2σ Guide

監査で指摘された事項の
フォローアップ実務

監査報告後の指摘事項を台帳化し、是正計画、進捗管理、有効性確認、経営報告へつなげるための企業法務・内部統制・ガバナンス実務を整理します。

5段階 登録から有効性確認まで
8種類 監査・点検の対象範囲
3ライン 実行・管理・独立確認
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

監査で指摘された事項の フォローアップ実務

監査報告後の指摘事項を台帳化し、是正計画、進捗管理、有効性確認、経営報告へつなげるための 企業法務 ・内部統制・ガバナンス実務を整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
監査で指摘された事項の フォローアップ実務
監査報告後の指摘事項を台帳化し、是正計画、進捗管理、有効性確認、経営報告へつなげるための 企業法務 ・内部統制・ガバナンス実務を整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 監査で指摘された事項の フォローアップ実務
  • 監査報告後の指摘事項を台帳化し、是正計画、進捗管理、有効性確認、経営報告へつなげるための 企業法務 ・内部統制・ガバナンス実務を整理します。

POINT 1

  • 監査で指摘された事項のフォローアップの全体像
  • 監査後の対応を、企業統治の実務として捉えるための入口です。
  • 監査後の対応は、登録・計画・追跡・実施確認・有効性確認までを一体で管理します
  • 企業法務
  • 内部統制

POINT 2

  • 監査で指摘された事項のフォローアップとは何か
  • 1. 登録:指摘事項を台帳に記録し、重要度、原因、責任部署、期限、必要証跡を整理します。
  • 2. 是正計画の合意:対象部門、経営管理者、内部監査、法務、コンプライアンス 等が、実行可能でリスクに見合った改善計画を合意します。
  • 3. 進捗管理:期限、担当者、阻害要因、暫定措置、経営判断事項を追跡します。
  • 4. 実施確認:計画された措置が実際に行われたかを証跡により確認します。
  • 5. 有効性確認:手続の作成だけでなく、再発防止やリスク低減に実際に機能しているかを検証します。

POINT 3

  • 監査で指摘された事項のフォローアップが企業法務で重要な理由
  • 再発・被害拡大
  • 同じ不備が繰り返されると、損害、顧客被害、社会的非難が大きくなります。
  • 認識後の放置
  • 会社が問題を把握していたことは、役員責任や当局対応で重要な事情になります。

POINT 4

  • 監査で指摘された事項のフォローアップの基本原則
  • 発生原因
  • なぜその不備が発生したのかを、業務手順と権限設計から確認します。
  • 発見遅延
  • なぜ発見が遅れたのかを、ログ、承認、レビュー、通報ルートから確認します。

POINT 5

  • 監査で指摘された事項のフォローアップの標準プロセス
  • 1. 監査報告書受領:事実認定、評価、提案、根拠基準を切り分けます。
  • 2. 指摘事項の分解・台帳登録:複数論点を、責任者・期限・証跡を設定できる単位に分けます。
  • 3. 重要度評価・初期エスカレーション:重大事項は、暫定措置、法務・専門家関与、経営層報告を検討します。
  • 4. 根本原因分析:人、規程、プロセス、システム、組織、教育、モニタリングの原因を確認します。
  • 5. 是正計画・責任者・期限の合意:暫定措置、本対応、予防措置、横展開、有効性確認方法を定めます。
  • 6. 実施確認・有効性確認:証跡確認、サンプルテスト、再実施、インタビュー、データ分析でリスク低減を検証します。
  • 7. 完了承認・経営報告・次回反映:残余リスク、リスク受容、追加対応を整理し、経営層・取締役会・監査役等へ報告します。

POINT 6

  • 監査で指摘された事項のフォローアップの役割分担
  • 第1線、第2線、第3線、統治機関、外部保証の責任を分けます。
  • 内部監査が対象部門の代わりに改善策を作りすぎると、後日の独立確認が弱くなることがあります。
  • 統治機関と外部保証の行から、重大事項がどこへ上がるべきかを読み取ってください。
  • 読者にとって重要なのは、法務、会計、労務、IT、監査役等が後から関与するほど、証拠保全や外部説明の設計が難しくなることです。

POINT 7

  • 監査で指摘された事項のフォローアップで注意する法務論点
  • 証拠保全、秘密保持、個人情報、労務、当局・開示対応を確認します。
  • 証拠保全と文書管理
  • 弁護士秘匿特権・秘密保持
  • 個人情報・プライバシー

POINT 8

  • 監査で指摘された事項のフォローアップを分野別に整理する
  • 契約、J-SOX、個人情報、労務、独禁法、IT、M&Aの典型例です。
  • 監査で指摘された事項のフォローアップは、分野によって確認すべき証跡や関与者が異なります。
  • 読者にとって重要なのは、同じ監査指摘でも、分野によって完了基準と有効性確認方法が変わる点です。
  • 各分野で、どの証跡を確認し、どの専門家を巻き込むべきかを読み取ってください。

まとめ

  • 監査で指摘された事項の フォローアップ実務
  • 監査で指摘された事項のフォローアップの全体像:監査後の対応を、企業統治の実務として捉えるための入口です。
  • 監査で指摘された事項のフォローアップとは何か:監査の種類、指摘事項の意味、フォローアップの5段階を確認します。
  • 監査で指摘された事項のフォローアップが企業法務で重要な理由:放置リスク、会社法、役員責任、J-SOX、コーポレートガバナンスをつなげて見ます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

監査で指摘された事項のフォローアップの全体像

監査後の対応を、企業統治の実務として捉えるための入口です。

監査で指摘された事項のフォローアップとは、監査報告書に記載された指摘事項、改善提案、内部統制上の不備、法令遵守上の課題、情報セキュリティ上の弱点、労務管理上の問題などについて、会社がどのような是正措置・改善措置を講じたかを継続的に確認し、必要に応じて有効性を検証し、未解決リスクを経営層や取締役会等へ報告する一連の実務です。

この実務は、単なる宿題管理ではありません。企業法務の観点では、役員の善管注意義務、内部統制システムの整備・運用、開示規制、労務、個人情報、独禁法、下請法、贈収賄防止、反社会的勢力排除など、多くの法的リスクとつながります。内部監査の観点では、監査の価値を最終的に実現する工程です。

次の重要ポイントは、このページ全体で扱う内容を要約したものです。読者にとって重要なのは、指摘事項を一度直したように見せることではなく、リスク低減が実際に働いているかを説明できる状態にすることです。まず、誰が何を確認し、どこへ報告するかという骨格を読み取ってください。

