通報情報を広げるのではなく、必要な範囲に制御して調査・是正・監督へつなぐ考え方です。
通報情報を広げるのではなく、必要な範囲に制御して調査・是正・監督へつなぐ考え方です。
監査と内部通報の連動とは、内部通報の内容をそのまま内部監査部門へ流すことではありません。通報者保護、秘密保持、独立性、証拠保全、公正な調査、是正措置、再発防止、取締役会・監査役等への報告、内部統制評価、監査計画への反映を、制度として接続することです。
内部通報は、現場から発せられるリスクの入口です。監査は、統制の検証と改善促進を担います。両者が適切に連動すると、不正や法令違反を早期に発見し、組織として自浄作用を働かせやすくなります。
この重要ポイントは、監査と内部通報の連動で何を守り、何をつなげるかを一文で把握するためのものです。読者にとって重要なのは、通報情報の共有範囲を広げる発想ではなく、保護と統制改善を同時に満たす接続を設計する点です。
監査と内部通報の連動は、通報から得られたリスク情報を、通報者保護と秘密保持を損なわない形で、調査、是正、再発防止、内部統制評価、経営監督へ接続する仕組みです。
企業不祥事は突然表面化するだけではなく、小さな違和感、現場の黙認、数字目標への過度な圧力、品質・安全・労務・会計・情報管理の軽視、グループ会社や委託先への管理不足が積み重なって重大化することがあります。内部通報制度はその兆候を拾い、監査は仕組みの有効性を検証します。
このページの前提は、2026年6月11日時点で確認できる公的資料・専門機関資料に基づく一般的な情報提供です。公益通報者保護法については、令和7年法律第62号による改正法が2025年6月11日に公布され、2026年12月1日に施行予定とされています。実務では現行法、現行指針、施行後の法定指針・解説を確認する必要があります。
次の一覧は、監査と内部通報の連動で同時に満たすべき目的を整理しています。どの目的も単独では足りず、通報者保護、調査、是正、監督がつながっているかを読み取ることが重要です。
役職員、退職者、派遣労働者、取引先従業員等からの相談・通報を、法令違反、社内規程違反、不正、ハラスメント、会計不正、品質不正、情報漏えいなどの兆候として受け止めます。
通報者特定情報、未確認情報、証拠、調査状況を必要最小限で扱い、範囲外共有、通報者探索、報復、証拠隠滅、調査妨害を防ぐ設計にします。
調査結果を個別処理で終えず、原因分析、再発防止、内部統制評価、監査計画、取締役会・監査役等への報告へつなげます。
監査の種類、内部通報、公益通報、従事者、範囲外共有、是正措置を分けて理解します。
監査は、一定の基準や目的に照らして、会社の業務、会計、法令遵守、内部統制、リスク管理、情報管理などが適切に行われているかを検証する活動です。内部通報は、会社内または会社が設けた外部窓口に、違法行為や不適切行為の疑いを知らせる行為です。
次の比較表は、監査と内部通報の連動で登場する監査機能を整理しています。担い手と役割を分けることは、誰にどの情報を共有するかを判断するために重要です。
| 区分 | 主な担い手 | 役割 |
|---|---|---|
| 内部監査 | 内部監査部門、内部監査担当、外部専門家 | 業務、内部統制、リスク管理、コンプライアンスの整備・運用状況を独立的に評価します。 |
| 監査役監査 | 監査役、監査役会 | 取締役の職務執行を監査し、違法行為や著しい不当行為を監視します。 |
| 監査等委員会・監査委員会による監査 | 監査等委員、監査委員 | 取締役会内の監査・監督機能として、経営の監督と監査を担います。 |
| 会計監査 | 会計監査人、公認会計士、監査法人 | 財務諸表の適正性と財務報告の信頼性を検証します。 |
