2σ Guide

リスク
アプローチ型
監査の設計を
企業法務・
内部統制から
組み立てる

重要リスクの識別、
監査ユニバース、
固有リスクと統制リスク、
10段階モデル、報告・是正までを
実務向けに整理します。

10段階 設計モデル
5原則 監査設計の軸
四半期 動的見直しの目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

リスク アプローチ型 監査の設計を 企業法務・ 内部統制から 組み立てる

重要リスクの識別、監査ユニバース、固有リスクと統制リスク、10段階モデル、報告・是正までを 実務向けに整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
リスク アプローチ型 監査の設計を 企業法務・ 内部統制
から 組み立てる
重要リスクの識別、監査ユニバース、固有リスクと統制リスク、10段階モデル、報告・是正までを 実務向けに整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • リスク アプローチ型 監査の設計を 企業法務・ 内部統制から 組み立てる
  • 重要リスクの識別、監査ユニバース、固有リスクと統制リスク、10段階モデル、報告・是正までを 実務向けに整理します。

POINT 1

  • リスクアプローチ型監査の設計の全体像
  • 監査資源を重要リスクへ配分し、企業法務、内部統制、会計監査、ガバナンスを横断して設計します。
  • 有限な監査資源を、会社にとって意味のあるリスクへ集中させます
  • 何が重大か
  • どこで起きやすいか

POINT 2

  • リスクアプローチ型監査の設計とは何か
  • 監査対象の固定化
  • 毎年同じ部門だけを見て、新規事業、海外子会社、SaaS、AI、個人情報、サイバーが漏れます。
  • 古い確認項目
  • 電子契約、チャット、RPA、生成AI、クラウド、権限変更などの実態に追いつきません。

POINT 3

  • リスクアプローチ型監査の設計を支える基準・制度
  • 財務諸表監査、J-SOX、内部監査基準、コーポレートガバナンスを接続します。
  • 監査基準・監査基準報告書
  • 内部統制報告制度
  • 内部監査基準

POINT 4

  • リスクアプローチ型監査の設計原則
  • 企業目的、手続連動、固有リスクと統制リスク、定量・定性、動的更新を押さえます。
  • 企業目的から逆算します
  • リスク評価と手続を結び付けます
  • 固有リスクと統制リスクを分けます

POINT 5

  • リスクアプローチ型監査の設計手順 ― 10段階モデル
  • 1. 目的・保証水準と監査ユニバース:財務報告、コンプライアンス、業務、ガバナンス、危機対応、改善の目的を決め、監査対象の母集団を作ります。
  • 2. リスク分類、固有リスク、統制リスク:法令、契約、財務、不正、IT、労務、ガバナンス、信用の分類を作り、内部統制前後のリスクを分けます。
  • 3. スコアと年間監査計画:点数は補助道具として使い、高リスク未監査領域と理由も取締役会又は監査役等へ報告します。
  • 4. 個別手続、証拠、報告・是正:リスク仮説を検証する手続に分解し、証拠の信頼性、発見事項のランク、報告ライン、フォロー期限を決めます。

POINT 6

  • 企業法務領域別のリスクアプローチ型監査の設計
  • 契約、コンプライアンス、個人情報、労務、知財、M&A、海外子会社、IT・AIを重点化します。
  • 業種、地域、委託先、IT依存度、内部通報、過去の事故によって高リスク領域は変わります。
  • 領域別に見ることが重要なのは、同じ「リスク」でも証拠、専門性、報告先が異なるためです。
  • 各項目で、優先対象と確認手続の違いを読み取ってください。

POINT 7

  • リスク評価表・監査計画書・監査調書のテンプレート
  • スコア、証拠、報告ランク、改善期限を実務文書へ落とし込みます。
  • リスク評価表や監査計画書は、形式ではなく、リスク評価と監査手続の対応関係を残すための文書です。
  • 残余リスクが高いのに監査対象外となる項目がないかを確認してください。
  • 監査目的、手続、証拠を並べることが重要なのは、確認作業が単なる項目消化にならず、リスク仮説の検証として説明できるためです。

POINT 8

  • リスクアプローチ型監査の設計で失敗しやすい点と改善策
  • チェックリスト依存
  • リスク仮説がなければ形骸化します。
  • 機械的な範囲決定
  • 売上高上位だけでなく、量的重要性と質的重要性を併用して、研究開発、個人情報、海外代理店、AIも見ます。

