2σ Guide

内部監査・法務監査で
企業法務リスクを可視化する

契約、労務、個人情報、知財、取引規制、J-SOX、AI、開示まで、法的リスクを統制の設計と運用の両面から点検する実務体系を整理します。

2025/1/9 IIA基準の適用開始
2024/4/1 J-SOX改訂基準の適用開始
100日 初期導入ロードマップ
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

内部監査・法務監査で 企業法務リスクを可視化する

契約、労務、個人情報、知財、取引規制、J-SOX、AI、開示まで、法的リスクを統制の設計と運用の両面から点検する実務体系を整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
内部監査・法務監査で 企業法務リスクを可視化する
契約、労務、個人情報、知財、取引規制、J-SOX、AI、開示まで、法的リスクを統制の設計と運用の両面から点検する実務体系を整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 内部監査・法務監査で 企業法務リスクを可視化する
  • 契約、労務、個人情報、知財、取引規制、J-SOX、AI、開示まで、法的リスクを統制の設計と運用の両面から点検する実務体系を整理します。

POINT 1

  • 内部監査・法務監査の全体像
  • 法令違反の有無だけでなく、法的リスクを経営に届く情報へ変える仕組みとして捉えます。
  • 法務部門だけの仕事ではありません
  • 内部監査部門だけの仕事でもありません
  • 経営監督の情報基盤になります

POINT 2

  • 内部監査・法務監査とは何か
  • 内部監査、法務監査、法務デューデリジェンスの違いを整理します。
  • 内部監査の基本定義
  • 法務監査の基本定義
  • どの価値を狙うかで、監査目的、証拠、報告書の書き方が変わるため、最初に確認することが重要です。

POINT 3

  • 内部監査・法務監査が重要になる背景
  • 専門部署任せでは管理しきれない法的リスクを、ガバナンスと開示の観点から確認します。
  • 取締役会の監督責任
  • 財務報告リスクとの接点
  • 内部監査体制の開示

POINT 4

  • 内部監査・法務監査の基礎概念
  • ガバナンス、リスク管理、内部統制、三線モデル、合理的保証を押さえます。
  • 監査は絶対保証ではなく合理的保証を提供します
  • 法務監査も、コンプライアンス目的だけでなく、業務の有効性、報告の信頼性、資産保全に関わります。
  • 第一線、第二線、第三線の役割が混ざると、責任の所在と監査の独立性が曖昧になるため、役割分担を先に確認します。

POINT 5

  • 内部監査・法務監査の対象領域
  • 企業ごとのリスクに応じて、契約、会社法、通報、データ、労務、取引規制、知財、IT、AI、開示を選びます。
  • 契約法務
  • 会社法・内部通報・個人情報
  • 労務・取引規制・知財・IT・AI・開示

POINT 6

  • 内部監査・法務監査の設計
  • 1. 監査憲章を定める:目的、権限、責任、独立性、報告経路、資料アクセス権を明確にします。
  • 2. 監査ユニバースを作る:契約、労務、個人情報、知財、独禁法、贈収賄、業法、訴訟、内部通報、子会社管理などを一覧化します。
  • 3. リスク評価で優先順位を付ける:影響度、発生可能性、統制成熟度を評価し、高リスク領域を選びます。
  • 4. 年間監査計画へ落とし込む:テーマ、目的、範囲、時期、担当者、専門家、報告先を決めます。

POINT 7

  • 内部監査・法務監査の実施手順
  • 1. 監査目的を明確にします:何を目的に、どこまで評価するかを具体化します。
  • 2. 監査基準を設定します:法令、ガイドライン、社内規程、契約、取締役会決議、業界基準、過去の改善計画を判断基準にします。
  • 3. 証拠を収集します:契約書、稟議書、議事録、メール、チャット、ログ、台帳、研修記録、通報記録、調査報告書を確認します。
  • 4. 業務の流れを実際の証跡でたどります:取引開始から契約台帳登録、更新管理まで一件ずつ確認し、規程と実態の差を見つけます。
  • 5. サンプリングと原因分析を行います:無作為抽出だけでなく、高額契約、非標準雛形、個人情報、海外契約、例外承認が多い部署などを重点的に抽出します。
  • 6. 改善計画を合意します:責任者、期限、具体的対応、完了基準、確認方法を明確にします。

POINT 8

  • 法務監査チェックリスト
  • 全社、契約、内部通報、個人情報・データの4領域を確認します。
  • 全社法務リスク管理
  • 契約管理
  • 内部通報・不祥事調査

まとめ

  • 内部監査・法務監査で 企業法務リスクを可視化する
  • 内部監査・法務監査の全体像:法令違反の有無だけでなく、法的リスクを経営に届く情報へ変える仕組みとして捉えます。
  • 内部監査・法務監査とは何か:内部監査、法務監査、法務デューデリジェンスの違いを整理します。
  • 内部監査・法務監査が重要になる背景:専門部署任せでは管理しきれない法的リスクを、ガバナンスと開示の観点から確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

内部監査・法務監査の全体像

法令違反の有無だけでなく、法的リスクを経営に届く情報へ変える仕組みとして捉えます。

内部監査・法務監査は、企業が法令を守っているかを点検するだけの作業ではありません。経営判断、契約、労務、個人情報、知的財産独占禁止法、取引適正化、M&A、グループ管理、危機対応、サイバーセキュリティ、AI、サステナビリティ開示まで、企業活動に潜む法的リスクを体系的に把握し、統制の設計と運用が実効的かを検証する経営管理の仕組みです。