| コンプライアンス監査・テーマ監査 | 内部監査、法務、コンプライアンス、外部専門家 | 特定法令、特定リスク、特定業務を対象に運用状況を確認します。 |
内部通報は、公益通報者保護法上の公益通報に該当する場合もあれば、社内規程に基づく倫理相談やコンプライアンス相談にとどまる場合もあります。受付段階で厳密に切り分けすぎると、通報者保護や調査が遅れるおそれがあるため、制度設計では幅広い相談を受け止めることが実務的です。
次の比較表は、内部通報制度で特に重要な用語を整理しています。どの用語が通報者保護、情報共有、調査、是正に関わるのかを読み分けることが重要です。
| 用語 | 意味 | 監査との接続点 |
|---|---|---|
| 内部通報 | 法令違反、社内規程違反、不正、ハラスメント、会計不正、品質不正、情報漏えいなどを知らせる行為です。 | 監査計画やテーマ監査の重要なリスク情報になります。 |
| 公益通報 | 公益通報者保護法が定める要件を満たす通報です。 | 不利益取扱いの禁止や体制整備義務と結びつきます。 |
| 内部公益通報受付窓口 | 内部公益通報を受け付ける窓口です。外部委託先、親会社、共通窓口、外部専門家を使う場合もあります。 | 窓口だけで終わらせず、調査・是正・監督へ接続する設計が必要です。 |
| 公益通報対応業務従事者 | 内部公益通報を受け、調査し、是正に必要な措置に関与する者として事業者が定める者です。 | 守秘義務とアクセス範囲の設計が核心になります。 |
| 範囲外共有 | 通報者を特定させる事項を、正当な理由なく必要範囲を超えて共有することです。 | 監査目的でも通報者特定情報を当然に共有できるわけではありません。 |
| 通報者探索 | 誰が通報したかを探ろうとする行為です。 | 監査資料やヒアリングで通報者が推測されないよう管理します。 |
| 是正措置と再発防止 | 違反状態を解消し、同種事案が再び起きないよう統制を改善することです。 | 内部監査のフォローアップにより、実施状況と有効性を確認します。 |
監査部門、監査役等、会計監査人、外部専門家であっても、通報者特定情報を当然に取得できるわけではありません。必要性、相当性、代替手段、本人の意向、法的義務、調査妨害リスクを確認し、共有の目的と範囲を記録する運用が重要です。
公益通報者保護法に基づく制度では、事業者に対し、公益通報対応業務従事者の指定や内部公益通報対応体制の整備が求められます。消費者庁の指針解説は、通報受付、調査、是正措置のための部署・責任者の明確化、権限、独立性、人員・予算、経営幹部関与事案における独立性確保、監査役等への報告やモニタリングなどを挙げています。
次の一覧は、監査と内部通報の連動を支える制度的根拠を整理しています。読者にとって重要なのは、内部通報窓口の設置だけでは足りず、通報後の調査・是正・監督まで制度上の論点になることです。
通報受付、調査、是正、従事者指定、範囲外共有防止、通報者探索防止、記録作成・保管、定期評価・点検が制度設計の中心になります。
通報者保護秘密保持内部統制の要素である情報と伝達、モニタリングに内部通報が関係します。重要情報が上層部へ適時・適切に伝わるかが問われます。
情報と伝達モニタリング従業員等が不利益を懸念せず違法または不適切な行為や真摯な疑念を伝えられる枠組みを整備し、取締役会が運用を監督する考え方です。
取締役会監督独立窓口取締役・使用人の職務執行、損失危険管理、情報保存管理、監査役監査の実効性確保と、内部通報制度の改善接続が関係します。
業務適正情報保存内部監査は独立性・客観性を確保し、ガバナンス、リスク管理、コントロールの有効性を評価・改善する役割を担います。
独立性客観性内部監査が内部通報窓口そのものを主管する場合は、自己監査リスクを慎重に管理します。通報受付、調査判断、是正決定まで内部監査が主導し、その後に自ら制度運用を監査すると、独立性・客観性への疑義が生じやすくなります。