まとめ

  • リスク アプローチ型 監査の設計を 企業法務・ 内部統制
  • リスクアプローチ型監査の設計の全体像:監査資源を重要リスクへ配分し、企業法務、内部統制、会計監査、ガバナンスを横断して設計します。
  • リスクアプローチ型監査の設計とは何か:「手抜き」ではなく、重要リスクと監査証拠を結び付ける高度な設計思想です。
  • リスクアプローチ型監査の設計を支える基準・制度:財務諸表監査、J-SOX、内部監査基準、コーポレートガバナンスを接続します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

リスクアプローチ型監査の設計の全体像

監査資源を重要リスクへ配分し、企業法務、内部統制、会計監査、ガバナンスを横断して設計します。

リスクアプローチ型監査の設計とは、監査対象全体を一律に点検するのではなく、法令違反、財務報告の誤り、内部統制不備、重大損失、信用毀損、役員責任、行政処分、訴訟、刑事事件、説明責任問題につながるリスクを識別し、重要性に応じて範囲、深度、手続、時期、人員、専門性、証拠水準、報告ラインを設計する方法です。

次の強調表示は、このページで最も重要な考え方を示します。なぜ重要かというと、監査人員、時間、予算、専門性、データアクセスには制約があり、形式的な全件確認では重大リスクを見落とす可能性があるためです。ここでは、監査対象を絞る理由と絞らない理由を文書化することを読み取ってください。

有限な監査資源を、会社にとって意味のあるリスクへ集中させます

重要リスクを合理的に絞り込み、必要な領域には深く入り、リスク評価と監査手続、監査証拠、報告・是正を一貫させます。

次の一覧は、リスクアプローチ型監査の設計で最初に答えるべき問いを示します。問いの順番が重要なのは、重大性、発生場所、統制、証拠、是正をつなげて考えるためです。自社の監査計画で答えが曖昧な問いを確認してください。

Risk

何が重大か

財務、法務、レピュテーション、事業継続、役員責任、刑事・行政リスクを洗い出します。

Where

どこで起きやすいか

組織、業務プロセス、子会社、地域、取引先、ITシステム、権限構造を特定します。

Control

統制は効いているか

規程、承認、職務分掌、モニタリング、内部通報、ログ、契約管理を評価します。

Action

発見事項をどう動かすか

改善提言、経営報告、監査役等・取締役会報告、法的対応、再発防止を決めます。

前提このページは一般的な情報提供です。個別会社の監査意見、保証業務、税務判断、法的助言を提供するものではありません。具体的な事案では、会社規模、上場有無、業種、証拠状況を踏まえ、専門家へ相談する必要があります。
Section 01

リスクアプローチ型監査の設計とは何か

「手抜き」ではなく、重要リスクと監査証拠を結び付ける高度な設計思想です。

リスクアプローチは、監査範囲を狭める口実ではありません。むしろ、重要なリスクを見落とさないために、監査対象を構造化し、優先順位を明示し、監査計画と監査証拠を結び付ける方法です。毎年同じ部門だけを見る、古いチェック項目を使う、証拠が弱い、組織文化に根差すリスクを見ない、といった状態は不適切な監査設計につながります。

次の表は、設計上の問いと実務上の意味を対応させています。対応関係が重要なのは、監査目的、監査仮説、手続、証拠、報告をばらばらにしないためです。左列の問いに対して、右列の実務対応を説明できるか確認してください。

設計上の問い実務上の意味
何が起きると重大か財務、法務、信用、事業継続、役員責任、刑事・行政リスクを洗い出します。
どこで起きやすいか組織、業務プロセス、子会社、国・地域、取引先、ITシステム、権限構造を特定します。
既存統制は効いているか規程、承認、職務分掌、モニタリング、内部通報、ログ、契約管理を評価します。
監査で何を確かめるか監査目的、監査仮説、監査手続、サンプル、データ分析、ヒアリング、証跡を設計します。
発見事項をどう動かすか改善提言、経営報告、法的対応、再発防止、フォローアップを決めます。