監査後の対応は、登録・計画・追跡・実施確認・有効性確認までを一体で管理します

指摘事項は、責任者、期限、証跡、完了基準、残余リスク、報告先まで結び付けて管理すると、後日の当局対応、外部監査、役員責任、M&A、IPO、取引先審査にも説明しやすくなります。

次の一覧は、監査で指摘された事項のフォローアップが接続する主要なリスク領域を表しています。読者にとって重要なのは、会計監査だけの問題に限定せず、法務・労務・IT・個人情報・子会社管理まで横断して見ることです。各項目から、どの部門を早期に巻き込むべきかを読み取ってください。

Legal

企業法務

法令違反、契約違反、開示、当局対応、役員責任、証拠保全と結び付きます。

Control

内部統制

規程、承認、職務分掌、証跡、モニタリング、J-SOX評価の実効性を確認します。

Governance

ガバナンス

重大指摘、期限超過、リスク受容を取締役会・監査役等が監督する仕組みです。

注意このページは一般的な情報提供です。個別の法的判断、会計監査上の意見、税務助言、労務助言、内部監査意見ではありません。実際の案件では、事実関係、会社の機関設計、上場・非上場の別、業種規制、社内規程、監査報告書の内容を踏まえ、弁護士・公認会計士・税理士・社会保険労務士その他の専門家に相談する必要があります。
Section 01

監査で指摘された事項のフォローアップとは何か

監査の種類、指摘事項の意味、フォローアップの5段階を確認します。

ここでいう監査は、会計監査だけを意味しません。企業実務では、内部監査、会計監査、監査役監査、コンプライアンス監査、労務監査、情報セキュリティ監査、当局検査、ISO等のマネジメントシステム監査などが並行して存在します。

次の比較表は、主な監査・点検の種類と、そこで出やすい指摘事項を整理しています。読者にとって重要なのは、どの監査であっても、最終的には指摘内容、責任部署、期限、証跡、有効性確認へ落とし込む必要がある点です。表では、監査の種類ごとに関与者と典型論点を読み取ってください。

種類主な実施者主な対象典型的な指摘事項
内部監査内部監査部門、内部監査担当、外部委託先業務プロセス、内部統制、法令遵守、IT、子会社管理承認漏れ、職務分掌不備、規程未整備、証跡不足
会計監査・内部統制監査監査法人、公認会計士財務諸表、財務報告に係る内部統制決算プロセス不備、IT全般統制不備、見積り統制不備
監査役監査・監査等委員会監査監査役、監査等委員、監査委員取締役の職務執行、内部統制システム取締役会報告不足、子会社管理不足、重大リスク報告遅延
コンプライアンス監査コンプライアンス部門、法務部門贈収賄防止、独禁法、下請法、個人情報、反社対応研修未受講、通報対応遅延、契約条項不足
労務監査人事、労務法務担当、社会保険労務士、弁護士労働時間、賃金、就業規則、ハラスメント対応残業管理不備、36協定運用不備、懲戒手続不備
情報セキュリティ・プライバシー監査セキュリティ部門、個人情報保護担当、外部専門家アクセス権、ログ、委託先管理、漏えい対応権限棚卸未実施、ログ監視不足、委託契約不備
業界規制監査・当局検査監督官庁、規制当局、業界団体金融、医薬、食品、建設、運送、輸出管理等業法違反、記録不備、顧客説明不足、広告審査不備
ISO等の監査認証機関、内部監査員品質、環境、情報セキュリティ、労働安全衛生等不適合、是正処置不十分、運用証跡不足

次の一覧は、指摘事項に使われる代表的な呼び方を整理しています。読者にとって重要なのは、名称が違っても、会社の目的達成を妨げるリスクを誰が、いつまでに、どの程度まで低減するかを明確にする点です。各用語が、重大性や管理水準の違いを示していることを読み取ってください。

Defect

不備

本来あるべき統制や手続が設計されていない、または運用されていない状態です。

Material

重要な不備

財務報告、法令遵守、事業継続、情報セキュリティ、労務安全等に重大な影響を与え得る不備です。

Disclosure

開示すべき重要な不備

財務報告に係る内部統制報告制度で用いられる概念で、財務報告に重要な影響を及ぼす可能性が高い内部統制の不備を指します。

Nonconformity

不適合

ISO等のマネジメントシステムで、基準・規格・社内規程に適合していない状態です。

Improvement

改善提案

重大不備とまではいえないものの、リスク低減や業務効率化の観点から改善が望まれる事項です。

Watch

要観察事項

直ちに是正を要するほどではなくても、再発・拡大の兆候があり継続確認が必要な事項です。

次の判断の流れは、監査で指摘された事項のフォローアップを5段階で示しています。読者にとって重要なのは、登録して終わりではなく、有効性確認まで進めて初めて監査の価値が実現することです。順番に、台帳化、合意、追跡、証跡確認、再発防止の確認へ進む点を読み取ってください。

監査後に進める5つの確認

登録

指摘事項を台帳に記録し、重要度、原因、責任部署、期限、必要証跡を整理します。

是正計画の合意

対象部門、経営管理者、内部監査、法務、コンプライアンス等が、実行可能でリスクに見合った改善計画を合意します。

進捗管理

期限、担当者、阻害要因、暫定措置、経営判断事項を追跡します。

実施確認

計画された措置が実際に行われたかを証跡により確認します。

有効性確認

手続の作成だけでなく、再発防止やリスク低減に実際に機能しているかを検証します。

Section 02

監査で指摘された事項のフォローアップが企業法務で重要な理由

放置リスク、会社法、役員責任、J-SOX、コーポレートガバナンスをつなげて見ます。

監査で指摘された事項のフォローアップを怠ると、同じ不備が再発し、損害額や社会的信用の毀損が拡大する可能性があります。また、会社は問題を知っていたのに放置したと評価され、役員責任、当局対応、訴訟対応で不利になることがあります。

次の一覧は、指摘事項を放置した場合に企業法務上問題になりやすい論点を表しています。読者にとって重要なのは、法令違反そのものだけでなく、知っていたリスクを管理できなかったという統治上の問題にも発展し得る点です。各項目から、どの説明責任が問われるかを読み取ってください。

再発・被害拡大

同じ不備が繰り返されると、損害、顧客被害、社会的非難が大きくなります。

認識後の放置

会社が問題を把握していたことは、役員責任や当局対応で重要な事情になります。

制度の形骸化

内部通報、監査、外部監査、当局検査の結果が活かされないと、コンプライアンス制度の実効性が疑われます。

開示との不整合

有価証券報告書、内部統制報告書、ガバナンス報告、適時開示との整合性が問題になります。

取引・資金調達への影響

M&A、IPO、金融機関取引、重要取引先審査で弱点として評価されることがあります。

証拠化される経緯

監査資料、会議体資料、是正計画、未完了ステータスは、後日の重要証拠になり得ます。

会社法上の内部統制システムとの関係

会社法は、取締役会設置会社において、取締役の職務執行が法令・定款に適合することを確保する体制や、企業集団の業務の適正を確保する体制について、取締役会が決定すべき事項を定めています。大会社である取締役会設置会社では、これらの体制に関する決定が義務になります。