内部監査は、ガバナンス、リスク管理、統制の妥当性と有効性について、独立した立場から保証と助言を提供する機能として理解されています。IIAの2024年版グローバル内部監査基準は、内部監査機能の質を評価・向上させる原則ベースの基準であり、2025年1月9日から適用されています。

法務監査は日本法上の明確な法定用語ではないため、このページでは「企業の法的リスク管理、契約管理、コンプライアンス、紛争予防、法令対応、証跡管理の設計・運用状況を、監査の方法で検証する活動」と整理します。

次のポイント一覧は、内部監査・法務監査がどの部門のための活動かを表します。単独部門の作業ではなく、経営、監査機関、法務、内部監査、IT、人事、知財、外部専門家が専門性を持ち寄る点が重要です。

Point 01

法務部門だけの仕事ではありません

法務部門は重要な第二線ですが、契約、労務、データ、調達、知財などのリスクは現場業務と一体で発生します。第一線の運用を含めて点検する必要があります。

Point 02

内部監査部門だけの仕事でもありません

監査手続や証拠評価は内部監査の専門性ですが、法令解釈、契約解釈、訴訟リスク評価には法務や外部専門家の知見が必要です。

Point 03

経営監督の情報基盤になります

重大な法務リスクを、担当者の感覚ではなく、証跡、基準、原因、影響、改善計画に分解して取締役会や監査役等へ届ける役割を担います。

要点内部監査・法務監査の目的は、違反者を探すことではなく、問題が起きにくい仕組みを作り、問題の芽を早期に発見して、経営が判断できる情報に変えることです。
Section 01

内部監査・法務監査とは何か

内部監査、法務監査、法務デューデリジェンスの違いを整理します。

内部監査の基本定義

内部監査とは、会社の内部に設置された独立的・客観的な評価機能が、会社の業務、統制、リスク管理、ガバナンスを検証し、改善を促す活動です。一般の読者向けには、会社が自分自身を客観的に点検する仕組みといえます。

次の表は、内部監査が経営に提供する3つの価値を整理したものです。どの価値を狙うかで、監査目的、証拠、報告書の書き方が変わるため、最初に確認することが重要です。

要素意味
保証経営陣や取締役会に対し、統制が一定程度機能しているかを独立的に評価します。契約承認プロセスが規程どおり運用されているかを評価します。
助言業務改善、リスク低減、統制強化に向けた提案を行います。法務相談記録の保存ルールを改善します。
価値向上企業価値、信頼性、持続可能性を高めます。不祥事予防、監督機能強化、投資家・取引先からの信頼向上につなげます。

法務監査の基本定義

法務監査とは、企業の法的リスク管理が適切に設計され、実際に運用されているかを検証する監査です。法律違反の有無だけを見るのではなく、重要契約の承認、証跡保存、個人情報・営業秘密・労務・取引規制の管理、内部通報と是正、法改正対応が現場に反映されているかを確認します。

次の比較表は、法務監査と法務デューデリジェンスの違いを表します。どちらも法的リスクを扱いますが、目的と時間軸が違うため、成果物の読み方も異なります。

項目法務監査法務デューデリジェンス
主な目的自社・グループの法的リスク管理を改善します。投資・買収・提携判断のため、対象会社の法的リスクを把握します。
視点内部統制、業務改善、再発防止を重視します。取引判断、価格調整、表明保証、前提条件、補償条項を重視します。
実施主体内部監査、法務、コンプライアンス、外部専門家が関与します。弁護士、会計士、税理士、M&Aアドバイザー等が関与します。
時間軸継続的・定期的に実施します。取引前後の限定期間に実施します。
成果物監査報告書、改善計画、フォローアップです。DDレポート、リスク一覧、契約交渉材料です。
注意法務監査は企業法務領域に対する内部監査として位置付けると理解しやすいです。法律意見そのものではなく、法的リスク管理の仕組みを監査手続で検証する活動です。
Section 02

内部監査・法務監査が重要になる背景

専門部署任せでは管理しきれない法的リスクを、ガバナンスと開示の観点から確認します。

企業法務に関する問題は、法務部だけで完結しません。契約条件は営業活動に、個人情報はマーケティング・人事・ITに、労務問題は現場管理職に、取引適正化は購買・調達・経理に、知的財産は研究開発・デザイン・広報に関係します。

次の項目一覧は、内部監査・法務監査の必要性が高まる主な背景を表します。制度や社会的関心が変化すると、従来は現場任せで済んでいた運用が重大な統制不備として扱われる可能性があります。

Governance

取締役会の監督責任

コーポレートガバナンス・コードは、取締役会による実効性の高い監督、内部統制、リスク管理体制の整備を重視しています。

J-SOX

財務報告リスクとの接点

契約、訴訟、偶発債務、関連当事者取引、売上認識、不正な価格決定は、法務リスクであると同時に財務報告リスクにもなります。

Disclosure

内部監査体制の開示

有価証券報告書などでは、内部監査が取締役会へ直接報告できる仕組みの有無が重要な確認対象になっています。

Escalation

現場と経営の認識差

重大な法務リスクが経営陣の一部で止まると、取締役会や監査役等による監督が働きにくくなります。

J-SOXは主に財務報告の信頼性を対象としますが、法務監査と無関係ではありません。2023年4月に改訂が公表された内部統制基準と実施基準は、2024年4月1日以後開始する事業年度から適用されています。法務監査では、財務報告に影響する契約・訴訟・不正・関連当事者取引を、会計・内部統制の観点ともつなげて確認します。