次の一覧は、不適切な監査設計で起きやすい問題を整理したものです。問題を先に知ることが重要なのは、チェックリスト中心の監査が新規リスクや高リスク領域を見落としやすいためです。どの問題が自社の監査に近いかを読み取ってください。

監査対象の固定化

毎年同じ部門だけを見て、新規事業、海外子会社、SaaS、AI、個人情報、サイバーが漏れます。

古い確認項目

電子契約、チャット、RPA、生成AI、クラウド、権限変更などの実態に追いつきません。

証拠の弱さ

高リスク領域でもサンプル不足、ヒアリング偏重、証跡不足、改善フォロー不足になります。

組織文化の見落とし

経営者による統制無効化、業績プレッシャー、慣行化した違反を見逃します。

Section 02

リスクアプローチ型監査の設計を支える基準・制度

財務諸表監査、J-SOX、内部監査基準、コーポレートガバナンスを接続します。

財務諸表監査のリスク・アプローチは、重要な虚偽表示が生じる可能性の高い事項へ監査資源を重点配分する考え方として発展してきました。内部監査や企業法務では、財務諸表の虚偽表示だけでなく、贈収賄、独占禁止法、下請法、労務、個人情報、AI、サイバー、輸出管理、知財、品質不正、海外子会社管理まで対象に含めます。

次の表は、財務諸表監査で使われる中心概念を一般読者向けに整理したものです。概念を理解することが重要なのは、企業法務・内部監査でも「固有リスク」「統制リスク」「発見リスク」を分けることで手続設計が明確になるためです。用語、意味、例の対応を確認してください。

用語意味実務上の例
監査リスク重要な誤りがあるのに監査人が誤った意見を出すリスクです。架空売上を見逃して適正意見を出す場合です。
重要な虚偽表示リスク財務諸表に重要な誤りが含まれるリスクです。売上計上、棚卸資産評価、減損、引当金、関連当事者取引です。
固有リスク内部統制を考えない場合に誤りが生じやすい性質です。複雑な見積り、経営者判断、非定型取引、海外取引です。
統制リスク会社の内部統制が誤りを防止・発見・是正できないリスクです。承認形骸化、職務分掌不備、アクセス権限管理不備です。
発見リスク監査手続で誤りを発見できないリスクです。サンプル不足、証拠の信頼性不足、手続設計の不適合です。

次の一覧は、リスクアプローチ型監査の設計に関係する制度・基準を用途別にまとめています。複数の制度を接続することが重要なのは、内部統制、内部監査、取締役会監督、企業法務が同じリスク評価に基づいて動くためです。どの基準がどの設計論点を支えるかを読み取ってください。

Audit

監査基準・監査基準報告書

重要な虚偽表示リスクの識別・評価と、評価したリスクに対応する手続設計を支えます。

J-SOX

内部統制報告制度

評価範囲、業務プロセス、全社的内部統制、IT統制、不正リスク、サイバーリスクと結び付きます。

IIA

内部監査基準

戦略、目標、リスクに関する文書化された評価に基づく内部監査計画を求めます。

Governance

コーポレートガバナンス

取締役会と監査役等が、内部統制と全社的リスク管理体制を監督する視点を与えます。

Section 03

リスクアプローチ型監査の設計原則

企業目的、手続連動、固有リスクと統制リスク、定量・定性、動的更新を押さえます。

監査は違反探しだけではありません。企業が達成しようとする目的を阻害するリスクを可視化し、統制と改善を通じて企業価値を守る活動です。監査対象は、経営戦略、事業モデル、主要顧客、規制業種、サプライチェーン、IT基盤、海外拠点、ブランド価値、人的資本、知的財産、データ資産と接続している必要があります。

次の一覧は、設計原則を五つに分けて示します。原則を分けることが重要なのは、リスク評価を作っても監査手続に反映されなければ意味がないためです。各項目で、評価、手続、証拠、見直しがつながっているかを読み取ってください。