会社法施行規則は、情報の保存・管理、損失危険の管理、効率的職務執行、使用人の法令・定款適合、企業集団管理、監査役監査を支える体制などを定めています。監査で指摘された事項のフォローアップは、こうした内部統制システムの運用部分にあたります。

役員責任との関係

重大な指摘事項が出た場合、経営陣は知らなかっただけでは説明が難しい場合があります。特に、反復的な不正、重大な個人情報漏えい、独禁法違反、贈収賄、過労死・重大労災、粉飾決算、子会社不祥事などでは、過去の監査・通報・会議体資料・是正計画・未完了ステータスが、監督義務の履行状況を示す重要資料になります。

次の一覧は、役員責任との関係で残すべき記録を整理しています。読者にとって重要なのは、結論だけでなく、当時の合理的な意思決定過程を説明できることです。誰が、いつ、どのリスクを認識し、どの措置を選んだかを読み取れる形で管理する必要があります。

Awareness

認識時点

経営陣がいつ、どの内容を認識したかを記録します。

Decision

措置選択

どのリスク評価に基づき、どの措置を選んだかを残します。

Options

代替案・残余リスク

代替案、暫定措置、期限延長、リスク受容の理由を整理します。

Report

会議体報告

取締役会、監査役会、リスク委員会、コンプライアンス委員会等への報告履歴を残します。

J-SOX・ガバナンスとの関係

上場会社等では、金融商品取引法に基づく内部統制報告制度、いわゆるJ-SOXとの関係が重要です。財務報告に関係する指摘事項では、いつ発見されたか、いつ是正されたか、是正後の運用有効性をどう確認したか、内部統制報告書提出日までにどう記載するかが問題になります。

コーポレートガバナンス・コードとの関係では、監査で指摘された事項のフォローアップは、取締役会の機能発揮、情報開示、内部統制の実質化という文脈で重要です。重大指摘、期限超過、リスク受容を取締役会・監査役等が監督できる形で報告する必要があります。

Section 03

監査で指摘された事項のフォローアップの基本原則

リスクベース、根本原因、是正・予防、有効性確認、記録化を押さえます。

リスクベースで優先順位を付けます

すべての指摘事項を同じ粒度・同じ頻度で追跡すると、重要リスクが埋もれます。監査で指摘された事項のフォローアップでは、重要度に応じて管理水準を変える必要があります。

次の比較表は、重要度ごとの基本対応を表しています。読者にとって重要なのは、金額だけでなく、法令違反、行政処分、刑事事件化、顧客被害、人命・健康、個人情報、上場開示、役員関与、反復性、隠蔽可能性、グループ横断性も見て優先順位を決める点です。重大・高リスクほど、経営層への早期報告と独立した確認が必要だと読み取ってください。

区分基本対応
重大法令違反、粉飾、不正、重大漏えい、労災、当局報告対象、開示すべき重要な不備候補即時エスカレーション、暫定措置、法務・外部専門家関与、経営会議・取締役会報告
重要統制の設計不備、反復違反、子会社管理不備、重要委託先管理不備是正計画の期限管理、月次報告、有効性テスト、遅延時の経営層承認
一部証跡不足、規程改訂遅延、研修受講率不足、軽微な職務分掌不備四半期フォロー、サンプル確認、期限延長時の理由記録
文書表現の修正、軽微な台帳更新、手順書の明確化部門自己申告と証跡確認、まとめて完了確認

根本原因に向き合います

表面的な修正だけでは、同じ問題が再発します。例えば承認印がないという指摘に対し、次回から押印しますという回答だけでは足りません。承認権限規程が理解されていない、承認経路の設計が実態に合っていない、承認者不在時の代替手順がないなど、原因を掘り下げる必要があります。

次の一覧は、根本原因を確認するときの観点を表しています。読者にとって重要なのは、人の注意力だけに原因を置かず、規程、システム、教育、評価制度、予算、監督、組織文化まで広げることです。どの原因が他部署・子会社にも広がるかを読み取ってください。

発生原因

なぜその不備が発生したのかを、業務手順と権限設計から確認します。

発見遅延

なぜ発見が遅れたのかを、ログ、承認、レビュー、通報ルートから確認します。

統制不全

既存の統制が機能しなかった理由を、設計と運用の両面で確認します。

横展開

同じ原因が他部署、子会社、海外拠点、委託先に存在しないかを確認します。

誘因

KPI、評価制度、予算、納期、営業目標が違反誘因になっていないかを確認します。

仕組み化

規程、教育、システム、モニタリング、懲戒、通報制度のどこを直すかを確認します。

是正措置と予防措置を区別します

是正措置は、すでに発生した不備や違反の原因を取り除く措置です。予防措置は、同種または類似の問題が将来発生しないようにする措置です。個人情報の委託先管理に不備があった場合、暫定停止、契約改訂、全委託先の年次点検、一定期間後の証跡確認を分けて設計します。

次の比較表は、実施確認と有効性確認の違いを示しています。読者にとって重要なのは、規程改訂や研修実施は出発点であり、現場で守られているかを見ないと完了判断が弱くなる点です。左列では確認の種類、右列では確認すべき実務例を読み取ってください。

確認意味
実施確認約束した措置を実行したかを確認します。規程を改訂した、研修を実施した、システム設定を変更した。
有効性確認措置がリスク低減に実際に効いているかを確認します。改訂後の手続が現場で遵守されている、例外処理が承認されている、再発していない。

記録を残します

フォローアップでは、何をしたかだけでなく、なぜそうしたかを残します。後日、訴訟、当局調査、外部監査、株主対応、内部通報再調査、M&Aデューデリジェンスで問われるのは、結果だけでなく、当時の合理的な意思決定プロセスです。

記録指摘事項の発生日、報告日、登録日、評価基準、発見事実、影響、根本原因、重要度、期限、責任者、是正計画、暫定措置、代替措置、進捗報告、期限延長理由、証跡、有効性テスト結果、完了承認者、完了日、残余リスク、会議体報告履歴を残すことが重要です。
Section 04

