。実効性評価は、現場から見ると負担を伴うため、経営陣・取締役会・監査役等の支援がなければ形骸化しやすい。

決めるべき事項は次のとおりです。

下の比較表は、ステップ0 ― 評価のスポンサーと権限を決めるで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

項目決定事項
評価責任者CCO、CLO、ゼネラルカウンセル、法務部長、コンプライアンス部長、内部監査部長など
評価承認者経営会議、リスク管理委員会、コンプライアンス委員会、取締役会、監査役会等
対象範囲全社、特定部門、子会社、特定法令領域、特定プロセス
権限資料提出要請、ヒアリング、システムデータ閲覧、委託先確認、外部専門家起用
報告先経営者、取締役会、監査役、監査委員会、社外取締役、内部監査部門等
秘密保持通報情報、個人情報、営業秘密、弁護士秘匿特権、調査情報の取扱い

評価権限が曖昧なまま始めると、必要なデータが得られず、評価が「お願いベース」になってしまう。評価規程、年間監査計画、コンプライアンス委員会規程、内部統制規程などに根拠を置くことが望ましいです。

ステップ1 ― 対象リスクを定義する

実効性評価の出発点はリスクです。対象リスクを定義せずに評価を始めると、確認項目がチェックリスト化し、重要度の低い項目に時間を費やすことになります。

リスク定義では、少なくとも次を整理します。

下の比較表は、ステップ1 ― 対象リスクを定義するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

観点
法令リスク会社法、金融商品取引法、個人情報保護法、労働法、独占禁止法、下請法、景品表示法、薬機法、外為法等
契約リスク不利な責任制限、知財帰属不明、解除条項欠落、再委託管理不備、反社条項欠落
不祥事リスク贈収賄、横領、会計不正、品質不正、インサイダー取引、情報漏えい
労務リスク長時間労働、ハラスメント、解雇紛争、労働時間記録不備、メンタルヘルス対応不備
ガバナンスリスク取締役会監督不全、子会社管理不備、利益相反、関連当事者取引、権限規程逸脱
レピュテーションリスクSNS炎上、消費者対応不備、行政処分、公表事案、報道対応不備
技術・データリスクAI誤用、情報セキュリティ攻撃、個人データ越境移転、ログ不足、委託先管理不備

ここで重要なのは、リスクを法令名だけで分類しないことです。たとえば「個人情報保護法リスク」と書くだけでは、評価対象が曖昧です。実務上は、「委託先における個人データ取扱状況を把握できていないリスク」「アクセス権限の棚卸しが行われないリスク」「漏えい時の報告・通知判断が遅れるリスク」のように、具体的な失敗シナリオに落とし込む必要があります。

ステップ2 ― 統制目的と期待される行動を定義する

次に、各リスクに対して、どのような統制が何を達成すべきかを定義します。これを統制目的と呼びます。

例として、贈収賄防止を取り上げます。

下の比較表は、ステップ2 ― 統制目的と期待される行動を定義するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

リスク統制目的期待される行動
高リスク代理店を通じた不正支払代理店起用前にリスク評価を行い、不適切な第三者を排除する営業部門が申請し、法務・コンプライアンスが審査し、承認前に契約締結しない
公務員接待の不正公務員等への接待・贈答を事前承認制にする申請者が目的・金額・相手方を記録し、上長・コンプライアンスが承認する
不自然な手数料支払会計データから異常支払を検知する高額・丸数字・タックスヘイブン・成功報酬等を抽出し確認する

実効性評価では、「規程があるか」ではなく、「期待される行動が実際に行われたか」を確認します。

ステップ3 ― 評価基準を決める

評価基準は、評価開始前に決める必要があります。後から都合よく基準を変えると、評価の客観性が失われます。

典型的な評価基準は、次の五つです。

下の比較表は、ステップ3 ― 評価基準を決めるで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

評価軸問い
設計有効性リスクに対して制度・統制の設計は適切か
導入状況規程、責任者、システム、研修、業務手順は導入されているか
運用有効性実際の案件でルール通りに運用されているか
成果有効性予防、早期発見、是正、再発防止に役立っているか
文化・行動従業員・管理職が制度を信頼し、適切に行動しているか

たとえば、契約審査制度の実効性評価では、次のような基準を置くことができます。

  • 高リスク契約の90%以上が法務審査を経ています。
  • 標準契約からの重大な逸脱には承認記録があります。
  • 契約締結前に反社チェック・与信確認・個人情報条項確認が行われています。
  • 締結済み契約が契約管理システムに登録されています。
  • 更新・解約期限が自動通知されています。
  • 法務差戻し理由がナレッジ化され、次の雛形改定に反映されています。

ステップ4 ― 評価計画を作成する

評価計画は、実効性評価の設計図です。最低限、次の項目を含める。

下の比較表は、ステップ4 ― 評価計画を作成するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

項目内容
評価目的何を明らかにするか
対象範囲部門、子会社、法令領域、期間、取引類型
評価基準何を満たせば有効と評価するか
実施手法文書レビュー、インタビュー、データ分析、サンプルテスト等
サンプル方法ランダム抽出、リスクベース抽出、異常値抽出、全件確認等
必要資料規程、承認記録、契約書、ログ、研修記録、会計データ等
実施者第1線、第2線、第3線、外部専門家
スケジュール開始日、資料提出期限、ヒアリング日、報告日
報告先経営会議、取締役会、監査役、委員会等
秘密保持個人情報、通報情報、調査情報、法的特権の取扱い

評価計画には、評価の限界も明記します。たとえば、「本評価は2025年度に締結された国内販売代理店契約を対象とし、海外子会社契約は対象外です」といった限定です。限定を明記しないと、後に評価結果が過大に解釈されるおそれがあります。

ステップ5 ― データを収集する

実効性評価では、複数のデータ源を組み合わせます。単一の情報源だけに依存すると、偏りが生じます。

主なデータ源は次のとおりです。

下の比較表は、ステップ5 ― データを収集するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

データ源長所留意点
文書規程、マニュアル、議事録、契約書、稟議書客観的に確認しやすい実際の運用を反映しないことがある
システムデータ業務手順、契約管理、経費精算、アクセスログ全件分析しやすいデータ定義・欠損・権限に留意点
会計データ交際費、手数料、外注費、寄付金不正兆候の検知に有効勘定科目だけでは意味が不明なことがある
研修データ受講率、テスト結果、未受講者浸透状況を確認できる受講率だけでは理解・行動変容は測れない
通報データ件数、内容、受付経路、処理期間、是正状況文化・信頼・リスク傾向が見える件数の多寡だけで単純評価しない
インタビュー経営者、管理職、現場担当者、監査役等実態・背景・暗黙知を把握できる回答バイアスに留意点
アンケート従業員意識調査、コンプライアンス調査広範囲を把握できる設問設計が悪いと結論を誤る
外部情報行政処分、報道、苦情、取引先情報社内では見えない兆候を把握できる信頼性確認が必要