01

企業目的から逆算します

業種ごとの重要リスクを経営戦略、規制、顧客、IT、サプライチェーンと接続します。

02

リスク評価と手続を結び付けます

契約管理なら権限規程、稟議、電子契約ログ、契約書原本、例外承認を突合します。

03

固有リスクと統制リスクを分けます

危ない業務と、統制が効いていない業務を区別し、優先順位を決めます。

04

定量と定性を組み合わせます

金額、件数、従業員数だけでなく、法令違反可能性、レピュテーション、経営関与も見ます。

05

監査対象を動的に更新します

M&A、AI導入、法改正、事故、内部通報、組織再編、経営者交代を見直しのきっかけにします。

次の比較表は、固有リスクと統制リスクの組合せを示します。組合せを見ることが重要なのは、リスクが高い業務でも統制が強い場合と、一般業務でも統制が弱い場合で監査の深度が変わるためです。最優先になるのは、固有リスクも統制リスクも高い領域です。

組合せ監査上の意味
固有リスクが高く統制も強い輸出管理対象製品を扱い、専門部署、該非判定、取引審査、研修が整備されています。統制の運用証拠を確認し、継続的に監視します。
固有リスクは中程度だが統制が弱い一般的な委託契約でも、法務審査が任意で契約台帳がありません。台帳、承認、委託先管理を重点的に確認します。
固有リスクも統制リスクも高い海外代理店経由の公共調達で、贈収賄リスクがあり、代理店DDや支払審査が弱い状態です。リスクアプローチ型監査の最優先対象になります。
Section 04

リスクアプローチ型監査の設計手順 ― 10段階モデル

監査目的からフォローアップまで、設計を順番に組み立てます。

10段階モデルでは、監査目的と保証水準、監査ユニバース、リスク分類、固有リスク、統制リスク、スコア、年間計画、個別監査プログラム、監査証拠、報告・是正・フォローアップを順に設計します。目的が曖昧な監査は、確認項目が増えるだけで経営判断や是正につながりにくくなります。

次の時系列は、10段階の設計手順を一連の作業として示します。順番が重要なのは、監査目的を決めずに手続を作ると、証拠や報告がリスク評価とずれるためです。各段階で作る成果物を読み取ってください。

Step 1-2

目的・保証水準と監査ユニバース

財務報告、コンプライアンス、業務、ガバナンス、危機対応、改善の目的を決め、監査対象の母集団を作ります。

Step 3-5

リスク分類、固有リスク、統制リスク

法令、契約、財務、不正、IT、労務、ガバナンス、信用の分類を作り、内部統制前後のリスクを分けます。

Step 6-7

スコアと年間監査計画

点数は補助道具として使い、高リスク未監査領域と理由も取締役会又は監査役等へ報告します。

Step 8-10

個別手続、証拠、報告・是正

リスク仮説を検証する手続に分解し、証拠の信頼性、発見事項のランク、報告ライン、フォロー期限を決めます。

次の式と評価表は、リスクスコアを監査計画へ落とすときの例です。数式が重要なのは、監査対象の優先順位を説明しやすくするためです。ただし、点数は意思決定の補助であり、刑事事件化、上場廃止、重大な個人情報漏えい、許認可取消、生命身体への被害などは低頻度でも重点対象になります。

計算式総合リスク = 固有リスク × 統制リスク補正 × 影響度補正 × 変化補正 × 経営関心補正

次の表は、1点、3点、5点で評価する場合の読み方を示します。列の数値が大きいほど監査上の優先度が高まります。影響度、発生可能性、統制成熟度、変化、検出困難性を別々に見ることで、単純な金額基準では拾えない質的リスクを読み取れます。

評価項目1点3点5点
影響度限定的部門横断・一定の損失重大損失、行政処分、訴訟、報道、役員責任
発生可能性まれ時々発生頻発又は兆候あり
統制成熟度強い一部不備重大不備又は未整備
変化安定一部変更新規事業、M&A、法改正、システム刷新
検出困難性容易一定の分析が必要隠蔽容易、データ分散、経営関与可能性

次の表は、年間監査計画の例を示します。監査テーマ、主なリスク、手続概要、報告先を並べることで、リスク評価と監査手続がつながっているかを確認できます。高リスクなのに監査対象から外した領域は、その理由も別途記録します。