監査で指摘された事項のフォローアップの標準プロセス

報告書受領から、完了承認・経営報告・次回監査への反映までをつなげます。

標準的なプロセスは、監査報告書を受け取ってから、指摘事項を分解し、重要度を評価し、根本原因を分析し、是正計画を作り、進捗を追跡し、実施確認と有効性確認を経て、完了承認または追加対応へ進む流れです。

次の時系列は、監査で指摘された事項のフォローアップを進める順番を表しています。読者にとって重要なのは、前半で指摘事項を管理可能な単位に分け、後半で証跡と有効性を確認し、最後に経営報告や監査計画へ反映することです。順番ごとの目的を読み取ってください。

Step 01

監査報告書受領

事実認定、評価、提案、根拠基準を切り分けます。

Step 02

指摘事項の分解・台帳登録

複数論点を、責任者・期限・証跡を設定できる単位に分けます。

Step 03

重要度評価・初期エスカレーション

重大事項は、暫定措置、法務・専門家関与、経営層報告を検討します。

Step 04

根本原因分析

人、規程、プロセス、システム、組織、教育、モニタリングの原因を確認します。

Step 05

是正計画・責任者・期限の合意

暫定措置、本対応、予防措置、横展開、有効性確認方法を定めます。

Step 06

実施確認・有効性確認

証跡確認、サンプルテスト、再実施、インタビュー、データ分析でリスク低減を検証します。

Step 07

完了承認・経営報告・次回反映

残余リスク、リスク受容、追加対応を整理し、経営層・取締役会・監査役等へ報告します。

初期分析と指摘事項の分解

監査報告書を受け取ったら、指摘事項が事実認定、評価、提案に分けられているかを確認します。根拠となる法令、規程、契約、基準、社内ルール、会社の認識との齟齬、全社・グループ横断性、直ちに停止・回収・訂正・届出・開示・通報・顧客対応が必要な事項、秘密情報や個人情報の取扱いも確認します。

例えば、営業部門において取引先審査、反社チェック、与信限度額承認、契約書保管、売上計上証跡に不備があるという指摘は、少なくとも5項目に分解します。分解しないまま営業管理体制を改善するとだけ登録すると、責任者、期限、証跡、有効性確認が曖昧になります。

次の比較表は、重要度と対応期限を決めるときの評価要素を表しています。読者にとって重要なのは、期限を監査人に言われた日だけで決めず、残存リスクの大きさから逆算することです。各行で、金額、発生可能性、法的重大性、検出困難性、経営関与、外部影響を総合して読む必要があります。

評価要素観点
影響度金額、顧客数、事業停止可能性、健康・安全、社会的非難、開示影響
発生可能性既発生、反復性、統制の欠落、属人性、システム依存、委託先依存
法的重大性法令違反、行政処分、刑事罰、損害賠償、契約解除、上場規則違反
検出困難性発見までの時間、ログ不足、証跡不足、隠蔽可能性
経営関与役員関与、経営判断事項、子会社経営陣の関与
外部影響当局、監査法人、取引先、株主、メディア、労働組合、消費者

是正計画を具体化します

是正計画は、関係部署と協議し適切に対応するという表現では足りません。誰が、いつまでに、どの規程・契約・台帳・システム・研修・検証を行い、どの証跡で完了を確認するかまで書きます。

次の比較表は、是正計画に入れるべき項目を表しています。読者にとって重要なのは、計画が実行可能な内容になっているだけでなく、完了基準と有効性確認方法まで事前に定義されていることです。各項目を台帳と報告資料へ連動させる前提で読み取ってください。

項目内容
指摘ID監査報告書・台帳上の一意の番号です。
指摘内容事実、基準、影響を簡潔に記載します。
根本原因人、規程、システム、組織、教育、モニタリング等の原因です。
是正措置原因を取り除くための具体策です。
暫定措置本対応までのリスク低減策です。
予防措置再発防止・横展開策です。
責任者部門責任者と実務担当者を分けます。
期限マイルストーンと最終期限を置きます。
必要証跡規程、ログ、契約、議事録、研修記録、テスト結果等です。
完了基準何をもって完了とするかを定義します。
有効性確認方法サンプル、期間、テスト手続、評価者を定めます。
残余リスク対応後も残るリスクと受容可否を記録します。

進捗、期限超過、有効性を管理します

進捗追跡では、Excelでも専用監査管理システムでもよいですが、未着手、実施中、証跡提出待ち、実施確認中、有効性確認待ち、完了、期限超過、延期承認済み、リスク受容、追加対応など、状態が分かるステータスが必要です。

次の比較表は、進捗管理で使う代表的なステータスを表しています。読者にとって重要なのは、完了と主張された段階と、独立確認が終わった段階を分けることです。期限超過やリスク受容の行は、経営報告や承認が必要になる可能性が高いものとして読んでください。

ステータス意味
未着手是正計画が承認されたが作業開始前です。
実施中作業中です。
証跡提出待ち対象部門が完了を主張し、証跡を準備中です。
実施確認中内部監査・コンプライアンス等が証跡確認中です。
有効性確認待ち一定の運用期間が必要な状態です。
完了実施確認・必要な有効性確認が完了しています。
期限超過承認期限を超過しています。
延期承認済み合理的理由により期限延長を承認しています。
リスク受容是正しない、または一部対応にとどめることを適切な権限者が承認しています。
追加対応措置不十分として再対応が必要です。
期限超過期限超過は単なる遅れではなく、リスクが許容水準を超えて残存している可能性を示します。遅延理由、暫定措置、追加資源、新期限、承認者、取締役会・監査役等への報告要否を確認する必要があります。

有効性確認では、文書閲覧、システム確認、サンプルテスト、再実施、インタビュー、現場観察、データ分析、事故・通報・苦情データ確認を組み合わせます。アクセス権棚卸の不備であれば、棚卸手続を作成しただけでなく、次回棚卸が実際に行われ、不要権限が削除され、例外が承認されていることを確認します。

Section 05

監査で指摘された事項のフォローアップの役割分担

第1線、第2線、第3線、統治機関、外部保証の責任を分けます。

監査で指摘された事項のフォローアップでは、誰が改善を実行し、誰が基準や助言を担い、誰が独立して確認し、誰が重大リスクを監督するかを分ける必要があります。内部監査が対象部門の代わりに改善策を作りすぎると、後日の独立確認が弱くなることがあります。

次の比較表は、3ラインモデルを踏まえた役割分担を表しています。読者にとって重要なのは、第1線が実行責任を負い、第2線が専門的支援とモニタリングを行い、第3線が独立した確認を行うという分担です。統治機関と外部保証の行から、重大事項がどこへ上がるべきかを読み取ってください。