実務では、文書レビュー、データ分析、インタビューの三つを組み合わせるだけでも、評価の精度は大きく高まります。

ステップ6 ― テストを実施する

テストとは、実際の案件やデータを選び、統制が想定通りに機能したかを検証する作業です。

例として、個人データ委託先管理のテストを考える。

下の比較表は、ステップ6 ― テストを実施するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

テスト項目確認資料判定例
委託先選定時の安全管理確認チェックシート、審査記録実施済み/不十分/未実施
契約条項委託契約、DPA、再委託条項必須条項あり/一部不足/欠落
定期確認アンケート、監査報告、口頭確認記録リスクに応じて実施/形式的/未実施
再委託管理再委託承認記録、再委託先一覧承認済み/把握不十分/無断再委託
インシデント対応連絡体制、報告記録、訓練記録実効的/遅延あり/未整備

個人情報保護委員会のFAQは、委託先の取扱状況把握について、立入検査が常に義務付けられるわけではなく、委託する個人データの内容・規模に応じた適切な方法を講じれば足りるとの考え方を示しています。この考え方は、実効性評価一般にも示唆的です。すなわち、評価手法は「重ければよい」のではなく、リスクに応じて合理的に選ぶ必要があります。

ステップ7 ― 不備を評価し、重大性を判定する

不備が見つかった場合には、単に「不備あり」と記録するだけでは足りません。重大性、影響範囲、原因、再発可能性を評価します。

下の比較表は、ステップ7 ― 不備を評価し、重大性を判定するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

不備レベル目安対応
軽微個別ミスで、リスク顕在化の可能性が低い担当者是正、教育、記録補正
中程度複数案件で同種不備があり、統制運用に弱さがある手続改定、追加研修、一定期間の重点モニタリング
重大法令違反・行政処分・重大損害・通報者不利益・情報漏えい等につながるおそれ経営報告、取締役会報告、外部専門家関与、緊急是正
構造的組織設計、権限、リソース、企業文化に根本原因がある組織改革、責任者変更、システム投資、ガバナンス改善

重大性評価では、金額だけで判断してはなりません。個人情報、ハラスメント、公益通報者保護、贈収賄、競争法、労働安全、品質不正、上場会社の適時開示などでは、金額が小さくても重大な法的・社会的影響が生じることがあります。

ステップ8 ― 根本原因を分析する

実効性評価で最も重要なのは、根本原因分析です。表面的な原因で止まると、同じ不備が再発します。

例として、契約審査漏れが発見された場合を考える。

下の比較表は、ステップ8 ― 根本原因を分析するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

表面的原因さらに問うべき根本原因
担当者が申請を忘れた申請基準が分かりにくいのではないか
事業部が法務を通さなかった法務審査が遅く、現場が迂回しているのではないか
契約管理システムに登録されていない締結後登録の責任者が不明なのではないか
高リスク条項を見落としたテンプレート、チェックリスト、研修が不足しているのではないか
上長承認が形式的だった承認者がリスクを理解していないのではないか

根本原因は、個人の不留意点ではなく、業務量、権限設計、システム、教育、評価制度、経営メッセージ、組織文化にあることが多いです。

ステップ9 ― 改善計画を作成する

改善計画には、次の要素を必ず含める。

下の比較表は、ステップ9 ― 改善計画を作成するで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

項目内容
不備内容何が問題だったか
根本原因なぜ発生したか
改善策何を変えるか
責任者誰が実行責任を負うか
期限いつまでに完了するか
必要資源人員、予算、システム、外部専門家
完了証跡何をもって完了とするか
再テスト方法改善後にどう確認するか
報告先誰に進捗を報告するか

改善策は、「再周知する」「注意喚起する」だけでは不十分なことが多いです。周知で解決するのは、ルールが存在し、理解すれば遵守できる場合に限られます。実際には、業務手順変更、システム制御、承認権限変更、テンプレート改定、監査項目追加、人員増強、業績評価制度の見直しなど、構造的対応が必要となることがあります。

ステップ10 ― 報告し、再評価する

評価結果は、適切な階層に報告します。軽微な不備は部門内で処理できるが、重大不備や構造的問題は経営陣・取締役会・監査役等に報告します。

報告書には、次を含める。

  • 評価目的・対象範囲
  • 実施手法・サンプル数
  • 主要な発見事項
  • 不備の重大性
  • 根本原因
  • 改善計画
  • 未解決リスク
  • 経営判断が必要な事項
  • 次回モニタリング計画

報告後は、改善計画の進捗を追跡し、期限到来時に再テストします。再テストで改善が確認できなければ、改善策の設計自体を見直す必要があります。

Section 06

実効性評価(モニタリング)の評価軸・基準・スコアリング

五つの評価軸、0から5の成熟度、KPIとKRI、先行指標と遅行指標を扱います。

下の一覧は、実効性評価(モニタリング)で使う五つの評価軸を並べたものです。設計、導入、運用、成果、文化を分けて読むことで、単なる実施有無ではなく改善余地を特定できます。

Axis 01

設計有効性

制度や統制がリスクに対して合理的に設計されているかを確認します。

Axis 02

導入状況

規程、責任者、システム、研修、記録様式が整備されているかを見ます。

Axis 03

運用有効性

実際の案件でルールどおりに運用され、証跡が残っているかを確認します。

Axis 04

成果有効性

予防、早期発見、是正、再発防止に役立っているかを見ます。

Axis 05

文化・行動

従業員や管理職が制度を信頼し、適切に行動できる状態かを確認します。

6.1 五つの評価軸

実効性評価では、単に「できている/できていない」で判断すると、改善に結びつきにくい。少なくとも次の五軸で評価します。

6.1.1 設計有効性

設計有効性とは、制度や統制がリスクに対して合理的に設計されているかを指します。

例 ― 海外公務員との接触が多い企業で、贈答・接待承認制度が国内取引だけを想定している場合、設計上の不備があります。

6.1.2 導入状況

導入状況とは、規程、責任者、プロセス、システム、教育、記録様式が実際に整備されているかを指します。

例 ― 通報制度規程はありますが、受付担当者の指定、調査手順、報復防止措置、記録管理ルールが未整備であれば、導入状況に問題があります。

6.1.3 運用有効性

運用有効性とは、制度が実際の案件でルール通りに運用されているかを指します。

例 ― 契約審査ルールでは法務承認が必要とされているが、サンプル30件中8件で承認前に契約締結されていれば、運用上の不備があります。

6.1.4 成果有効性

成果有効性とは、制度がリスク低減、早期発見、是正、再発防止に実際に役立っているかを指します。

例 ― 研修受講率は100%でも、理解度テストが低く、違反事例が減少せず、管理職が相談を抑え込んでいる場合、成果有効性は低いです。

6.1.5 文化・行動

文化・行動とは、従業員が制度を信頼し、倫理的・法的に適切な行動を選択できる状態にあるかを指します。

例 ― 内部通報窓口の認知率が高くても、「通報すると不利益を受ける」と考える従業員が多い場合、制度の実効性には疑義があります。

6.2 スコアリング例

評価結果を比較可能にするため、スコアリングを用いることがあります。以下は一例です。

下の比較表は、6.2 スコアリング例で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

スコア評価状態
0未整備制度・統制が存在しない
1初期的規程や担当者はありますが、運用が属人的・不安定
2部分的一部で運用されているが、対象範囲や証跡にばらつきがある
3概ね有効主要リスクに対して運用され、不備も是正されている
4高度データ分析、独立評価、改善サイクルが機能している
5先進的リスク変化を予測し、グループ・海外・デジタル領域まで統合管理している