実務視点内部監査・法務監査は、現場の実態と経営の認識の差を埋めるための情報経路です。報告経路、エスカレーション基準、証跡の質が弱い場合、リスクの発見よりも先に情報伝達が詰まります。
Section 03

内部監査・法務監査の基礎概念

ガバナンス、リスク管理、内部統制、三線モデル、合理的保証を押さえます。

内部監査・法務監査を理解するには、ガバナンス、リスク管理、内部統制の3つを分けて見る必要があります。次の表は、同じ法務リスクでも、どの概念から見ているかを整理するために役立ちます。

用語平易な説明法務監査での例
ガバナンス会社が適切に意思決定され、監督される仕組みです。取締役会が重大な法令リスクを把握しているかを確認します。
リスク管理目的達成を妨げる不確実性を把握し、対応する仕組みです。個人情報漏えい、独禁法違反、労務紛争、契約不履行をリスク登録簿で管理します。
内部統制業務が適正に行われるようにするルール・手続・権限・記録です。契約承認権限、職務分掌、二重チェック、証跡保存を確認します。

COSOの内部統制フレームワークは、業務、報告、コンプライアンスに関する目的達成を支援する枠組みとして内部統制を位置付けています。法務監査も、コンプライアンス目的だけでなく、業務の有効性、報告の信頼性、資産保全に関わります。

次の表は、IIAの三線モデルを法務監査に置き換えて読むための整理です。第一線、第二線、第三線の役割が混ざると、責任の所在と監査の独立性が曖昧になるため、役割分担を先に確認します。

主体役割
第一線営業、製造、開発、購買、人事、現場部門リスクを伴う業務を実行し、日常的な統制を行います。
第二線法務、コンプライアンス、リスク管理、情報セキュリティ、品質管理方針、規程、モニタリング、助言、専門的支援を行います。
第三線内部監査第一線・第二線の統制が有効かを独立的に評価します。

次の強調欄は、合理的保証の意味を確認するためのものです。監査に過剰な期待を置かず、重大リスクに重点を置いて改善につなげる読み方が重要です。

監査は絶対保証ではなく合理的保証を提供します

内部監査・法務監査は、すべての違反を発見するものではありません。監査手続を尽くした範囲で、重大な問題がないと相当程度いえる状態を示し、統制の弱点を可視化して改善につなげます。

Section 04

内部監査・法務監査の対象領域

企業ごとのリスクに応じて、契約、会社法、通報、データ、労務、取引規制、知財、IT、AI、開示を選びます。

法務監査の対象は広く、業種、規模、上場の有無、海外展開、規制業種該当性、個人情報取扱量、M&A頻度、サプライチェーンの複雑性によって変わります。すべてを同じ深さで見るのではなく、リスクベースで重点領域を決めます。

契約法務

契約は法務監査の中心領域です。契約書は権利義務の証拠であり、売上、費用、損害賠償、知的財産、秘密保持、個人情報、解除、反社会的勢力排除、準拠法、裁判管轄など、企業リスクを集約する文書です。

次の表は、契約法務監査で確認する項目を表します。契約書の文言だけでなく、承認、締結、保管、更新管理まで見ないと、実際の統制不備を見落としやすくなります。

項目監査上の確認点
契約審査ルールどの金額・リスク・契約類型で法務審査が必要かが明確かを確認します。
権限規程誰が契約を承認・締結できるかが明確かを確認します。
雛形管理最新の法令・社内方針が契約雛形に反映されているかを確認します。
例外承認標準条項から逸脱する場合の承認手続があるかを確認します。
電子契約本人確認、権限確認、改ざん防止、保存方法が整備されているかを確認します。
契約台帳契約期間、自動更新、解約期限、更新条件が管理されているかを確認します。
関連証跡交渉履歴、稟議、承認、修正履歴が保存されているかを確認します。

会社法・内部通報・個人情報

商事法務では、株主総会、取締役会、監査役会、監査等委員会、監査委員会、議事録、決議事項、利益相反取引、関連当事者取引、登記などを確認します。会社法上の内部統制システムに関する決定、情報保存管理体制、損失危険管理体制も監査対象です。

次の表は、内部通報と個人情報の監査で特に重視する確認点をまとめたものです。通報窓口やプライバシーポリシーの存在だけでなく、運用実態と証跡があるかを読み取ります。

領域主な確認点
内部通報従業員、派遣社員、取引先への周知、独立した受付・調査ルート、秘密保持、不利益取扱い防止、初動判断、証拠保全、調査記録、是正・再発防止、重大案件の報告を確認します。
個人情報・プライバシー個人情報台帳、利用目的、第三者提供、委託、共同利用、越境移転、委託先管理、漏えい時の報告・本人通知、AI・データ分析の目的外利用リスクを確認します。
商事法務取締役会付議基準、重要契約・M&A・資金調達・訴訟和解・関連当事者取引の付議、議事録の記録内容、利益相反取引、子会社管理、登記事項を確認します。

労務・取引規制・知財・IT・AI・開示

労務領域では、労働時間、残業代、管理監督者、裁量労働制、フレックスタイム、就業規則、懲戒、解雇、ハラスメント、メンタルヘルス、副業、業務委託との区別を確認します。独占禁止法・取引適正化では、購買・外注・委託取引の分類、発注書、検収、支払期日、価格交渉記録、買いたたき、受領拒否、返品、支払遅延、不当な利益提供要請を確認します。