役割主体フォローアップ上の責任
第1線事業部門、営業、製造、経理、人事、IT運用、子会社指摘事項の原因を理解し、是正措置を実行し、証跡を提出します。
第2線法務、コンプライアンス、リスク管理、情報セキュリティ、個人情報保護、品質保証、労務管理基準・方針・専門助言・モニタリング・横展開・教育を担います。
第3線内部監査部門指摘事項の進捗と有効性を独立して確認し、経営層・監査役等に報告します。
統治機関取締役会、監査役会、監査等委員会、監査委員会、社外取締役重大指摘、期限超過、リスク受容、再発防止状況を監督します。
外部保証監査法人、認証機関、外部弁護士、外部専門家必要に応じて独立した保証、検証、法的助言、調査を行います。

次の一覧は、専門部門・専門家ごとの関与ポイントを表しています。読者にとって重要なのは、法務、会計、労務、IT、監査役等が後から関与するほど、証拠保全や外部説明の設計が難しくなることです。重大性の兆候がある場合、どの専門家を早めに入れるかを読み取ってください。

法務部門・企業内弁護士

法令違反、契約違反、表示規制、労務紛争、個人情報漏えい、独禁法、贈収賄、反社対応、輸出管理等に該当しないかを評価します。

法令評価証拠保全

外部弁護士

役員関与、内部通報、ハラスメント、横領、粉飾、贈収賄、カルテル、個人情報漏えい、当局調査、訴訟、クロスボーダー調査で重要になります。

独立性重大事案

公認会計士・監査法人

財務報告に関する指摘について、経営者評価、是正措置、証跡、内部統制報告書、監査役報告との整合性を確認します。

J-SOX財務報告

監査役・監査等委員・監査委員

重大指摘、期限超過、リスク受容、内部監査部門の独立性、子会社・海外拠点の把握状況を確認します。

監督会議体報告

取締役会・社外取締役

構造的問題、反復問題、期限超過、経営資源配分を要する改善、残余リスクがリスクアペタイト内かを確認します。

経営判断説明責任
質問例社外取締役は、この指摘事項が単発か構造的問題か、同種問題が他部署・子会社にもないか、期限超過の理由は何か、顧客・従業員・取引先・株主・当局への説明に耐えるかを確認すると有効です。
Section 07

監査で指摘された事項のフォローアップを分野別に整理する

契約、J-SOX、個人情報、労務、独禁法、IT、M&Aの典型例です。

監査で指摘された事項のフォローアップは、分野によって確認すべき証跡や関与者が異なります。契約管理では台帳や条項、J-SOXでは運用有効性、個人情報では委託先管理、労務では実態との乖離、独禁法・下請法では取引条件と証拠、ITではログや権限、M&AではPMIへの反映が重要になります。

次の一覧は、典型分野ごとの指摘とフォローアップを対応させています。読者にとって重要なのは、同じ監査指摘でも、分野によって完了基準と有効性確認方法が変わる点です。各分野で、どの証跡を確認し、どの専門家を巻き込むべきかを読み取ってください。

契約管理

契約締結前の業務開始、NDA・個人情報・再委託・知的財産・損害賠償・解除・反社条項、保管場所、更新期限、審査履歴を確認します。標準契約、審査基準、契約台帳、承認システムを改訂し、再発していないかをサンプル確認します。

契約台帳更新期限

J-SOX・財務報告

決算仕訳、見積りレビュー、IT全般統制、職務分掌、子会社決算プロセスを確認します。期末日までの是正状況、運用評価、内部統制報告書、監査法人対応、監査役報告との整合性が重要です。

内部統制運用評価

個人情報・プライバシー

個人情報台帳、委託契約、安全管理措置、アクセス権、保存期間、漏えい対応を確認します。台帳更新、委託先点検、権限棚卸、削除ルール、漏えい対応訓練を有効性確認につなげます。

委託先管理漏えい対応

労務監査

労働時間、36協定、管理監督者性、ハラスメント相談記録、懲戒手続を確認します。勤怠システム、PCログ、入退室記録、長時間労働アラート、産業医面談、記録様式を組み合わせます。

労働時間ハラスメント

独禁法・下請法・競争法

競合接触、価格・入札情報、下請代金、返品、協賛金、営業研修を確認します。会合出席承認、議事メモ、対象取引台帳、承認手続、営業メールや取引条件変更履歴の確認が重要です。

下請法独禁法
IT

情報セキュリティ・IT監査

退職者・異動者アカウント、特権ID、変更管理、バックアップ復旧、脆弱性対応、生成AI利用ルールを確認します。IAM、ログ監視、変更履歴、復旧訓練、利用ログを組み合わせます。

アクセス権ログ
MA

M&A・PMI

買収先の内部統制、チェンジ・オブ・コントロール条項、個人情報・労務・税務・環境・贈収賄リスク、親会社への報告ルートを確認します。100日、180日、1年の統合ロードマップへ反映します。

PMI子会社管理
Section 08

監査で指摘された事項のフォローアップ台帳の設計

台帳項目、データ品質、システム化の考え方を整理します。

監査で指摘された事項のフォローアップでは、台帳が品質を左右します。台帳は単なる一覧表ではなく、経営判断資料です。指摘タイトルが抽象的すぎる、重要度の基準が人によって違う、期限延長履歴が残らない、完了証跡のリンクが切れる、対象部署が組織変更で不明になる、といった状態では機能しません。

次の比較表は、フォローアップ台帳に最低限入れる項目を表しています。読者にとって重要なのは、指摘内容だけでなく、根本原因、暫定措置、証跡、有効性確認、残余リスク、報告先まで一つの管理単位にすることです。各項目が、後日の説明責任を支える情報だと読み取ってください。

項目説明
指摘ID年度、監査名、連番で一意に管理します。
監査名内部監査、J-SOX、労務監査、IT監査等を記載します。
指摘タイトル一読して内容が分かる名称にします。
指摘本文事実、基準、影響を要約します。
根拠基準法令、規程、契約、監査基準、ISO等を記録します。
発生日・報告日監査報告日、経営報告日等を記録します。
重要度重大・高・中・低等で管理します。
リスクカテゴリ法務、財務、労務、情報、品質、環境等に分類します。
対象部署・責任者責任部署、関連部署、部門長、実務担当者を明確にします。
根本原因・是正計画原因分析結果と具体的措置を記録します。
暫定措置・期限完了までのリスク低減策、マイルストーン、最終期限を記録します。
必要証跡・ステータス完了確認に必要な資料、未着手・実施中・完了等の状況を管理します。
期限超過日数自動計算できるようにします。
実施確認者・有効性確認方法内部監査、法務、コンプライアンス等の確認者、サンプル、期間、手続を記録します。
完了日・残余リスク・報告先完了承認日、受容・追加対応・次回監査等、経営会議・取締役会・監査役等への報告先を記録します。