内部通報制度が機能している会社では、現場からの通報・相談が、リスク評価、監査計画、テーマ監査、内部統制評価、経営報告へ反映されます。反対に、通報情報が法務・コンプライアンス部門内で閉じる会社では、内部統制の不備が構造的に見落とされるおそれがあります。
案件、テーマ、制度の三層に分けると、通報者保護と監査活用を両立しやすくなります。
監査と内部通報の連動は、個別案件だけで考えると情報共有が過剰になりやすく、制度全体だけで考えると実際の是正に届きにくくなります。三層に分けることで、どの情報をどの粒度で扱うかを明確にできます。
次の一覧は、監査と内部通報の連動を三層で整理したものです。各層の目的と共有情報の粒度を読み分けると、通報者特定情報を出さなくても監査に活用できる場面が見えてきます。
特定の通報案件について、調査、是正、再発防止、監査役等への報告、内部監査によるフォローアップを接続します。経営幹部関与や会計不正の疑いでは、独立ルートへの移行が重要です。
個別案件の詳細ではなく、通報から見える傾向を監査計画やリスク評価へ反映します。ハラスメント、経費精算、品質検査、情報権限、海外子会社などの傾向が対象になります。
内部監査が内部通報制度そのものの設計・運用を監査し、継続的改善を促します。窓口、従事者指定、匿名通報、記録、教育、報告、是正確認まで確認します。
テーマ連動では、個人名や通報者特定情報を共有しなくても、監査上重要なリスクシグナルを把握できます。たとえば、特定部署でハラスメント通報が増えている、交際費や購買に関する疑義が多い、品質検査記録の改ざん相談が複数ある、海外子会社で贈収賄・制裁・輸出管理違反の懸念がある、といった情報です。
制度連動では、通報規程が公益通報者保護法・指針に整合しているか、経営幹部関与案件を独立的に処理するルートがあるか、範囲外共有や通報者探索を防止する措置があるか、通報受付から記録・保管までの証跡があるかを確認します。
受付、初期評価、利益相反確認、調査、是正、再発防止、フォローアップ監査までの流れです。
通報を受けた後は、通報者保護と証拠保全を優先しつつ、重大性、緊急性、法令違反可能性、経営幹部関与、報復リスク、開示・当局報告の要否を評価します。内部監査へ全件共有するのではなく、重大案件、統制不備が疑われる案件、再発防止策の検証が必要な案件を段階的に連動します。
次の時系列は、監査と内部通報の連動を実務で進める順番を示しています。順番を明確にすることで、初動の混乱、過剰共有、証拠散逸、是正の未確認を防ぎやすくなります。
社内窓口、外部窓口、監査役等窓口、Webフォーム、電話、メール、面談で受け付け、秘密保持、不利益取扱い禁止、匿名性、今後の流れを説明します。
重大性、緊急性、法令違反可能性、経営幹部関与、証拠隠滅、報復、被害拡大、開示・当局報告の要否を確認します。
調査担当者、窓口担当者、内部監査担当者、法務担当者、経営陣、監査役等が利害関係を持つ場合は、通常ルートから外します。
調査目的、範囲、担当者、保全方法、ヒアリング対象、データ確認範囲、通報者保護措置、共有範囲、外部専門家の要否を定めます。
通報者しか知り得ない情報の不用意な提示を避け、対象者の手続的公正にも配慮しながら、記録を正確に残します。
違法行為の停止、被害回復、懲戒、契約解除、会計修正、行政報告、情報漏えい対応、業務プロセス変更などを検討します。
規程、決裁権限、職務分掌、システム権限、例外承認、モニタリング、KPI、報酬評価、人事配置、委託先管理まで含めて改善します。
改善策の期限、責任者、完了基準、証跡、運用状況、有効性、同種事案の再発、報復の有無を確認します。
監査役等、取締役会、経営会議に、通報者特定情報を必要最小限に抑えた粒度で報告します。