スコアは便利ですが、数字だけが独り歩きしないように注意します。必ず、根拠、証拠、不備、改善策を併記する必要があります。

6.3 KPIとKRI

実効性評価では、KPIとKRIを区別します。

下の比較表は、6.3 KPIとKRIで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

種類意味
KPI望ましい活動が実施されているかを見る指標研修受講率、契約審査処理日数、委託先確認実施率
KRIリスクの高まりや異常兆候を見る指標通報処理遅延件数、例外承認増加率、高額交際費、未登録契約件数

KPIだけでは、実効性を誤解することがあります。たとえば、研修受講率100%はよいKPIですが、違反発生率、理解度、現場相談件数、管理職の対応品質を見なければ、研修の成果は分かりません。

6.4 先行指標と遅行指標

下の比較表は、6.4 先行指標と遅行指標で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

種類意味
先行指標未受講者数、例外承認件数、期限超過案件、相談件数の急減将来のリスクを示す兆候
遅行指標違反件数、行政処分、訴訟、漏えい件数、懲戒件数すでに発生した問題の結果

先行指標を重視することで、問題を大きくなる前に発見できます。通報件数が少ないことも、必ずしも「問題がない」ことを意味しません。制度への信頼が低い、通報先が知られていない、管理職が握りつぶしている、といったリスクも考えられます。

Section 07

実効性評価(モニタリング)の具体的手法

文書レビュー、ウォークスルー、サンプルテスト、インタビュー、データ分析を使い分けます。

下の一覧は、実効性評価(モニタリング)で組み合わせる主な確認方法を整理したものです。方法ごとの強みと限界を見比べることで、文書確認だけに偏らない評価設計を読み取れます。

文書レビュー

規程、契約書、議事録、調査報告書から設計と記録の整合性を確認します。

設計確認

ウォークスルー

一件の案件を入口から出口まで追跡し、規程と実務のズレを見つけます。

実態把握

サンプルテスト

母集団から案件を抽出し、承認、記録、証跡が残っているかを確認します。

証拠確認

インタビュー

経営者、部門長、現場、管理部門から暗黙の運用や心理的安全性を把握します。

回答偏りに注意

データ分析

会計、契約、通報、研修、ログを使い、目視では見えにくい兆候を確認します。

異常値検知

7.1 文書レビュー

文書レビューは、規程、マニュアル、契約書、稟議書、議事録、調査報告書、監査報告書などを確認する手法です。

確認すべきポイントは次のとおりです。

  • 最新法令・実務に対応しているか。
  • 役割・責任・権限が明確か。
  • 例外処理が定められているか。
  • 記録・保存ルールがあるか。
  • グループ会社・海外拠点・委託先が対象に含まれているか。
  • 通報・調査・是正・報告の流れが定められているか。
  • 実際の業務の流れと一致しているか。

文書レビューだけでは運用実態は分からないため、後述のサンプルテストやインタビューと組み合わせます。

7.2 ウォークスルー

ウォークスルーとは、実際の一件の取引・案件を入口から出口まで追跡し、統制がどこで働くかを確認する手法です。

例 ― 契約締結プロセスのウォークスルー

  1. 事業部が契約相談を起票します。
  2. 法務が契約類型を判定します。
  3. 個人情報・知財・輸出管理・下請法等の該当性を確認します。
  4. 相手方審査を行います。
  5. 標準契約との差分を確認します。
  6. 例外承認を取得します。
  7. 電子署名または押印を行います。
  8. 契約管理システムに登録します。
  9. 更新期限を管理します。
  10. 紛争・変更・解除時に記録を残す。

ウォークスルーは、規程と実務のズレを発見するうえで有効です。

7.3 サンプルテスト

サンプルテストは、対象母集団から案件を抽出し、証跡を確認する手法です。

下の比較表は、7.3 サンプルテストで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

抽出方法適する場面
ランダム抽出全体傾向を見たい場合契約100件から20件を無作為抽出
リスクベース抽出高リスク案件を重点確認したい場合高額契約、海外取引、例外承認案件を抽出
層化抽出部門・地域・金額帯ごとに比較したい場合国内・海外、営業部門別に抽出
異常値抽出不正兆候を探す場合丸数字支払、高額接待、休日承認を抽出
全件確認件数が少ないが重大な場合公務員接待、重大インシデント、役員関連取引

サンプル数は、リスク、母集団、評価目的、許容誤差、過去不備の有無に応じて決める。重要なのは、サンプル抽出理由を記録することです。

7.4 インタビュー

インタビューは、現場の実態、暗黙の運用、心理的安全性、経営メッセージの浸透度を把握するうえで有効です。

対象者は、次のように分ける。

下の比較表は、7.4 インタビューで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

対象者確認事項
経営者リスク認識、資源配分、トップメッセージ、取締役会報告
部門長現場統制、例外承認、相談体制、評価制度との関係
現場担当者実際の手順、困りごと、迂回慣行、研修理解度
法務・コンプライアンス制度設計、相談対応、モニタリング、改善管理
内部監査独立評価、過去指摘、改善状況
人事・IT・経理労務、アクセス権限、支払、ログ、懲戒、研修管理

インタビューでは、誘導的質問を避け、具体的事例を尋ねる。たとえば、「法務審査は機能していますか」ではなく、「直近3か月で法務審査を経ずに契約締結した例はありますか」「急ぎ案件ではどのように例外処理しますか」と聞く方が実態に近づける。

7.5 アンケート・意識調査

アンケートは、広範囲の従業員から情報を得る手法です。内部通報制度、ハラスメント、コンプライアンス文化、研修理解度、上司への相談しやすさなどに有効です。

設問例は次のとおりです。

  • 自社の内部通報窓口を知っています。
  • 通報しても不利益を受けないと感じる。
  • 上司はコンプライアンスを業績より軽視しません。
  • 契約締結前に法務相談すべき基準を理解しています。
  • 贈答・接待の承認ルールを理解しています。
  • 個人情報の取扱いで迷ったときの相談先を知っています。
  • ハラスメントを見聞きした場合の対応方法を知っています。

アンケート結果は、部門、職位、地域、雇用形態、勤続年数等で分析すると、リスクの偏在が見えやすい。ただし、個人が特定されないよう匿名性・集計単位に配慮する必要があります。

7.6 データ分析

データ分析は、実効性評価を高度化します。特に、会計、契約、業務手順、通報、研修、アクセスログ、人事データを連携すると、従来の目視点検では見えない兆候を把握できます。