次の一覧は、台帳のデータ品質で起こりやすい問題を表しています。読者にとって重要なのは、台帳が古くなると、経営層が未解決リスクを把握できなくなる点です。どの情報が欠けると判断ができなくなるかを読み取ってください。

抽象的な指摘タイトル

内容が分からない名称では、経営報告や横展開の判断が遅れます。

重要度基準のばらつき

担当者ごとに判断が違うと、重大リスクが埋もれます。

期限延長履歴の欠落

なぜ遅れたか、誰が承認したかを後から説明できなくなります。

証跡リンク切れ

完了の根拠を確認できないと、外部監査や当局対応で弱くなります。

組織変更への未対応

対象部署や責任者が不明になり、追加対応が止まります。

他台帳との分断

リスク台帳、内部通報台帳、事故台帳、監査計画と接続しないと、同じ原因を見落とします。

システム化の考え方

会社規模が小さい場合はスプレッドシートでも開始できます。ただし、上場会社、金融機関、グローバル企業、複数拠点・子会社を持つ企業では、監査管理システム、GRCツール、承認管理システムの利用を検討する価値があります。

次の一覧は、システム化で重視すべき機能を表しています。読者にとって重要なのは、ツール導入そのものではなく、期限超過、証跡、承認、重要度別集計、アクセス権、監査ログが管理できることです。自社のリスク量に対して、どこまで仕組み化するかを読み取ってください。

Alert

期限アラート

期限前、期限超過、再延長時に自動通知します。

Evidence

証跡添付

規程、ログ、契約、議事録、研修記録、テスト結果を紐付けます。

Approval

承認経路

ステータス変更、期限延長、リスク受容を適切な権限者へ回します。

Report

重要度別集計

重大・高リスク、期限超過、90日超過、再発指摘を集計します。

Linkage

関連台帳連携

リスク台帳、内部通報台帳、事故台帳、監査計画と接続します。

Log

アクセス権と監査ログ

秘匿性の高い指摘事項でも、閲覧範囲と操作履歴を管理します。

Section 09

監査で指摘された事項のフォローアップ報告とKPI・KRI

経営層、取締役会、監査役等が判断できる報告へ整えます。

報告の目的は、細かい進捗を羅列することではありません。経営層、取締役会、監査役等が、会社として受容できないリスクを把握し、必要な資源配分、方針決定、監督を行えるようにすることです。

次の一覧は、月次・四半期報告に含める基本構成を表しています。読者にとって重要なのは、未完了件数だけではなく、重大リスク、期限超過、阻害要因、横展開、経営判断依頼まで示すことです。経営が判断するためにどの情報が必要かを読み取ってください。

01

総括

重大リスク、期限超過、経営判断事項を冒頭に置きます。

02

指標

未完了件数、期限超過件数、重要度別件数、平均遅延日数を示します。

03

重大指摘事項

個別のリスク、措置、期限、阻害要因を説明します。

04

期限超過事項

理由、暫定措置、延長承認者を示します。

05

新規・完了事項

前回以降の追加事項と、有効性確認済みの重要事項を報告します。

06

経営判断依頼

予算、人員、システム投資、リスク受容、外部専門家起用を依頼します。

次の比較表は、経営層向けの指標例を表しています。読者にとって重要なのは、今期・前期の差分から、期限超過や重大リスクが改善しているかを読むことです。件数だけでなく、コメント欄で原因と経営判断事項を確認してください。

指標今期前期コメント
未完了指摘事項7891減少傾向です。
重大・高リスク未完了1215IT権限管理と労務が中心です。
期限超過1814規程改訂案件で遅延が増えています。
90日超過53経営判断が必要です。
完了済み3124有効性確認済みは18件です。
再発指摘47営業契約管理で再発があります。
リスク受容21取締役会報告済みです。

次の比較表は、KPIとKRIの違いを表しています。読者にとって重要なのは、活動量や処理状況を見るKPIだけでは、リスクの高まりを十分に説明できない点です。KRIでは、重大指摘の期限超過、再発、横展開未了、90日超過、リスク受容件数に注目してください。

種類指標例
KPI完了率、期限内完了率、平均是正日数、証跡提出率、有効性確認実施率
KRI重大指摘の期限超過件数、再発指摘件数、同一原因の横展開未了件数、90日超過件数、リスク受容件数

完了率が高くても、軽微な事項ばかり完了して重大事項が残っていれば意味がありません。逆に、完了率が低くても、重大事項に資源を集中していれば合理的な場合があります。経営層向けには、件数だけでなく、リスク量、重大度、残余リスク、経営判断事項を説明する必要があります。

監査役等への報告経営陣が対応を先送りしている事項、期限超過が常態化している部署、予算不足・人員不足で対応できない事項、証跡提出が遅れている事項、不正・隠蔽・報復・証拠破棄の兆候、外部監査人や当局から同種指摘を受けている事項は隠さず報告する必要があります。
Section 10

監査で指摘された事項のフォローアップで使うひな形と失敗対策

是正計画、完了承認、期限延長、リスク受容を文書化します。

監査で指摘された事項のフォローアップでは、是正計画、完了承認、期限延長、リスク受容を文書化しておくと、後日の説明が安定します。重要なのは、ひな形を埋めることではなく、意思決定の理由、証跡、残余リスク、報告先を明確にすることです。

次の一覧は、4種類の文書ひな形で押さえる項目を表しています。読者にとって重要なのは、通常の完了処理だけでなく、遅延やリスク受容のような難しい判断ほど記録を厚くする点です。どの場面でどの文書を使うかを読み取ってください。

是正計画書

指摘ID、監査名、指摘タイトル、指摘内容、根拠基準・規程・法令、重要度、リスクカテゴリ、対象部署、責任者、事実関係、想定される影響、根本原因、暫定措置、是正措置、予防措置・横展開、期限・マイルストーン、必要証跡、有効性確認方法、残余リスクとリスク受容要否、報告先を整理します。

計画

完了承認メモ

指摘ID、指摘タイトル、当初重要度、最終評価、完了承認日、完了承認者、実施された措置、確認した証跡、有効性確認の手続、有効性確認の結果、残余リスク、今後のモニタリング、取締役会・監査役等への報告要否を整理します。

完了

期限延長申請

指摘ID、指摘タイトル、現期限、新期限、延長理由、現在の進捗、未完了作業、暫定措置、期限超過中の残余リスク、追加資源の要否、承認者、監査役等への報告要否を整理します。