監査テーマ主なリスク手続概要報告先
契約管理監査無権限契約、契約台帳未整備、更新漏れ台帳突合、電子契約ログ、稟議確認、サンプル検証法務部長、CLO、監査委員会
個人情報管理監査漏えい、委託先管理不備、越境移転データマッピング、アクセス権限、委託契約、インシデント訓練CPO、CISO、取締役会
下請法・独禁法監査買いたたき、支払遅延、優越的地位濫用購買データ分析、取引条件変更、書面交付、ヒアリングCCO、法務、購買役員
海外子会社監査贈収賄、代理店、会計不正、内部通報不備代理店DD、支払証憑、贈答接待、現地規程、通報制度経営会議、監査役等
AI利用監査著作権、個人情報、秘密情報、説明責任利用実態調査、プロンプト管理、ツール許可、教育、ログCIO、CLO、リスク委員会
Section 05

企業法務領域別のリスクアプローチ型監査の設計

契約、コンプライアンス、個人情報、労務、知財、M&A、海外子会社、IT・AIを重点化します。

企業法務の監査では、財務諸表だけでなく、契約、法令遵守、個人情報、労務、知財、M&A、海外子会社、IT・サイバー・AIを横断して設計する必要があります。業種、地域、委託先、IT依存度、内部通報、過去の事故によって高リスク領域は変わります。

次の一覧は、企業法務領域ごとの重点監査テーマを整理したものです。領域別に見ることが重要なのは、同じ「リスク」でも証拠、専門性、報告先が異なるためです。各項目で、優先対象と確認手続の違いを読み取ってください。

契約法務監査

無権限契約、台帳未登録、原本紛失、重要条項、自動更新、反社、贈収賄、個人情報条項を確認します。

台帳突合権限

コンプライアンス監査

独禁法、下請法、景表法、贈収賄、反社、個人情報、労働法、輸出管理、業法を扱います。

法令通報

個人情報・プライバシー監査

データマッピング、利用目的、委託先、越境移転、アクセス権限、ログ、漏えい対応を確認します。

データ委託先

労務監査

未払賃金、長時間労働、ハラスメント、休職・復職、懲戒、派遣、偽装請負、安全衛生を含めます。

勤怠通報

知的財産・営業秘密監査

共同開発、著作権譲渡、OSS、営業秘密、商標、海外展開前調査、職務発明を確認します。

知財秘密
IT

IT・サイバー・AI監査

ID、特権ID、変更管理、ログ、クラウド、バックアップ、ランサム対応、生成AI利用を確認します。

ログAI

次の表は、M&A・PMIと海外子会社監査で重点化する項目を比較します。比較が重要なのは、買収直後や海外拠点では、親会社の規程が存在しても現地運用に落ちていないことがあるためです。統合作業の遅れ、現地経営者依存、報告遅延、不透明支払を読み取ってください。

領域重点リスク主な手続
M&A・PMI監査権限規程、会計方針、契約、労務、税務、個人情報、IT、贈収賄、内部通報の未統合です。過去DDの未確認事項、統合作業の遅れ、現地経営者依存項目を重点確認します。
グループ会社・海外子会社監査現地経営者への権限集中、親会社への報告遅延、不透明支払、現地労務・税務・許認可です。現地訪問、現地専門家、現地言語資料、データ分析、代理店DD、面談を組み合わせます。

次の表は、監査に関わる専門職と部門の役割分担を示します。役割分担が重要なのは、法令、会計、税務、労務、知財、サイバー、経営監督を別々に点検すると、同じ高リスク事象を見落としやすいためです。各専門性がどのリスク評価や証拠判断を支えるかを読み取ってください。

専門職・部門主な役割
法務担当法令、契約、紛争、役員責任、当局対応を踏まえた監査設計を行います。
外部専門家高リスク法令、不祥事調査、訴訟・行政対応、海外法、独立調査を支援します。
公認会計士・税務専門家財務報告、J-SOX、会計不正、税務リスク、移転価格、証拠評価を扱います。
知財・労務専門家特許、商標、著作権、ライセンス、営業秘密、労働時間、賃金、就業規則を確認します。
内部監査・コンプライアンス担当監査ユニバース、リスク評価、監査計画、研修、内部通報、改善フォローを担います。
情報セキュリティ担当サイバー、アクセス権限、ログ、インシデント、クラウド、生成AI利用の証拠を確認します。
監査役等・社外取締役独立した監督、報告受領、経営者関与リスクへの対応、是正要求を担います。
Section 06