次の表は、専門領域ごとに監査で何を見るかを横断的に整理したものです。各領域は単独ではなく、契約、開示、内部統制、証跡管理とつながっている点を読み取ります。

領域監査上の焦点
知的財産・営業秘密特許、商標、意匠、著作権、ライセンス、共同開発、職務発明、OSS、生成AI、模倣品対策、営業秘密管理を確認します。
サイバーセキュリティ・IT統制情報分類、アクセス権限、ログ管理、委託先・SaaS・クラウド管理、インシデント対応、通知義務、ランサムウェア対策、BCP、証拠保全を確認します。
AI・データ利活用生成AI利用ルール、機密情報・個人情報の入力制限、AI出力物の著作権・誤情報・差別リスク、人間による確認、学習データの権利処理を確認します。
サステナビリティ・人権・開示開示内容と実態の整合性、人権方針、サプライヤー調査、苦情処理、是正措置、投資家対応上の説明可能性を確認します。
取適法公正取引委員会は、2026年1月1日から下請法が中小受託取引適正化法、通称「取適法」へ移行し、対象取引や規制対象が拡大されることを公表しています。購買・外注・委託取引の監査では、移行時期を踏まえた規程・契約・運用の更新が重要です。
Section 05

内部監査・法務監査の設計

監査憲章、監査ユニバース、リスク評価、年間監査計画を順に整えます。

監査憲章を定める

内部監査・法務監査を始めるには、まず監査憲章を定めます。監査憲章とは、内部監査の目的、権限、責任、独立性、報告経路、情報アクセス権限を定める文書です。法務監査を含める場合、法務・コンプライアンス・契約管理・個人情報・労務・知財等を監査できること、必要資料にアクセスできること、弁護士との通信や個人情報・通報者保護へ配慮すること、重大リスクを取締役会や監査役等へ報告できることを明記します。

次の手順図は、内部監査・法務監査を設計する順番を表します。先に権限と対象を定めてからリスク評価へ進むことで、場当たり的な点検ではなく、経営上の優先順位に沿った監査計画にできます。

法務監査設計の判断順序

監査憲章を定める

目的、権限、責任、独立性、報告経路、資料アクセス権を明確にします。

監査ユニバースを作る

契約、労務、個人情報、知財、独禁法、贈収賄、業法、訴訟、内部通報、子会社管理などを一覧化します。

リスク評価で優先順位を付ける

影響度、発生可能性、統制成熟度を評価し、高リスク領域を選びます。

年間監査計画へ落とし込む

テーマ、目的、範囲、時期、担当者、専門家、報告先を決めます。

監査ユニバースを作る

監査ユニバースとは、監査対象になり得る領域の全体リストです。法務監査では、契約、労務、個人情報、知財、独禁法、贈収賄、輸出管理、業法、訴訟、内部通報、子会社管理などを含めます。

次の表は、法務監査の監査ユニバース例です。自社の業種・規模に合わせて、抜けている領域と重複している領域を見つけるために使います。

大分類監査対象
契約契約審査、契約台帳、電子契約、雛形管理、印章管理
ガバナンス取締役会、株主総会、稟議、権限規程、関連当事者取引
コンプライアンス行動規範、研修、内部通報、贈収賄、反社対応
労務労働時間、ハラスメント、懲戒、解雇、就業規則
データ個人情報、プライバシー、サイバー、AI、データ契約
知財特許、商標、著作権、営業秘密、OSS、ライセンス
取引規制独禁法、取適法、フリーランス取引、景品表示法
業法許認可、行政対応、表示広告、金融・医薬・建設等の規制
危機管理不祥事調査、フォレンジック、当局対応、メディア対応
グループ子会社管理、海外拠点、M&A後統合、海外法令対応

リスク評価と年間監査計画

監査対象をすべて毎年見ることは現実的ではありません。影響度、発生可能性、統制成熟度を5段階で評価し、総合的に優先順位を決めます。複雑にしすぎず、経営上の重要性、社会的関心、法改正や組織再編などの変化も加味します。

次の表は、リスク評価で高リスクと見やすい観点をまとめたものです。どの領域を今年見るべきか、なぜそのテーマを選ぶのかを説明できることが重要です。

観点高リスクの例
法令違反時の影響行政処分、刑事事件、上場廃止リスク、巨額損害賠償
発生可能性過去に指摘あり、現場任せ、急成長、海外展開、属人運用
統制成熟度規程なし、台帳なし、証跡なし、承認ルート不明
経営上の重要性売上比率が高い、重要顧客、主力事業、新規事業
社会的関心個人情報、ハラスメント、AI、サステナビリティ、人権
変化法改正、組織再編、M&A、システム変更、担当者交代

次の表は、年間監査計画の例です。テーマ、目的、時期、専門家、報告先をセットで決めることで、実施後の改善フォローまで管理しやすくなります。

四半期テーマ主な目的
Q1契約審査・契約台帳監査高リスク契約の法務関与、権限、証跡、更新管理を確認します。
Q2個人情報・委託先管理監査データマッピング、委託契約、漏えい対応手順を確認します。
Q3購買・取引適正化監査取適法、価格交渉、支払条件、発注書交付を確認します。
Q4内部通報・不祥事調査監査通報受付、調査、是正、報告、報復防止を確認します。
Section 06