延長

リスク受容メモ

指摘ID、指摘タイトル、受容するリスク、是正しない理由、代替措置、法令遵守上の問題の有無、会社のリスクアペタイトとの整合性、想定される影響、再評価時期、承認者、取締役会・監査役等への報告を整理します。

受容

よくある失敗と対策

次の一覧は、監査で指摘された事項のフォローアップで起こりやすい失敗と対策を表しています。読者にとって重要なのは、完了基準、根本原因、期限超過、内部監査の独立性、横展開、法務連携、リスク受容の管理が弱いと、再発や説明責任の問題につながる点です。自社の運用で同じ兆候がないかを読み取ってください。

完了の意味が曖昧

対象部門の対応済みという申告だけで完了にせず、完了基準を事前に定義し、実施確認と有効性確認を分けます。

根本原因を分析しない

研修不足だけで終わらせず、人、規程、プロセス、システム、監督、文化、インセンティブを確認します。

期限超過が経営に上がらない

重大・高リスクの期限超過は、経営会議・監査役等へ自動報告する基準を定めます。

監査人が改善策を作りすぎる

経営管理者が改善措置の実施責任を負い、内部監査は助言と独立確認の役割を保ちます。

低リスク事項に資源を取られる

軽微な文書修正より、重大な法令違反リスクの有効性確認を優先します。

横展開しない

同種プロセス、支店、子会社、海外拠点、委託先へ展開すべきかを指摘ごとに判定します。

法務・コンプライアンス連携が遅い

重大性が一定以上の指摘事項は、法令影響チェックリストに基づき自動通知します。

リスク受容が非公式

重大・高リスクの未対応は、所管役員、リスク委員会、取締役会等の承認事項にします。

Section 11

監査で指摘された事項のフォローアップを中小企業でも実践する

簡易台帳、専門家の関与、実務チェックリストをまとめます。

監査で指摘された事項のフォローアップは、上場会社だけの話ではありません。中小企業・非上場会社でも、税務調査、労務調査、金融機関監査、補助金監査、取引先監査、ISO監査、親会社監査、M&Aデューデリジェンスで指摘を受けることがあります。

次の一覧は、中小企業・非上場会社でも最低限満たしたい実務を表しています。読者にとって重要なのは、大企業と同じ体制をそのまま導入することではなく、指摘を放置しない仕組みを作ることです。まず何から始めるべきかを読み取ってください。

01

指摘事項を一覧化します

指摘内容、責任者、期限、対応状況、証跡、完了日を一つの表で管理します。

02

責任者と期限を決めます

誰が対応し、いつ経営者へ報告するかを明確にします。

03

証跡を残します

メール、議事録、契約、勤怠、ログ、研修記録などの根拠を保存します。

04

重要リスクは専門家へ相談します

法令違反、税務、労務、個人情報、契約紛争の疑いがある場合は早期に専門家へ確認します。

05

再発確認を行います

一度の修正だけでなく、同じ問題が再発していないかを確認します。

06

経営者が未完了事項を把握します

月1回の経営会議で、未完了、期限超過、重大リスクを確認します。

次の比較表は、専門家・担当者ごとの主な関与ポイントを表しています。読者にとって重要なのは、指摘事項の分野に応じて相談先が変わる点です。法令評価、会計、税務、労務、知財、登記、許認可、内部監査、個人情報、情報セキュリティなど、どの専門性が必要かを読み取ってください。

専門家・担当者主な関与ポイント
弁護士法令違反評価、当局対応、証拠保全、訴訟・紛争、調査設計
企業内弁護士社内意思決定、法務レビュー、取締役会報告、部門調整
外部弁護士重大不祥事、第三者性、クロスボーダー、刑事・行政・訴訟対応
公認会計士財務報告、J-SOX、会計不正、内部統制、監査法人対応
税理士税務調査、組織再編税制、移転価格、消費税、源泉税
社会保険労務士労働時間、就業規則、社会保険、労務監査、是正勧告対応
弁理士知財管理、ライセンス、共同開発、商標・特許の権利管理
司法書士商業登記、役員変更、組織再編登記、議事録整備
行政書士許認可、業法書類、行政提出書類
内部監査担当指摘事項管理、有効性確認、経営報告、再監査
コンプライアンス担当規程、研修、通報制度、贈収賄防止、反社、独禁法
リスクマネジメント担当リスク評価、リスク台帳、リスクアペタイト、経営報告
個人情報保護担当データ台帳、委託先管理、漏えい対応、越境移転
情報セキュリティ担当アクセス権、ログ、脆弱性、インシデント対応
労務法務担当労働紛争、懲戒、ハラスメント、労働時間
監査役・監査等委員取締役職務執行の監査、内部統制システム監視
社外取締役経営監督、重大リスク、説明責任、利益相反監督
デジタルフォレンジック専門家電子証拠保全、ログ解析、メール・端末調査
フォレンジック会計士不正会計、横領、粉飾、損害額分析

実務チェックリスト

次の一覧は、初期対応、是正計画、進捗管理、完了確認のチェック項目を表しています。読者にとって重要なのは、監査報告書を受領した直後から完了後の次回監査反映まで、抜け漏れを段階ごとに確認することです。各段階で、未実施の項目がないかを読み取ってください。

初期対応

監査報告書の正式受領、事実・評価・提案の分解、重大性初期評価、法令違反・当局報告・開示・顧客影響の有無、関与部門、証拠保全、取締役会・監査役等への速報要否を確認します。

初動

是正計画

根本原因、暫定措置と本対応、責任者と期限、必要証跡、完了基準、有効性確認方法、横展開要否、予算・人員・システム改修の要否を確認します。

計画

進捗管理

台帳登録、期限アラート、期限超過時のエスカレーション、延長理由、暫定措置の有効性、重大事項の経営層・監査役等への報告を確認します。

期限

完了確認

対象部門の自己申告だけでなく証跡を確認し、必要に応じてサンプルテストや一定期間の運用実績を確認します。残余リスク、リスク受容、完了承認メモ、次回監査・規程・研修への反映も確認します。

完了
Section 12

監査で指摘された事項のフォローアップに関するFAQ

実務で迷いやすい点を、一般情報として整理します。

Q1. 監査で指摘された事項のフォローアップは誰の責任ですか。

一般的には、指摘事項の対象となった業務を所管する経営管理者・部門責任者が一次的な実施責任を負うとされています。内部監査部門は、改善措置の実施状況を追跡し、有効性を確認し、必要な報告を行います。ただし、会社の組織設計、指摘内容、リスクの重大性によって責任分担は変わる可能性があります。具体的な体制設計は、社内規程や専門家の助言を踏まえて確認する必要があります。