次の分類表は、初期評価でどの連動先を検討するかを整理しています。通報の種類ごとに専門部署や独立ルートが変わるため、受付直後に同じ扱いにしないことが重要です。
| 分類 | 例 | 連動先 |
|---|---|---|
| 重大法令違反疑い | 贈収賄、独禁法、金融商品取引法違反、重大な労基法違反、個人情報漏えい | 法務、外部専門家、監査役等、必要に応じ当局対応チーム |
| 財務報告・会計不正 | 売上前倒し、架空取引、費用付替え、在庫操作 | 経理、会計監査人、監査役等、公認会計士、フォレンジック専門家 |
| 経営幹部関与 | 取締役、執行役員、事業部長等の関与疑い | 監査役等、社外取締役、外部専門家、独立調査体制 |
| 人事労務・ハラスメント | パワハラ、セクハラ、報復人事、長時間労働 | 人事、労務法務、社会保険労務士、外部専門家、必要に応じ監査 |
| 情報・IT・個人情報 | アクセス権限濫用、情報持ち出し、漏えい | 情報セキュリティ、個人情報保護担当、デジタルフォレンジック専門家 |
| 業務改善・倫理相談 | 規程違反、現場慣行、管理不備 | コンプライアンス、主管部門、内部監査のテーマ情報 |
次の判断の流れは、重大案件かどうかを見極める視点をまとめています。分岐は情報共有先を広げるためではなく、独立性と証拠保全を守るために使います。
秘密保持、不利益取扱い禁止、匿名性、緊急連絡方法を確認します。
該当する可能性がある場合は通常ラインで完結させません。
監査役等、社外取締役、外部専門家、独立調査体制を検討します。
通報者特定情報を抑え、必要な部署だけで調査・是正へ進めます。
必要最小限、目的限定、アクセス制限、記録化、本人保護を基本にします。
監査と内部通報の連動で最も難しいのは、情報共有の範囲です。基本原則は、必要最小限、目的限定、アクセス制限、記録化、本人保護です。監査に必要なのは、統制不備の有無、経営陣の対応状況、再発防止策の実効性であり、多くの場合、通報者の身元ではありません。
次の比較表は、内部監査や監査役等へ共有し得る情報を階層化したものです。情報類型ごとに共有先と注意点が異なるため、どの粒度なら監査目的を満たせるかを読み取ることが重要です。
| 情報類型 | 内容 | 主な共有先 | 注意点 |
|---|---|---|---|
| 匿名化・集計情報 | 件数、分類、部署別傾向、対応期間、是正状況 | 取締役会、監査役等、内部監査 | 少数部署では特定につながる可能性があります。 |
| リスクテーマ情報 | 特定領域の不正兆候、統制不備の傾向 | 内部監査、リスク管理、コンプライアンス | 監査テーマ化の際に通報由来であることを秘匿する場合があります。 |
| 重大案件概要 | 重大法令違反疑い、経営幹部関与、財務影響 | 監査役等、社外取締役、取締役会、外部専門家 | 通報者特定情報は原則除外し、必要時のみ限定共有します。 |
| 調査結果 | 事実認定、原因分析、是正措置 | 経営陣、監査役等、内部監査、関係部門 | 調査目的外利用を避けます。 |
| 再発防止進捗 | 改善策、期限、責任者、完了状況 | 内部監査、監査役等、経営会議 | フォローアップ監査へ接続します。 |
| 通報者特定情報 | 氏名、所属、連絡先、文脈上特定可能な情報 | 原則として従事者と必要最小限の調査担当者 | 範囲外共有・探索防止の観点から厳格に管理します。 |
次の注意事項は、監査目的があっても安易な共有を避けるべき情報を整理しています。未確認情報やセンシティブ情報を広げると、通報者保護だけでなく調査の公正性も損なわれます。
氏名、所属、連絡先、通報者しか知り得ない事情、相談履歴は厳格に分離管理します。
健康情報、家庭事情、ハラスメント被害、評価、懲戒歴などは必要性を慎重に確認します。