内部監査・法務監査の実施手順

目的、基準、証拠、ウォークスルー、サンプリング、原因分析、改善計画をつなげます。

監査目的が曖昧だと、監査は単なる資料収集になります。「契約管理を監査する」では広すぎるため、「高リスク契約について、契約審査、承認、締結、保管、更新、解約の統制が設計どおり運用されているかを評価する」のように、目的を具体化します。

次の時系列は、法務監査の実施順序を表します。各段階で何を確定するかを読み取ることで、報告書の指摘が客観的で改善可能な内容になります。

Step 01

監査目的を明確にします

何を目的に、どこまで評価するかを具体化します。

Step 02

監査基準を設定します

法令、ガイドライン、社内規程、契約、取締役会決議、業界基準、過去の改善計画を判断基準にします。

Step 03

証拠を収集します

契約書、稟議書、議事録、メール、チャット、ログ、台帳、研修記録、通報記録、調査報告書を確認します。

Step 04

業務の流れを実際の証跡でたどります

取引開始から契約台帳登録、更新管理まで一件ずつ確認し、規程と実態の差を見つけます。

Step 05

サンプリングと原因分析を行います

無作為抽出だけでなく、高額契約、非標準雛形、個人情報、海外契約、例外承認が多い部署などを重点的に抽出します。

Step 06

改善計画を合意します

責任者、期限、具体的対応、完了基準、確認方法を明確にします。

次の表は、監査報告書で指摘を組み立てるための6要素です。事実だけ、意見だけ、改善案だけにならないように、基準から改善案まで一続きで整理します。

要素内容
基準法令、規程、契約、方針などのあるべき状態です。
実態監査で確認された事実です。
差異基準と実態のギャップです。
原因なぜ差異が生じたかです。
影響放置した場合の法的・財務的・レピュテーション上の影響です。
改善案具体的に何を誰がいつまでに行うかです。

高リスクサンプルには、金額が大きい契約、標準雛形を使っていない契約、責任制限条項がない契約、個人情報や秘密情報を大量に扱う契約、自動更新条項がある契約、海外企業との契約、新規事業・AI・データ利活用に関する契約、例外承認が多い部署の契約、通報後の処理期間が長い案件などが含まれます。

改善計画「今後注意する」「周知徹底する」だけでは改善計画として弱いです。たとえば、2026年9月末までに契約管理規程を改定し、契約締結後5営業日以内の台帳登録を義務化し、月次未登録リストを出力し、法務部長が四半期ごとに内部監査へ報告する、といった完了基準まで定めます。
Section 07

法務監査チェックリスト

全社、契約、内部通報、個人情報・データの4領域を確認します。

チェックリストは、監査範囲を漏れなく確認するために役立ちます。ただし、実務では業種、規模、上場の有無、海外展開、規制業種該当性に応じて調整します。

全社法務リスク管理

次の表は、全社的な法務リスク管理を見るための基本項目です。部門横断の役割分担、報告経路、法改正対応、グループ管理、外部専門家管理まで含めて読むことが重要です。

No.チェック項目確認資料例
1法務リスクを全社的に把握するリスク登録簿があるかリスク一覧、ERM資料
2法務、コンプライアンス、内部監査、リスク管理の役割分担が明確か組織規程、職務分掌
3重大な法務リスクが取締役会・監査役等に報告される経路があるか報告規程、議事録
4法改正情報を収集し、規程・契約雛形・研修に反映する仕組みがあるか法改正管理表
5グループ会社、海外子会社、支店にも同様の統制が及んでいるか子会社管理規程
6法務相談、契約審査、通報、紛争の記録が保存されているか案件管理台帳
7高リスク案件のエスカレーション基準があるかリスク基準表
8外部弁護士の利用基準、費用管理、利益相反確認があるか弁護士管理台帳
9法務部門のKPIが単なる処理件数に偏っていないか法務KPI資料
10過去の監査指摘の改善状況がフォローされているかフォローアップ表

契約管理

次の表は、契約管理の点検項目です。契約類型ごとの標準化、権限、例外承認、台帳、期限管理、変更管理を一体で確認します。

No.チェック項目確認資料例
1契約類型ごとに標準雛形が整備されているか雛形一覧
2雛形の改定履歴、承認者、適用開始日が管理されているか雛形管理台帳
3法務審査が必要な契約類型・金額・リスク条件が明確か契約審査規程
4契約承認権限と押印・電子署名権限が一致しているか権限規程
5例外条項の承認履歴が残っているか例外承認記録
6契約締結後の原本・電子データが一元管理されているか契約台帳
7自動更新、解約期限、価格改定期限が管理されているか契約期限リスト
8秘密保持、個人情報、知財、反社、制裁、贈収賄条項が適切か契約サンプル
9英文契約・海外契約の準拠法・紛争解決条項が検討されているか海外契約ファイル
10締結後に変更覚書、仕様変更、SOWが適切に管理されているか変更管理資料