リスク評価表・監査計画書・監査調書のテンプレート

スコア、証拠、報告ランク、改善期限を実務文書へ落とし込みます。

リスク評価表や監査計画書は、形式ではなく、リスク評価と監査手続の対応関係を残すための文書です。監査ユニバース、リスク登録簿、年間監査計画、個別監査プログラム、監査調書、監査報告書、是正フォロー表を最低限の成果物として整備します。

次の表は、リスク登録簿の最小項目を示します。項目をそろえることが重要なのは、固有リスク、既存統制、統制リスク、残余リスク、兆候データ、監査要否を一列で比較できるためです。残余リスクが高いのに監査対象外となる項目がないかを確認してください。

IDリスク領域リスク記述固有統制残余監査要否
R-001契約管理法務審査を経ない高額契約が締結されます。5電子承認あり15年度内監査
R-002個人情報委託先で個人データが漏えいします。5ISMS確認のみ20最優先

次の表は、契約管理監査の個別監査プログラム例です。監査目的、手続、証拠を並べることが重要なのは、確認作業が単なる項目消化にならず、リスク仮説の検証として説明できるためです。証拠欄では、どの資料で結論を支えるかを読み取ってください。

監査目的監査手続証拠
契約締結権限が守られているか権限規程と契約承認ログを照合します。権限規程、稟議、電子承認ログ、契約書
契約台帳が網羅的か支払データ・売上データと契約台帳を突合します。会計データ、契約台帳、発注書、請求書
重要条項が適切か高額契約、長期契約、知財契約を抽出して条項を確認します。契約書、交渉履歴、法務コメント
更新・解約管理ができているか自動更新契約、期限管理、通知期限を確認します。台帳、アラート、更新承認、解約通知

次の表は、監査手続 ID AP-001 の調書例を整理したものです。調書形式が重要なのは、目的、母集団、抽出方法、証拠、評価、推奨対応、フォロー期限を一体で残すことで、監査証拠の信頼性と改善責任を説明しやすくなるためです。どの資料が結論を支え、どの期限までに是正するかを確認してください。

項目AP-001の記載例
監査目的無権限契約締結リスクを検証します。
対象母集団2025年度に締結された契約のうち契約金額1,000万円以上のものを対象にします。
抽出方法契約台帳、会計支払データ、電子契約システムを突合し、未登録契約を重点抽出します。
実施手続権限規程、稟議、署名ログ、契約書、法務レビュー履歴を照合します。
監査証拠ファイル番号、システムログ、承認記録、ヒアリングメモで確認します。
結果・評価例外3件のうち1件は権限規程違反として、Highに評価します。
推奨対応電子契約と稟議システムの連携、未登録契約アラート、四半期モニタリングを行います。
フォロー期限2026-09-30までに改善状況を確認します。

次の表は、発見事項のランク例です。ランクを定義することが重要なのは、現場改善で止める事項と、経営・監査役等・外部専門家へ直ちに報告する事項を分けるためです。CriticalとHighは期限と報告ラインを明確にしてください。

ランク定義対応
Critical重大な法令違反、財務報告への重要影響、刑事・行政・上場・生命身体リスクです。直ちに経営・監査役等・法務・外部専門家へ報告します。
High重要な統制不備、反復的違反、重大損失可能性です。期限付き是正、経営会議報告、フォロー監査を行います。
Medium部門横断の不備、将来リスクがある運用不備です。改善計画を作り、部門責任者が管理します。
Low軽微な手続逸脱、文書不備です。通常改善し、次回確認します。
Section 07

リスクアプローチ型監査の設計で失敗しやすい点と改善策

チェックリスト依存、機械的範囲決定、独立性不足、データ未活用、フォロー不足を避けます。

失敗しやすい監査設計には、チェックリスト依存、評価範囲の機械的決定、経営者関与リスクの見落とし、内部監査の独立性不足、データ未活用、改善フォロー不足があります。売上高上位拠点だけを見ると、売上は小さいが高リスクな研究開発、個人情報、海外代理店、労務、AI利用、委託先が漏れることがあります。

次の一覧は、典型的な失敗と改善策を対応させたものです。対応関係が重要なのは、監査計画の弱点を具体的な運用変更へつなげるためです。自社で「毎年同じ」「データを使わない」「是正が進まない」に該当する項目を確認してください。