例 ― 贈収賄・不正支払リスクのデータ分析

  • 高額・丸数字・分割支払の抽出
  • コンサルタント料・紹介料・成功報酬の増加
  • 契約締結前の支払
  • 高リスク国・公的機関関連の支払
  • 接待交際費の特定部門集中
  • 承認者と申請者の偏り
  • 休日・深夜承認

例 ― 契約管理リスクのデータ分析

  • 契約管理システム未登録契約
  • 契約終了日・自動更新日の未入力
  • 法務審査なしの高額契約
  • 標準契約からの逸脱が多い相手方
  • 長期未更新の基本契約
  • 電子署名ログと稟議承認日の不一致

データ分析では、個人情報保護、労働法、監視の相当性、就業規則、社内規程、目的外利用、アクセス権限に注意します。分析目的、対象データ、権限、保存期間を明確にする必要があります。

7.7 テスト通報・シナリオ演習

内部通報制度やインシデント対応では、机上演習やシナリオ演習が有効です。

例 ― 内部通報制度のシナリオ演習

  • 通報を受け付けてから何時間以内に一次評価するか。
  • 誰が利益相反を確認するか。
  • 被通報者が役員の場合、誰に報告するか。
  • 通報者保護措置をどう記録するか。
  • 調査範囲を誰が決めるか。
  • 証拠保全を誰が実施するか。
  • 是正措置と再発防止策を誰が承認するか。

ただし、テスト通報や模擬調査を行う場合は、関係者の不利益、個人情報、労務上の問題、心理的負担、虚偽通報と誤認されるリスクに配慮し、事前に設計・承認・範囲を明確にする必要があります。

Section 08

法務領域別に見る実効性評価(モニタリング)の確認項目

契約、通報、J-SOX、取締役会、個人情報、労務、知財、M&A、独禁法、AIまで横断します。

8.1 契約法務の実効性評価

契約法務の実効性評価では、契約審査が迅速かつ適切に行われ、リスクの高い契約が統制から漏れていないかを確認します。

評価項目

下の比較表は、評価項目で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

項目確認内容
審査対象基準どの契約を法務審査に回すべきか明確か
受付・優先順位緊急案件、高額案件、高リスク案件の優先基準があるか
標準雛形最新法令・事業実態に合わせて更新されているか
例外承認責任制限、損害賠償、知財、個人情報、解除等の逸脱が承認されているか
記録管理契約書、交渉履歴、承認記録が保存されているか
締結後管理更新、解約、義務履行、通知期限が管理されているか
ナレッジ化差戻し理由や交渉論点が雛形・研修に反映されているか

指標例

  • 法務審査対象契約の捕捉率
  • 審査リードタイム
  • 標準契約使用率
  • 重大逸脱条項の承認率
  • 契約管理システム登録率
  • 更新期限未設定件数
  • 紛争化した契約における審査有無

典型的な不備

  • 事業部が「覚書」「発注書」「利用規約同意」を契約と認識していません。
  • 高リスク契約が少額契約として扱われ、法務審査から漏れる。
  • 電子契約は締結されているが、契約管理台帳に登録されません。
  • 法務コメントが反映されたか確認されません。
  • 海外契約・英文契約の審査基準が曖昧です。

8.2 コンプライアンス体制の実効性評価

コンプライアンス体制の評価では、規程、研修、相談、通報、調査、懲戒、是正、経営報告の一連の流れを見ます。

評価項目

下の比較表は、評価項目で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

領域確認事項
方針経営トップが明確なメッセージを出しているか
規程行動規範、コンプライアンス規程、懲戒規程が整合しているか
研修リスク別・職位別・部門別に設計されているか
相談法務・コンプライアンスへの相談経路が機能しているか
通報匿名性、秘密保持、報復防止、調査手順が実効的か
調査利益相反を排除し、証拠保全・ヒアリング・判断が適切か
是正原因分析、再発防止、懲戒、被害回復が行われているか
報告重大案件が経営・取締役会・監査役に報告されているか

通報制度の評価で特に見るべき点

公益通報者保護制度に関しては、通報対応体制、従事者指定、公益通報対応業務に関する体制整備、通報者保護等が重要です。消費者庁は、公益通報者保護制度に関する指針・解説等を公表しており、2025年改正法の施行予定にも留意が必要です。

通報制度の実効性評価では、件数の多寡だけを見てはなりません。通報が少ない理由は、「問題がない」場合もありますが、「制度が信用されていない」場合もあります。したがって、次のような指標を組み合わせます。

  • 窓口認知率
  • 通報経路別件数
  • 匿名通報比率
  • 初動対応までの日数
  • 調査完了までの日数
  • 是正措置完了率
  • 通報者へのフィードバック実施率
  • 報復・不利益取扱い申告件数
  • 管理職経由で止まった相談の有無
  • 通報テーマの傾向分析

8.3 内部統制・J-SOXの実効性評価

財務報告に係る内部統制では、統制の整備状況と運用状況を評価し、重要な不備を判断する枠組みが用いられる。企業法務の視点でも、次の点が重要です。

  • 決裁権限が明確か。
  • 職務分掌が機能しているか。
  • 例外処理が記録されているか。
  • 証跡が保存されているか。
  • IT統制が業務統制を支えているか。
  • 不備が経営者、取締役会、監査役等に報告されるか。
  • 是正状況が追跡されるか。

金融庁の内部統制基準が示す日常的モニタリングと独立的評価の区別は、企業法務においても有用です。たとえば、契約締結時の上長承認は日常的モニタリングで、内部監査部門が半年後に契約サンプルを抽出して法務審査漏れを検証するのは独立的評価です。

8.4 取締役会・株主総会・会社法務の実効性評価

商事法務領域では、手続の正確性だけでなく、取締役会が実質的に機能しているかを評価します。

取締役会実効性評価の主な観点

下の比較表は、取締役会実効性評価の主な観点で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

観点確認事項
議題設定重要リスク、戦略、資本政策、人材、サステナビリティ、法務リスクが議題化されているか
情報提供資料が十分な時間的余裕をもって配布されているか
審議の質社外取締役が発言し、反対意見・代替案が検討されているか
監督機能不祥事、内部統制不備、通報、訴訟、規制対応を監督しているか
フォローアップ決議・指摘事項の進捗が追跡されているか
スキル法務、会計、国際、IT、サステナビリティ等の知見が確保されているか

東京証券取引所のコーポレートガバナンス・コードは、取締役会全体としての実効性について分析・評価を行い、その概要を開示することを求めています。したがって、取締役会実効性評価は、質問票を回収して終了するのではなく、翌年度の議題、資料、審議時間、社外役員への情報提供、内部監査との連携に反映させる必要があります。