内部通報・不祥事調査

次の表は、内部通報と不祥事調査の点検項目です。受付窓口の数よりも、独立性、秘密保持、証拠保全、報告、是正、報復防止まで機能しているかを重視します。

No.チェック項目確認資料例
1内部通報規程が最新法令・指針に対応しているか内部通報規程
2通報窓口が社内外に複数あり、周知されているか周知資料
3通報受付、初動評価、調査、是正、報告の手順があるか調査マニュアル
4通報者探索・不利益取扱いを防ぐ手続があるか研修資料、規程
5調査担当者の独立性・利益相反が確認されているか調査記録
6証拠保全、デジタルフォレンジックの基準があるか保全手順書
7重大案件が取締役会・監査役等に報告されているか報告資料
8調査結果に基づく懲戒・是正・再発防止が実行されているか是正計画
9通報統計が分析され、組織課題に反映されているか年次報告
10匿名通報、海外通報、取引先通報に対応できるか通報運用記録

個人情報・データ

次の表は、個人情報・データ管理の点検項目です。台帳、委託先、越境移転、AI利用、アクセス権限、問い合わせ対応まで、プライバシーポリシーと実態が一致しているかを確認します。

No.チェック項目確認資料例
1個人情報台帳・データマップがあるかデータ台帳
2利用目的、取得方法、保管期間、廃棄方法が明確かプライバシー管理表
3委託先、再委託先、クラウド利用が管理されているか委託先台帳
4漏えい等発生時の報告・本人通知手順があるかインシデント手順書
5要配慮個人情報、従業員情報、採用情報が区分管理されているかアクセス権限表
6越境移転や外国クラウド利用の確認がされているか越境移転記録
7データ分析・AI利用の目的外利用リスクが検討されているかAI利用申請
8アクセス権限、ログ、退職者アカウント削除が管理されているかログ、ID管理表
9プライバシーポリシーと実態が一致しているかWeb表示、業務資料
10データ削除請求、開示請求、苦情に対応できるか問い合わせ記録
Section 08

内部監査・法務監査の報告書

問題列挙ではなく、経営判断を支援する文書として組み立てます。

内部監査・法務監査の成果物は監査報告書です。報告書は、単に問題を列挙する文書ではなく、経営判断を支援する文書として、重要指摘、原因、影響、改善計画、フォローアップをつなげます。

次の表は、監査報告書の基本構成を表します。読み手が経営陣や取締役会である場合、最初に総合評価と重要指摘を把握できる構成にすることが重要です。

内容
1. エグゼクティブサマリー重要指摘、総合評価、経営への示唆を示します。
2. 監査目的・範囲何を目的に、どこまで見たかを示します。
3. 監査基準・方法法令、規程、サンプリング、ヒアリング方法を示します。
4. 総合評価高・中・低リスク、成熟度、改善優先順位を示します。
5. 個別指摘基準、実態、原因、影響、改善案を示します。
6. 改善計画責任者、期限、完了基準を示します。
7. フォローアップ進捗確認方法、次回報告時期を示します。
8. 付録サンプル一覧、チェックリスト、資料一覧を示します。

指摘事項の書き方

良い指摘事項は、客観的で、再現可能で、改善可能です。たとえば、高リスク契約における例外承認の証跡不足を指摘する場合、契約審査規程、抽出した20件のうち5件の逸脱、3件の承認記録未確認、差分検知機能や最終版確認手順の欠如、無制限責任の可能性、例外承認ワークフローの導入までを一体で整理します。

次の表は、評価ランクの読み方を表します。ランク付けでは、法的リスクだけでなく、統制不備の広がり、発生可能性、経営への影響を総合評価します。

ランク意味
High重大な法令違反、財務影響、行政処分、不祥事につながるおそれがあります。個人情報漏えい報告体制なし、重大契約の無権限締結
Medium統制不備があり、一定の法務・業務リスクがあります。契約台帳未更新、研修未受講者が多い
Low軽微な改善余地があります。文書様式の不統一、古い規程番号の残存
Improvement違反ではありませんが、効率化・高度化の余地があります。契約AIレビュー導入、KPI可視化
報告書品質監査報告書では、意見の強さを事実と基準で支えます。法務部門の見解だけでなく、法令、規程、契約、社内方針、合理的なリスク評価に基づくことが重要です。
Section 09

内部監査・法務監査の専門職の役割分担

社内メンバーと外部専門家の関与場面を整理します。

内部監査・法務監査では、多数の専門職が関与します。役割分担を誤ると、監査が形骸化したり、専門性不足に陥ったりします。

次の表は、社内の主要メンバーがどのように監査へ貢献するかを表します。監査を進める前に、誰が証拠を評価し、誰が法令・契約・IT・労務の専門知見を補うかを明確にします。

役割主な貢献
内部監査担当監査計画、手続、証拠評価、報告、フォローアップを担います。
法務担当法令・契約・紛争・規程に関する専門知見を提供します。
企業内弁護士経営判断に近い法的助言、特権・守秘への配慮を担います。
コンプライアンス担当行動規範、研修、内部通報、贈収賄、反社対応を確認します。
リスクマネジメント担当ERM、リスク評価、危機管理、BCPを確認します。
個人情報保護担当個人情報、プライバシー、漏えい対応、委託先管理を確認します。
IT・セキュリティ担当ログ、アクセス権限、サイバー、システム統制を確認します。
人事・労務担当労働時間、ハラスメント、懲戒、雇用管理を確認します。
知財担当特許、商標、著作権、営業秘密、ライセンスを確認します。
商事法務担当株主総会、取締役会、登記、会社法対応を確認します。
経理・財務担当J-SOX、引当金、偶発債務、開示、会計処理を確認します。