チェックリスト依存

リスク仮説がなければ形骸化します。法改正、IT変更、新規リスクを反映する更新プロセスを置きます。

機械的な範囲決定

売上高上位だけでなく、量的重要性と質的重要性を併用して、研究開発、個人情報、海外代理店、AIも見ます。

経営者関与リスクの見落とし

例外承認、手動仕訳、重要見積り、関連当事者取引、幹部指示、内部通報処理を重点確認します。

独立性不足

取締役会や監査役等への直接報告経路、デュアルレポーティング、定期協議を設計します。

データ未活用

購買、販売、経費、勤怠、アクセスログ、契約台帳、内部通報、苦情データを分析します。

改善フォロー不足

是正計画、責任者、期限、証拠、フォロー監査、未了時のエスカレーションを決めます。

次の表は、中小企業・非上場企業での簡易設計と、監査報告書の推奨構成を並べたものです。規模に応じた設計が重要なのは、専任部署がない場合でも、重要リスクを10個以内に絞れば実行しやすくなるためです。報告書では、抽象的な「徹底」ではなく、月次突合や自動通知のような具体策に落としてください。

テーマ実務上の要点
中小企業での簡易設計主要リスクを10個以内に絞り、売上、現金、在庫、契約、労務、個人情報、税務、許認可を優先します。
四半期見直し経営者がリスク一覧を見直し、外部専門家を必要箇所に限定して活用します。
監査報告書目的、対象範囲、期間、手続、総括評価、重要発見事項、リスク評価、根本原因、改善策、期限、フォロー計画を記載します。
改善策の書き方「管理を徹底する」ではなく、契約台帳と会計支払データを月次突合し、未登録契約を法務部へ通知する、と具体化します。
Section 08

リスクアプローチ型監査の設計に関するFAQ

会計監査以外への応用、低リスク領域、最低限の成果物を一般情報として整理します。

リスクアプローチ型監査の設計は、会計監査だけの話ですか。

一般的には、財務諸表監査で発展した考え方を基礎にしつつ、内部監査、コンプライアンス監査、法務監査、情報セキュリティ監査、労務監査、知財監査、M&A後監査にも応用できるとされています。ただし、目的、証拠水準、報告ラインは監査の種類によって変わる可能性があります。

低リスク領域は監査しなくてよいですか。

一般的には、低スコア領域を常に除外してよいわけではありません。長期間監査していない、法改正やシステム変更があった、内部通報や事故兆候がある場合は、低スコア領域でも監査対象に入れることがあります。具体的な判断は、リスク評価資料と監査資源を踏まえて検討する必要があります。

最低限の成果物は何ですか。

一般的には、監査ユニバース、リスク登録簿、年間監査計画、個別監査プログラム、監査調書、監査報告書、是正フォロー表が基本になります。特に、リスク評価と監査手続の対応関係を残すことが重要です。

スコアリングだけで監査対象を決めてもよいですか。

一般的には、スコアリングは意思決定を補助する道具です。発生可能性が低くても、刑事事件化、上場廃止、重大な個人情報漏えい、許認可取消、生命身体への被害のように影響が大きいリスクは重点監査対象になり得ます。

Reference

リスクアプローチ型監査の設計の参考資料

監査・内部統制

  • 企業会計審議会 監査基準の改訂に関する意見書
  • 日本公認会計士協会 監査基準報告書315 企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価
  • 日本公認会計士協会 監査基準報告書330 評価したリスクに対応する監査人の手続
  • International Auditing and Assurance Standards Board, ISA 315 (Revised 2019), Identifying and Assessing the Risks of Material Misstatement
  • 企業会計審議会 財務報告に係る内部統制の評価及び監査の基準並びに実施基準の改訂について

ガバナンス・内部監査

  • 東京証券取引所 コーポレートガバナンス・コード
  • The Institute of Internal Auditors, Global Internal Audit Standards
  • The Institute of Internal Auditors グローバル内部監査基準 日本語版
  • The Institute of Internal Auditors, What is the Three Lines Model?

リスクマネジメント・会社法

  • Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management ― Integrating with Strategy and Performance
  • Committee of Sponsoring Organizations of the Treadway Commission, Internal Control ― Integrated Framework
  • e-Gov法令検索 会社法