8.5 個人情報・プライバシーの実効性評価

個人情報・プライバシー領域では、法令対応が形式化しやすい。プライバシーポリシーや同意文言だけでなく、データの実際の流れを確認する必要があります。

評価項目

下の比較表は、評価項目で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

領域確認事項
データマッピング取得、利用、保管、共有、委託、越境移転、削除が把握されているか
利用目的実際の利用と公表・通知内容が一致しているか
同意管理同意が必要な処理で適切に取得・記録されているか
委託先管理委託先の選定、契約、取扱状況確認、再委託管理が行われているか
アクセス管理権限付与・削除・棚卸しが行われているか
漏えい対応検知、報告、本人通知、再発防止の手順が機能しているか
保存・削除不要データが削除されているか

個人情報保護委員会のFAQが示すように、委託先監督では、個人データの内容・規模に応じた適切な把握方法を選択することが重要です。高リスク委託先には現地確認、監査報告書、第三者認証、詳細なセキュリティ質問票等が必要となる一方、低リスク委託先では合理的な書面確認で足りる場合もあります。

8.6 労務・ハラスメントの実効性評価

労務領域では、就業規則、労働時間管理、ハラスメント防止、懲戒、休職・復職、メンタルヘルス対応、労使協定、労働安全衛生などを対象に評価します。

指標例

  • 労働時間記録とPCログの乖離
  • 36協定上限接近者数
  • 有給休暇取得率
  • ハラスメント相談件数
  • 相談から初動対応までの日数
  • 管理職研修受講率
  • 懲戒処分の類似事案比較
  • 休職・復職手続の記録整備状況
  • 退職者面談における不満傾向

労務領域の実効性評価では、個人情報、要配慮個人情報、プライバシー、労働組合対応、報復防止に特に注意する必要があります。社労士、弁護士、人事、産業医、内部監査が連携する場面が多いです。

8.7 知財・営業秘密の実効性評価

知財法務では、権利取得だけでなく、権利維持、契約、営業秘密管理、共同研究、職務発明、ライセンス、模倣品対応の実効性を評価します。

評価項目

下の比較表は、評価項目で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

領域確認事項
発明発掘研究開発部門から発明届が適時提出されているか
権利管理年金、更新、商標使用証拠が管理されているか
契約共同開発、ライセンス、秘密保持、成果帰属が明確か
営業秘密秘密情報の特定、アクセス制限、表示、持出制限があるか
退職者対応退職時誓約、アクセス削除、資料返却確認があるか
侵害対応監視、警告、証拠保全、税関対応、訴訟判断が整備されているか

営業秘密管理では、「秘密管理性」を支える証跡が重要になります。アクセス権限、秘密表示、教育、持出ログ、NDA、退職時確認などが、実際に運用されているかを確認します。

8.8 M&A・PMI・グループガバナンスの実効性評価

M&Aでは、買収前の法務デューデリジェンスだけでなく、買収後のPMIにおけるコンプライアンス統合が重要です。米国司法省の指針も、M&A後の統合や買収対象会社へのコンプライアンス体制適用を重視しています。

評価項目

下の比較表は、評価項目で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

段階確認事項
買収前重大法令違反、訴訟、通報、行政処分、契約、知財、労務、個人情報のDD
契約交渉表明保証、補償、誓約、クロージング条件、反社・制裁対応
クロージング後規程導入、権限規程、通報窓口、研修、会計・IT統制統合
PMI後評価買収後100日、6か月、1年での実効性評価

経済産業省のグループガバナンス関連資料も、実際の経営がグループ単位で行われる中で、子会社管理の実効性確保が課題となることを示しています。子会社不祥事は、親会社の監督責任、開示、レピュテーション、訴訟、行政対応に直結するため、グループ横断のモニタリングが不可欠です。

8.9 競争法・下請法・取引適正化の実効性評価

競争法・下請法領域では、研修だけでなく、営業現場・購買現場の実際の行動を確認する必要があります。

指標例

  • 同業者会合参加申請・報告件数
  • 価格情報・入札情報に関する相談件数
  • 共同事業・業務提携の法務審査件数
  • 優越的地位・下請取引に関する苦情件数
  • 支払遅延・減額・返品・買いたたきに関する例外件数
  • 購買契約書・発注書の必須条項充足率
  • 下請法対象取引のマスター整備状況

競争法違反は、会議、メール、チャット、業界団体活動など、日常的なコミュニケーションから発生することがあります。そのため、研修理解度、相談しやすさ、参加前後の報告、異常な価格推移などを組み合わせて評価します。

8.10 AI・IT・情報セキュリティ・データ法務の実効性評価

AI、IT、データ領域では、法務・コンプライアンスと技術部門の連携が不可欠です。NIST AI Risk Management Frameworkは、AIリスクを管理するための枠組みとして、ガバナンス、リスク把握、測定、管理といった機能を提示しています。

評価項目

下の比較表は、評価項目で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

領域確認事項
AI利用方針利用可能・禁止・承認要の用途が明確か
入力データ個人情報、営業秘密、著作物、機密情報を不適切に入力していないか
出力利用法務確認、人間レビュー、説明責任、誤情報対策があるか
ベンダー管理AIサービスの契約、データ利用、再学習、越境移転、監査権限を確認しているか
ログ利用ログ、プロンプト、出力、承認履歴を必要範囲で保存しているか
インシデント誤出力、差別、権利侵害、漏えい、セキュリティ事故への対応手順があるか

AI領域の実効性評価では、規程策定後の運用確認が特に重要です。生成AI利用ルールを出しても、実際に従業員がどのサービスに何を入力しているか、禁止事項が守られているか、例外承認が記録されているかを確認しなければ、実効性は判断できません。

Section 09

実効性評価(モニタリング)の役割分担

取締役会、経営陣、法務、コンプライアンス、内部監査、外部専門家の役割を整理します。

下の役割一覧は、実効性評価(モニタリング)を誰が支えるかを整理したものです。取締役会、経営陣、第1線、第2線、第3線、外部専門家の違いを読むことで、自己点検だけに依存しない体制を確認できます。

Governance

取締役会・監査役等

重大リスク、評価結果、改善状況を監督し、必要な経営判断を促します。

Management

経営陣

優先順位、人員、予算、重大不備への是正方針を決めます。

Second Line

法務・コンプライアンス

評価基準と計画を設計し、相談、研修、通報、改善管理を運用します。

Third Line

内部監査

独立した立場でサンプルテストや改善フォローを行い、客観的な保証を提供します。

9.1 取締役会・監査役等

取締役会、監査役、監査等委員、監査委員は、実効性評価の最上位の受け手で、重大リスクについて監督機能を果たす。

主な役割は次のとおりです。

  • 内部統制・コンプライアンス体制の基本方針を確認します。
  • 重大リスクと評価結果の報告を受ける。
  • 経営陣のリソース配分が十分かを確認します。
  • 内部監査部門・コンプライアンス部門から直接報告を受ける仕組みを整える。
  • 不祥事・通報・調査・是正状況を監督します。
  • 取締役会自身の実効性評価結果を改善に反映します。