次の表は、外部専門家の関与が有効な場面を表します。内部監査の独立性を保ちながら、法令、会計、税務、労務、知財、登記、デジタル証拠、危機広報の専門性を補います。

専門職関与が有効な場面
外部弁護士高度な法的判断、不祥事調査、訴訟、当局対応、M&A、海外案件
外国法事務弁護士・海外弁護士クロスボーダー契約、海外規制、海外子会社監査
公認会計士J-SOX、会計不正、財務報告、内部統制、フォレンジック会計
税理士税務調査、組織再編税制、移転価格、税務リスク
社会保険労務士就業規則、労働時間、社会保険、労務管理
弁理士特許、商標、意匠、知財契約、侵害調査
司法書士商業登記、組織再編登記、役員変更登記
デジタルフォレンジック専門家メール、PC、スマホ、ログの保全・解析
危機管理広報専門家記者会見、メディア対応、ステークホルダー対応

法務部門は通常、第二線として社内の法的リスク管理を支援します。一方で、法務部門自身の契約審査品質、案件管理、外部弁護士管理、法改正対応、法務KPI、ナレッジ管理も監査対象になります。この場合、法務部門が自分で自分を監査すると独立性が弱くなるため、内部監査部門が主導し、必要に応じて外部専門家やリーガルオペレーションの知見を得る形が有効です。

Section 10

中小企業の内部監査・法務監査とKPI・KRI

小規模でも始められる簡易モデルと、速さだけに偏らない指標設計を確認します。

内部監査・法務監査は、大企業だけのものではありません。中小企業や非上場企業でも、契約、労務、個人情報、取引適正化、知財、許認可、資金調達、事業承継、M&A、ハラスメント、SNS炎上などのリスクは存在します。ただし、人員が限られるため、大企業型の内部監査部門をそのまま導入する必要はありません。

次の表は、中小企業・非上場企業が段階的に内部監査・法務監査を始めるための簡易モデルです。まず基盤資料を整え、年1回の重点確認から始める読み方が現実的です。

段階実施内容
第1段階契約台帳、権限規程、個人情報台帳、就業規則、内部通報窓口を整備します。
第2段階年1回、重要契約・労務・個人情報・許認可をチェックします。
第3段階外部弁護士、社労士、税理士、司法書士と連携し、重点監査を行います。
第4段階取締役会・経営会議にリスク一覧と改善状況を報告します。
第5段階M&A、IPO、資金調達、海外展開に備えて統制を高度化します。

KPIとKRI

KPIは業務遂行指標であり、契約審査の平均処理日数、研修受講率、通報対応完了率などを指します。KRIはリスク指標であり、高リスク契約の例外承認率、未締結取引の件数、個人情報インシデント件数、通報後の報復疑義件数などを指します。

次の表は、KPIとKRIの違いを分野別に整理したものです。速さや処理件数だけを見るのではなく、統制の品質とリスクの兆候を並べて読むことが重要です。

分野KPI例KRI例
契約契約審査平均日数、台帳登録率標準雛形逸脱率、無権限締結件数
個人情報委託先点検完了率、研修受講率漏えい件数、アクセス権限不備件数
労務ハラスメント研修受講率長時間労働者数、通報件数、懲戒取消リスク
内部通報初動対応日数、調査完了率報復疑義件数、未解決重大案件数
知財商標更新完了率、発明届出処理率権利失効件数、秘密情報持出し件数
取引適正化発注書交付率、支払期日遵守率価格協議記録なし取引、支払遅延件数

よくある失敗

次の失敗要因の一覧は、内部監査・法務監査が形式的になりやすい場面を表します。何を避けるべきかを先に把握すると、チェックリスト偏重や報告経路の不備を防ぎやすくなります。

チェックリストだけで終わります

必要な点検表は有効ですが、統制が実際にリスクを低減しているかまで確認しないと形式的になります。

法務部門の意見と監査基準が混ざります

監査指摘は、法令、規程、契約、取締役会決定、社内方針、合理的なリスク評価に基づけます。

現場の実態を見ません

規程や研修資料が整っていても、現場が使っていなければ統制は機能しません。

改善責任者が曖昧です

誰が、いつまでに、何を、どの状態まで完了させるかを明確にします。

監査結果が経営に届きません

重大な法務リスクが一部経営陣で止まると、取締役会の監督機能が働きにくくなります。

守秘・個人情報への配慮が不足します

不祥事調査や訴訟対応資料は、閲覧範囲、匿名化、保管制限、外部専門家との協議を慎重に設計します。

Section 11

100日で始める内部監査・法務監査ロードマップ

現状把握、リスク評価、パイロット監査の3段階で始めます。

初めて内部監査・法務監査を導入する場合、最初から全領域を深掘りするより、100日で現状把握、リスク評価、パイロット監査まで進める方が実務的です。

次の時系列は、100日間の進め方を表します。期間ごとに成果物を決めることで、調査だけで終わらず、改善計画とフォローアップにつなげられます。

1日目から30日目

現状把握

組織図、職務分掌、権限規程、契約台帳、法務相談台帳、通報台帳、訴訟一覧、個人情報台帳を確認します。過去3年の重大トラブル、行政対応、監査指摘、内部通報、労務紛争を一覧化し、主要部門へヒアリングします。

31日目から60日目

リスク評価と監査計画

法務リスク登録簿を作り、影響度、発生可能性、統制成熟度でスコアリングします。高リスク領域を3から5件に絞り、監査目的、範囲、基準、手続、サンプル数、必要な専門家を決めます。