Q2. 監査人の指摘に納得できない場合はどう考えればよいですか。

一般的には、事実認定、評価基準、影響度、改善提案を分けて確認する方法が有効とされています。事実誤認がある場合は証拠を示して協議し、評価基準に争いがある場合は法務、会計、労務、IT等の専門家を交えて整理します。ただし、納得できないという理由だけでリスクを放置すると、後日の説明が難しくなる可能性があります。具体的には、代替措置、リスク受容、経営層報告を明確にする必要があります。

Q3. すべての指摘事項で有効性確認が必要ですか。

一般的には、すべてを同じ水準で確認する必要まではないとされています。低リスク事項は証跡確認で足りる場合があります。一方、重大・高リスク事項、法令違反、反復不備、財務報告上の重要統制、個人情報・労務・安全・当局対応に関係する事項では、一定期間の運用を見た有効性確認が必要になる可能性があります。

Q4. 期限までに是正できない場合はどう整理しますか。

一般的には、遅延理由、暫定措置、残余リスク、新期限、追加資源の要否を記録し、適切な権限者の承認を得る形が望ましいとされています。高リスク事項では、経営層・監査役等への報告が必要になる可能性があります。期限延長を繰り返す場合は、対応能力、予算、組織的抵抗、経営判断の遅れが原因でないかを確認する必要があります。

Q5. 外部監査人からの指摘と内部監査の指摘は同じ台帳で管理しますか。

一般的には、会社全体のリスク管理として一元的に把握できる状態が望ましいとされています。ただし、監査法人とのコミュニケーション、監査役監査、内部監査、業法監査、ISO監査では秘匿性や報告先が異なる場合があります。具体的な運用では、アクセス権、分類、報告経路を設計する必要があります。

Q6. 監査指摘が法令違反に当たるか分からない場合はどうしますか。

一般的には、早期に法務部門または外部弁護士へ相談し、事実関係、影響範囲、関係者、資料保全の必要性を整理することが重要とされています。初期対応を誤ると、証拠保全、当局対応、被害者対応、開示、労務対応で問題が広がる可能性があります。個別の法的評価は、具体的な資料を基に専門家へ相談する必要があります。

Q7. 経営会議に出す頻度はどの程度ですか。

一般的には、会社規模・業種・リスクによって変わります。重大・高リスク事項は月次、全体状況は四半期、低リスク事項は半期でも足りる場合があります。金融機関、上場会社、規制業種、重大不祥事後の会社では、より頻繁な報告が必要になる可能性があります。

Q8. フォローアップを怠ると役員責任になりますか。

一般的には、常に直ちに役員責任につながるわけではありません。ただし、重大な指摘事項を認識しながら合理的な対応をしなかった場合、取締役の監督義務、内部統制システムの整備・運用、善管注意義務との関係で問題になる可能性があります。重要なのは、リスクに応じた対応、報告、記録、合理的な意思決定を残すことです。

Q9. 中小企業でもフォローアップ台帳は必要ですか。

一般的には、簡易な形式でも台帳化することが有効とされています。指摘事項、責任者、期限、対応状況、証跡、完了日を一覧化しないと、対応漏れが起きやすくなります。中小企業ほど属人的な管理になりやすいため、スプレッドシート等で最低限の管理を行うことが実務上有用です。

Q10. 社内でフォローアップの要点を共有するときは何を重視しますか。

一般的には、定義、法的意味、プロセス、役割分担、台帳例、ひな形、分野別事例、FAQを含めると理解しやすいとされています。関係者は、何をすればよいか、誰へ相談すべきか、放置すると何が起きるかを把握する必要があるため、導入・結論・チェック項目に主要論点を自然に配置することが重要です。

Section 13

監査で指摘された事項のフォローアップの結論

監査後の後処理ではなく、企業統治の中核プロセスとして運用します。

監査で指摘された事項のフォローアップは、監査報告書の後処理ではありません。会社がリスクを認識し、責任者を定め、是正措置を実行し、有効性を確認し、経営層・取締役会・監査役等が監督するための、企業統治の中核プロセスです。

企業法務の視点からは、フォローアップの品質は、将来の紛争、当局対応、役員責任、開示、M&A、IPO、金融機関審査、取引先審査に直結します。内部監査の視点からは、フォローアップこそが監査の価値を実現する工程です。公認会計士の視点からは、財務報告に係る内部統制の有効性判断や内部統制報告書との整合性に関わります。コンプライアンス・リスク管理の視点からは、同じ失敗を繰り返さない組織文化を作るための仕組みです。

次の一覧は、実務上の要点を5つに集約したものです。読者にとって重要なのは、指摘事項を見つけることだけでなく、認め、直し、再発を防ぎ、説明責任を果たす状態まで進めることです。自社のフォローアップ運用で、どの要点が不足しているかを読み取ってください。

01

台帳化

指摘事項を台帳化し、責任者、期限、証跡、完了基準を明確にします。

02

リスクベース

重要度に応じて、フォローアップ水準と報告頻度を変えます。

03

有効性確認

実施確認だけでなく、リスク低減が実際に機能しているかを確認します。

04

経営報告

期限超過、リスク受容、重大指摘を経営層・取締役会・監査役等へ報告します。

05

仕組みへの反映

フォローアップ結果を、規程、研修、システム、リスク評価、監査計画、子会社管理に反映します。

結論監査で指摘された事項のフォローアップを適切に行う会社は、問題がない会社ではありません。問題を発見し、認め、直し、再発を防ぎ、説明責任を果たせる会社です。それこそが、現代の企業法務・内部統制・コーポレートガバナンスに求められる実効性です。
Reference

参考情報源

制度・基準・実務上の資料名を整理します。

法令・公的資料

  • e-Gov法令検索「会社法」
  • e-Gov法令検索「会社法施行規則」
  • e-Gov法令検索「金融商品取引法」
  • 金融庁・企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに実施基準の改訂について」
  • 金融庁「内部統制報告制度に関するQ&A等の改訂について」
  • 日本取引所グループ「コーポレート・ガバナンス」
  • 日本取引所グループ「コーポレートガバナンス・コード改訂案」

監査・内部統制の基準資料

  • The Institute of Internal Auditors「Global Internal Audit Standards」
  • 日本内部監査協会「内部監査基準」
  • The Institute of Internal Auditors「The IIA's Three Lines Model」
  • COSO「Internal Control - Integrated Framework」
  • ISO「ISO 19011 Guidelines for auditing management systems」
  • ISACA Journal「Enhancing the Audit Follow-up Process Using COBIT 5」
  • ISACA Now Blog「Follow-Up Audits and Follow-Up Process」