9.2 経営陣

経営陣は、実効性評価を単なる管理部門の作業にせず、経営課題として扱う必要があります。

  • リスクベースの優先順位を承認します。
  • 法務・コンプライアンス・内部監査に必要な人員と予算を配分します。
  • 重大不備への是正を指示します。
  • 業績目標とコンプライアンスの衝突を調整します。
  • トップメッセージを発信します。

9.3 ゼネラルカウンセル、CLO、CCO

法務・コンプライアンス責任者は、実効性評価の設計者で、経営と現場をつなぐ役割を担います。

  • リスク評価を主導します。
  • 評価基準・評価計画を作成します。
  • 法令・規制・契約上の要求を評価項目に落とし込む。
  • 外部弁護士・専門家の起用要否を判断します。
  • 重大案件を経営・取締役会に報告します。
  • 改善計画の実行状況を追跡します。

9.4 法務担当・企業内弁護士

法務担当・企業内弁護士は、契約、紛争、規程、個人情報、知財、M&A、当局対応などの法的観点から評価を担います。

  • 契約審査プロセスの有効性を確認します。
  • 法改正対応が実務に反映されているかを確認します。
  • 規程・雛形・マニュアルを改定します。
  • 重大通報・不祥事調査で法的リスクを評価します。
  • 弁護士秘匿特権や秘密保持に配慮して調査設計を行います。

9.5 コンプライアンス担当

コンプライアンス担当は、日常的モニタリングの中心です。

  • 研修、通報、相談、規程周知を運用します。
  • 部門別リスクを把握します。
  • KPI・KRIを継続的に収集します。
  • 事業部門の自己点検を支援します。
  • 不備の是正状況を追跡します。

9.6 内部監査担当

内部監査は、独立的評価を担います。第1線・第2線から一定の独立性を保ち、経営者・取締役会・監査役等に客観的な保証と助言を提供します。

  • 年間監査計画に法務・コンプライアンスリスクを組み込む。
  • 高リスクプロセスのサンプルテストを実施します。
  • 第2線のモニタリングの有効性を評価します。
  • 是正計画の進捗をフォローします。
  • 重大不備を監査役等に報告します。

9.7 公認会計士・税理士・社労士・弁理士・司法書士等

企業法務の実効性評価は、弁護士だけでは完結しません。

下の比較表は、9.7 公認会計士・税理士・社労士・弁理士・司法書士等で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

専門家関与領域
公認会計士内部統制、不正会計、財務DD、J-SOX、IPO、監査対応
税理士税務調査、組織再編税制、移転価格、インボイス、電子帳簿保存
社会保険労務士労働時間、就業規則、労使協定、ハラスメント、社会保険
弁理士特許、商標、意匠、ライセンス、共同研究、知財管理
司法書士商業登記、役員変更、組織再編登記、会社法実務
行政書士許認可、規制業種、行政手続、外国人雇用関連書類等
デジタルフォレンジック専門家証拠保全、ログ解析、メール調査、情報漏えい調査
法律翻訳者・通訳者国際契約、海外調査、当局対応、仲裁資料

専門家の役割は、単に意見を述べることではありません。評価基準の設定、証拠の見方、重大性判断、改善策の現実性確認に関与することで、実効性評価の品質を高める。

9.8 外部弁護士・第三者委員会・独立委員会

重大不祥事、役員関与、利益相反、上場会社の開示問題、海外当局対応、刑事事件化のおそれがある場合には、外部弁護士や第三者委員会の関与が必要となることがあります。

外部専門家を用いるべき典型例は次のとおりです。

  • 経営陣が関与している疑いがあります。
  • 社内調査では独立性が疑われる。
  • 行政処分・刑事事件・訴訟に発展する可能性があります。
  • 海外当局対応が必要です。
  • デジタル証拠保全が必要です。
  • 被害者・通報者保護に高度な配慮が必要です。
  • 株主・投資家・取引先への説明責任が大きいです。
Section 10

実効性評価(モニタリング)の証跡・文書化・報告

評価計画、RCM、不備評価シート、経営報告、秘密保持への配慮を確認します。

10.1 証跡がなければ、実効性を説明できない

実効性評価では、証跡が重要です。証跡とは、後から第三者が見ても、何が行われたかを確認できる記録です。

典型的な証跡は次のとおりです。

  • 評価計画書
  • リスク評価表
  • リスク・コントロール・マトリクス
  • サンプル抽出リスト
  • テスト手続書
  • 証拠資料一覧
  • インタビューメモ
  • データ分析結果
  • 不備評価シート
  • 根本原因分析メモ
  • 改善計画表
  • 経営報告資料
  • 取締役会・委員会議事録
  • 再テスト結果

「やったが記録がない」は、実効性評価では弱い。もちろん、すべてを過剰に文書化すると現場負担が増えるため、リスクに応じた粒度が必要です。

10.2 リスク・コントロール・マトリクスの例

下の比較表は、10.2 リスク・コントロール・マトリクスの例で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

リスク統制統制所有者頻度証跡評価手続判定
高リスク契約が法務審査を経ずに締結される高額・非標準契約は法務承認必須営業部長・法務部案件ごと業務手順承認履歴対象契約30件を抽出し承認履歴確認一部不備
公務員接待が無承認で実施される公務員接待は事前承認制コンプライアンス部案件ごと申請書、経費精算経費データから公務員関連支出を抽出有効
委託先の個人データ取扱状況を把握できない委託先リスク別に定期確認個人情報保護担当年1回質問票、監査報告高リスク委託先10社を確認不備あり
通報者が不利益を受ける通報後の人事異動・評価を確認人事・コンプライアンス通報後随時人事記録、面談記録通報案件5件のフォロー確認改善要

10.3 不備評価シートの例

下の比較表は、10.3 不備評価シートの例で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

項目記載例
発見事項高リスク代理店契約のうち、3件で事前DDが未実施だった
対象範囲2025年度アジア地域代理店契約20件中3件
基準代理店管理規程第X条、贈収賄防止手続、契約審査基準
証拠契約書、DDチェックシート、稟議、メール、支払データ
影響不適切第三者起用リスク、贈収賄リスク、当局調査時の説明困難
重大性中程度。高リスク国を含むため一部重大化のおそれ
根本原因営業部門がDD対象基準を理解していません。契約業務手順にDD完了確認が組み込まれていません
改善策業務手順改修、営業研修、既存代理店の遡及確認、四半期モニタリング
責任者海外営業部長、コンプライアンス部長
期限2026年9月末
再テスト2026年第4四半期の新規代理店契約全件を確認

10.4 経営・取締役会向け報告の構成

経営層向け報告では、詳細よりも意思決定に必要な情報を重視します。

推奨構成は次のとおりです。

  1. エグゼクティブサマリー
  2. 評価対象・評価範囲
  3. 総合評価
  4. 重大リスクと不備
  5. 前回指摘事項の改善状況
  6. 新たに顕在化したリスク
  7. リソース不足・経営判断事項
  8. 改善計画と期限
  9. 次回評価計画
  10. 添付資料 ― 詳細テスト結果、KPI/KRI、部門別分析