61日目から100日目

パイロット監査

まず一つのテーマ、たとえば契約管理を選び、契約20件から50件を抽出します。法務審査、承認、締結、保管、更新管理を確認し、指摘事項を高・中・低に分類して、責任者・期限付きの改善計画を合意します。

初期導入100日で重要なのは、完璧な監査体系を作ることではありません。どこにリスクがあり、誰が責任者で、いつまでに改善するかを経営が見える状態にすることです。
FAQ

内部監査・法務監査に関するFAQ

一般的な制度理解として、よくある疑問を整理します。

Q1. 法務監査は弁護士だけができるのですか

一般的には、弁護士だけが行うものではないとされています。監査手続、証拠評価、内部統制評価は内部監査の専門性であり、法令解釈、契約解釈、訴訟リスク評価は弁護士の専門性です。ただし、対象領域や重要性によって必要な関与は変わります。具体的な体制設計は、社内の責任者と弁護士等の専門家に相談する必要があります。

Q2. 法務部門が小さい会社でも必要ですか

一般的には、小規模な会社でも契約、労務、個人情報、許認可、取引条件が属人化しやすいため、簡易的な法務監査から始める価値があります。ただし、必要な範囲や頻度は会社の規模、業種、上場準備、海外展開、規制業種該当性によって変わります。具体的な進め方は、資料を整理したうえで専門家へ相談する必要があります。

Q3. 法務監査を行うと現場の業務が遅くなりませんか

一般的には、設計次第で業務効率の改善にもつながるとされています。監査は現場を止めるためではなく、問題発生後の大きな損失を防ぐために行います。無駄な承認や重複手続が見つかる場合もあります。ただし、業務負荷は監査範囲、サンプル数、資料依頼方法によって変わるため、具体的な計画は関係部門と調整する必要があります。

Q4. 監査で法令違反の可能性が見つかった場合はどう考えればよいですか

一般的には、まず事実関係と証拠の保全を慎重に行い、重大性に応じて法務、コンプライアンス、経営、監査役等、外部弁護士へ報告する体制を確認するとされています。ただし、行政報告、本人通知、取引先通知、適時開示、懲戒、再発防止の要否は事案ごとに変わります。具体的な判断は、関係資料を整理したうえで弁護士等の専門家に相談する必要があります。

Q5. 内部監査と監査役監査は何が違いますか

一般的には、内部監査は会社内部の監査機能として業務改善と保証を目的に広く業務を評価するものとされています。一方、監査役監査は会社法上の機関として取締役の職務執行を監査するものです。両者は役割が異なりますが、相互連携が重要です。具体的な連携方法は、会社の機関設計や規程に応じて専門家へ確認する必要があります。

Q6. 法務監査の結果は社外に開示する必要がありますか

一般的には、個別の法務監査報告書をそのまま社外開示するものではないと考えられます。ただし、上場会社では、有価証券報告書、コーポレートガバナンス報告書、内部統制報告書、サステナビリティ開示等において、内部監査の体制やリスク管理の実効性が問われる場合があります。開示内容と実態の整合性については、個別事情に応じて専門家に確認する必要があります。

Conclusion

内部監査・法務監査は企業を守る仕組みです

企業活動を萎縮させる制度ではなく、迅速かつ適切な意思決定の基盤として機能します。

内部監査・法務監査は、企業活動を萎縮させるための制度ではありません。経営者、取締役、現場、法務、内部監査、監査役等が同じリスク認識を持ち、迅速かつ適切に意思決定するための基盤です。

企業法務に関する問題は、発生してから対応すると高くつきます。契約不備、個人情報漏えい、ハラスメント、独禁法違反、取引適正化違反、知財流出、内部通報の放置、不適切な開示、不祥事隠しは、いずれも企業価値を大きく毀損する可能性があります。

内部監査・法務監査の実務的な目的は、違反者を探すことではなく、問題が起きにくい仕組みを作ることです。より正確には、問題の芽を早期に発見し、経営に届く情報へ変換し、改善を完了させることです。

結論内部監査・法務監査は、企業法務の防波堤であり、経営のレーダーであり、取締役会の目であり、現場改善の起点です。
Guide

内部監査・法務監査で次に確認したいこと

目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。

知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。

このテーマから次に確認されやすい詳しい解説を9件表示しています。

Reference

参考資料

内部監査・内部統制

  • The Institute of Internal Auditors, Global Internal Audit Standards / IPPF Framework
  • The Institute of Internal Auditors, Complete Global Internal Audit Standards
  • The Institute of Internal Auditors, The IIA's Three Lines Model
  • Committee of Sponsoring Organizations of the Treadway Commission, Internal Control - Integrated Framework
  • 金融庁・企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに実施基準の改訂について」

ガバナンス・会社法・開示

  • 東京証券取引所「コーポレートガバナンス・コード」
  • e-Gov法令検索「会社法」
  • e-Gov法令検索「会社法施行規則」
  • 金融庁「有価証券報告書の作成・提出に際しての留意すべき事項等」
  • 日本監査役協会「監査役監査基準」

企業法務リスク領域

  • 消費者庁「公益通報者保護法と制度の概要」
  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 公正取引委員会「中小受託取引適正化法関係」
  • 経済産業省「営業秘密を守り活用する」
  • 経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
  • 経済産業省「AI事業者ガイドライン」
  • 金融庁「サステナビリティ開示基準の適用開始に向けた開示府令改正」
  • 経済産業省「責任あるサプライチェーン等における人権尊重のためのガイドライン」