取締役会に報告する場合、単に「問題ありません」とするのではなく、「何をどの範囲で確認し、どの証拠に基づき、どのリスクは残っているか」を明示する必要があります。

10.5 弁護士秘匿特権・秘密保持・個人情報への配慮

不祥事調査や重大法的リスクに関する実効性評価では、弁護士秘匿特権、秘密保持、個人情報、労務上の権利、通報者保護に注意する必要があります。

特に、海外当局対応やクロスボーダー調査では、どの国の法制度でどの範囲の秘匿特権が認められるかを事前に検討します。社内メールやチャットの調査では、就業規則、プライバシーポリシー、労働法、個人情報保護法、越境移転規制、データ保全義務に配慮します。

Section 11

実効性評価(モニタリング)の典型的な失敗例と予防策

形骸化しやすい評価を、改善につながる評価へ変える観点を整理します。

下の注意点一覧は、実効性評価(モニタリング)が形骸化しやすい場面を整理したものです。原因と予防策を対応させて読むことで、評価を改善につなげるための着眼点を確認できます。

規程確認だけで終わる

実案件、承認記録、ログ、是正状況まで確認する必要があります。

KPIが活動量だけになる

受講率や件数だけでなく、理解度、処理品質、再発率を組み合わせます。

自己点検だけに依存する

第2線、第3線、必要に応じた外部専門家レビューを組み合わせます。

改善計画が曖昧になる

責任者、期限、予算、完了証跡、再テスト方法まで決めます。

11.1 規程の有無だけを確認して終わる

最も多い失敗は、規程があるか、研修をしたか、委員会を開催したかだけを確認することです。これでは実効性は分かりません。

予防策 ― 実際の案件サンプル、承認記録、ログ、通報処理、是正状況を確認します。

11.2 KPIが活動量だけになっている

研修受講率、通報件数、契約審査件数などは重要ですが、活動量だけでは成果を測れません。

予防策 ― 理解度、行動変容、違反傾向、処理品質、是正完了率、再発率を組み合わせます。

11.3 自己点検だけに依存する

現場の自己点検は有用ですが、自己申告だけでは見落としや忖度が生じます。

予防策 ― 第2線のモニタリング、第3線の内部監査、外部専門家レビューを組み合わせます。

11.4 不備を発見しても改善につながらない

報告書に「改善を要する」と書かれても、責任者、期限、予算、再テストがなければ改善は進みません。

予防策 ― 改善計画表を作成し、経営会議・取締役会・監査役等が進捗を追跡します。

11.5 高リスク子会社・海外拠点を見ていない

親会社単体の制度は整っていても、子会社や海外拠点で不祥事が発生することは多いです。

予防策 ― グループ会社をリスクランク付けし、高リスク拠点には現地ヒアリング、データ分析、外部専門家レビューを実施します。

11.6 通報件数が少ないことを「良いこと」と誤解する

通報が少ない理由は、問題がないからとは限りません。制度が知られていない、信頼されていない、報復を恐れている可能性があります。

予防策 ― 認知率、信頼度、匿名通報比率、相談件数、退職者面談、従業員意識調査を併用します。

11.7 法務部だけで抱え込む

企業法務の実効性評価は、法務部だけでは実施できません。会計、税務、労務、IT、情報セキュリティ、内部監査、事業部門の協力が不可欠です。

予防策 ― 評価ごとにRACIチャートを作成し、責任者、実行者、協議先、報告先を明確にします。

Section 12

中小企業・成長企業向け実効性評価(モニタリング)の導入モデル

30日、60日、90日の順に、重要リスクから始める方法を示します。

下の時系列は、中小企業・成長企業が30日、60日、90日で段階的に実効性評価(モニタリング)を始める順番を示します。短期間で全てを完成させるのではなく、重要リスクから着手する流れを読み取れます。

30日

初期診断

重要契約、労務、個人情報、支払、相談窓口、取締役会、許認可を確認します。

60日

最低限の統制設計

リスク上位5項目について、確認者、窓口、権限、研修、委託先リストを整えます。

90日

実効性確認

直近案件のサンプルを使い、審査・承認・契約条項・報告の証跡を確認します。

大企業のような大規模体制を持たない企業でも、実効性評価は導入できます。重要なのは、完璧な制度を一度に作ることではなく、重要リスクから始めることです。

12.1 30日で行う初期診断

最初の30日では、次を確認します。

下の比較表は、12.1 30日で行う初期診断で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

項目確認内容
重要契約標準契約、契約審査基準、保管場所
労務労働時間、就業規則、ハラスメント窓口
個人情報取得データ、委託先、漏えい時連絡先
会計・支払承認権限、経費精算、外注費、交際費
通報・相談従業員が相談できる窓口
取締役会重要リスクが議題化されているか
許認可期限、更新、担当者

12.2 60日で最低限の統制を設計する

次の60日では、リスク上位5項目について最低限の統制を決める。

  • 高額契約は法務または外部弁護士に確認します。
  • 個人データ委託先リストを作成します。
  • ハラスメント・内部通報窓口を明確化します。
  • 支払承認権限を整理します。
  • 役員・管理職向けに重要リスク研修を行います。

12.3 90日で実効性確認を行う

90日目には、サンプルを使って確認します。

  • 直近10件の契約に審査・承認記録があるか。
  • 直近10件の外注費に承認記録があるか。
  • 個人情報委託先の契約条項が確認されているか。
  • 管理職が通報・相談対応を理解しているか。
  • 取締役会または経営会議で重要リスクが報告されたか。

小規模企業では、評価表1枚から始めてもよいです。重要なのは、毎回同じ観点で確認し、改善を記録し、次回に反映することです。

Section 13

実効性評価(モニタリング)のチェックリストと年間計画

全社、契約、通報、個人情報の点検項目と年間の確認サイクルを整理します。

実効性評価(モニタリング)のやり方の核心は、「制度が存在するか」ではなく、「制度が現場で機能し、リスクを低減し、問題を早期に発見し、改善につながっているか」を確認することです。

企業法務の実効性評価は、弁護士や法務部だけの仕事ではありません。企業内弁護士、外部弁護士、コンプライアンス担当、内部監査担当、公認会計士、税理士、社労士、弁理士、司法書士、IT・セキュリティ担当、個人情報保護担当、経営陣、取締役会、監査役等が、それぞれの専門性を持ち寄って初めて機能します。

実務上は、次の十項目を押さえれば、評価の品質は大きく向上します。

  1. リスクを具体的な失敗シナリオで定義します。
  2. 期待される統制目的と行動を明文化します。
  3. 評価基準を事前に決める。
  4. 文書、データ、インタビュー、サンプルテストを組み合わせます。
  5. 日常的モニタリングと独立的評価を分けて設計します。
  6. 不備の重大性と根本原因を評価します。
  7. 改善計画に責任者、期限、証跡、再テスト方法を入れる。
  8. 重大事項は経営・取締役会・監査役等に報告します。
  9. 通報者保護、個人情報、秘密保持、弁護士秘匿特権に配慮します。
  10. 評価結果を次のリスク評価、研修、規程改定、システム投資に反映します。

最終的に、実効性評価は、企業を縛るための手続ではなく、企業が持続的に信頼されるための経営技術です。法務・コンプライアンス体制の価値は、平時には見えにくい。しかし、問題が起きたとき、あるいは問題を未然に防げたとき、その企業がどれほど真剣に実効性を確認していたかが明らかになります。

したがって、実効性評価は「余裕があれば行うもの」ではありません。企業法務の専門実務において、リスクを発見し、経営を支え、社会的信頼を守るための必須プロセスです。

A.1 全社コンプライアンス体制

下の比較表は、A.1 全社コンプライアンス体制で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

チェック項目はいいいえ要改善証跡
重要リスクが年1回以上見直されている
経営トップがコンプライアンス方針を発信している
コンプライアンス責任者と報告ラインが明確です
重大リスクが取締役会または経営会議に報告されている
内部通報制度の認知率・信頼度を確認している
研修の受講率だけでなく理解度を確認している
不備の改善計画に責任者と期限が設定されている
改善後に再テストしている

A.2 契約管理

下の比較表は、A.2 契約管理で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

チェック項目はいいいえ要改善証跡
法務審査対象基準が明確です
高リスク契約が審査から漏れていない
標準契約からの重大逸脱が承認されている
締結済み契約が一元管理されている
更新・解約期限が管理されている
紛争化した契約の原因分析を行っている

A.3 通報・調査

下の比較表は、A.3 通報・調査で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

チェック項目はいいいえ要改善証跡
通報窓口が従業員に認知されている
匿名通報・秘密保持・報復防止が明確です
通報受付から初動までの期限がある
調査担当者の利益相反を確認している
通報者へのフィードバックが記録されている
是正措置と再発防止策が追跡されている

A.4 個人情報・データ

下の比較表は、A.4 個人情報・データで確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

チェック項目はいいいえ要改善証跡
個人データの取得・利用・委託・削除の流れを把握している
委託先をリスク別に管理している
委託先の取扱状況をリスクに応じて確認している
アクセス権限の棚卸しを行っている
漏えい時の報告・通知手順を訓練している
AI・クラウド利用時のデータ入力ルールがある

下の時系列は、年間モニタリング計画を月別に配置したものです。対象と報告先を月次で読むことで、法務・コンプライアンス評価を年1回の確認にせず、継続的な改善へつなげる設計を確認できます。

4月から6月

年次リスク評価、契約管理、個人情報・委託先管理

前年不備、契約サンプル、委託先リスクを確認し、経営会議や管理委員会へ報告します。

7月から9月

労務、贈収賄、内部通報制度

研修、相談件数、経費データ、処理期間、是正状況を確認します。

10月から12月

子会社、AI・情報セキュリティ、競争法・下請法

子会社自己評価、利用ログ、例外承認、営業・購買データを確認します。

1月から3月

改善フォロー、取締役会評価支援、年次総括

前回指摘事項の再テストと次年度計画を取締役会・監査役へ接続します。

下の比較表は、この章で確認すべき項目と判断の観点を整理したものです。列ごとの差を見ることで、どの証拠を集め、どの改善につなげるかを読み取れます。

時期対象主な手法報告先
4月年次リスク評価役員・部門長ヒアリング、前年不備分析経営会議
5月契約管理契約サンプルテスト、法務審査ログ分析法務・事業部門
6月個人情報・委託先管理委託先リスク評価、質問票、契約条項確認個人情報管理委員会
7月労務・ハラスメント研修結果、相談件数、労働時間データ分析人事・コンプライアンス委員会
8月贈収賄・接待交際費経費データ分析、代理店DD確認コンプライアンス委員会
9月内部通報制度認知率調査、処理期間分析、是正状況確認監査役・取締役会
10月子会社管理子会社自己評価、現地ヒアリング、監査結果確認経営会議
11月AI・情報セキュリティ利用ログ、例外承認、インシデント演習リスク管理委員会
12月競争法・下請法営業・購買データ、研修、相談記録確認法務・購買部門
1月改善状況フォロー前回指摘事項の再テスト内部監査・経営会議
2月取締役会実効性評価支援質問票、個別ヒアリング、議題分析取締役会
3月年次総括KPI/KRI、重大不備、次年度計画取締役会・監査役
FAQ

実効性評価(モニタリング)のFAQ

頻度、通報件数、不備評価、外部専門家の関与を一般情報として整理します。

実効性評価は年1回だけでも足りますか

一般的には、低リスク領域では年次確認を基本にしつつ、高リスク領域や不備が見つかった領域では四半期、月次、案件発生時などの短い周期で確認する設計が考えられます。ただし、業種、規制環境、海外展開、過去不備、取引規模によって適切な頻度は変わります。具体的な評価計画は、社内資料を整理したうえで弁護士、公認会計士、内部監査等の専門家へ相談する必要があります。

通報件数が少ない場合は良い状態と考えてよいですか

一般的には、通報件数が少ないことだけで制度が機能しているとは評価しにくいとされています。問題が少ない可能性もありますが、窓口が知られていない、報復への不安がある、管理職で相談が止まっているといった事情も考えられます。認知率、信頼度、匿名通報比率、処理期間、是正完了率などを組み合わせて確認する必要があります。

評価で不備が見つかった場合、すぐに法令違反と考えるべきですか

一般的には、不備の発見は直ちに法令違反を意味するものではなく、重大性、影響範囲、原因、再発可能性、証拠関係を分けて評価する必要があります。ただし、情報漏えい、通報者不利益、贈収賄、競争法、労務安全などでは小さな不備が重大化する可能性があります。個別の見通しや対応方針は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

外部専門家はどの段階で関与してもらうのがよいですか

一般的には、評価基準の設計、重大不備の判定、法的リスクを伴う調査、役員関与や利益相反が疑われる場面、海外当局対応、デジタル証拠保全が必要な場面で外部専門家の関与が検討されます。ただし、必要な専門性は案件によって異なります。弁護士、公認会計士、税理士、社労士、弁理士、デジタルフォレンジック専門家などから、論点に合う専門家を選ぶ必要があります。

Reference

この記事の参考資料・公的資料

公的資料・標準・実務指針

  • 金融庁・企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について」
  • U.S. Department of Justice, Criminal Division, Evaluation of Corporate Compliance Programs
  • 株式会社東京証券取引所「コーポレートガバナンス・コード」
  • International Organization for Standardization, ISO 37301, Compliance management systems ― Requirements with guidance for use
  • UK Ministry of Justice, Bribery Act 2010 guidance
  • The Institute of Internal Auditors, The IIA's Three Lines Model
  • 消費者庁「公益通報者保護制度」
  • 個人情報保護委員会FAQ「委託先における個人データ取扱状況の把握」
  • 経済産業省「グループ・ガバナンス・システムに関する実務指針」
  • National Institute of Standards and Technology, AI Risk Management Framework