調査未了の断定的評価や対象者の名誉を不当に害する未確認情報は、共有範囲を絞ります。
外部専門家との秘匿性の高い情報、懲戒・訴訟・刑事告訴・適時開示の未確定方針は慎重に扱います。
次の一覧は、内部通報情報を扱うシステムや資料で必要になる管理措置をまとめています。アクセス制御と証跡を残すことで、必要な監査活用と二次被害防止を両立しやすくなります。
通報案件ごとにケースIDを付与し、通報者情報と案件情報を分離します。
識別管理通報者特定情報にアクセスできる者を限定し、退職者、異動者、利益相反者の権限を速やかに削除します。
範囲外共有防止閲覧、更新、ダウンロード、印刷のログを残し、紙資料は通し番号、回収、施錠保管、廃棄記録を管理します。
証跡氏名、部署、日時などを必要に応じてマスキングし、外部専門家には契約、秘密保持、再委託、返却・削除を定めます。
匿名化通報件数だけではなく、重大性、反復性、未解決期間、是正完了率、再発率を組み合わせます。
内部監査は年度監査計画を作成する際にリスク評価を行います。内部通報から得られる傾向は、リスク評価の重要な入力情報です。ただし、「通報があったから監査する」と露骨に見える形は通報者特定につながる場合があるため、通常のリスク評価プロセスの中で監査テーマ化する工夫が必要です。
次の手順一覧は、通報情報を監査計画へ反映する方法を示しています。順番を決めておくことで、通報由来であることを不要に示さず、監査テーマとして自然に扱いやすくなります。
部署、業務プロセス、法令領域、拠点、グループ会社、取引先類型に分類します。
重大性、反復性、経営関与、統制不備、未解決期間、再発率を見ます。
年次・半期で監査役等、コンプライアンス、法務、リスク管理と協議します。
重大案件は年次計画を待たずに臨時監査・特別監査を検討します。
次の比較表は、通報傾向と監査テーマの典型的な対応関係です。通報内容をそのまま監査名にするのではなく、統制上の論点へ翻訳することが重要です。
| 通報傾向 | 監査テーマ |
|---|---|
| 経費精算の不正疑いが複数部署で発生しています。 | 経費精算プロセス監査、承認権限監査、領収書確認統制監査 |
| 代理店・販売店への不透明な支払いが見られます。 | 販売奨励金・リベート・贈収賄リスク監査 |
| 品質検査記録の改ざん疑いがあります。 | 品質管理プロセス監査、検査記録システム監査 |
| 管理職によるハラスメント通報が集中しています。 | 人事労務コンプライアンス監査、職場風土監査 |
| 個人情報の持ち出し・権限濫用の懸念があります。 | アクセス権限管理監査、ログ監査、委託先管理監査 |
| 海外子会社から不正会計相談があります。 | 海外子会社ガバナンス監査、財務報告統制監査 |
| 取締役・執行役員の関与疑いがあります。 | 独立調査、監査役等主導の特別監査、第三者委員会検討 |
通報件数が多い会社は危険で、少ない会社は安全だとは限りません。件数が多いことは、制度が信頼され、問題が表面化している結果である場合があります。反対に、件数が極端に少ない会社では、窓口が知られていない、報復を恐れている、上司に握りつぶされている、過去対応に不信感がある可能性があります。
取締役会、監査役等、法務、内部監査、会計、労務、情報セキュリティの役割を明確にします。
監査と内部通報の連動は、単一部署では完結しません。緊急時に誰が判断するかをその場で決める会社は、調査の初動で失敗しやすくなります。規程や運用マニュアルで、専門職ごとの役割と注意点をあらかじめ定める必要があります。
次の比較表は、主な関与者の役割を整理しています。役割と注意点を分けて見ることで、利益相反や自己監査を避ける設計がしやすくなります。
| 関与者 | 主な役割 | 注意点 |
|---|---|---|
| 取締役会 | 内部通報制度の基本方針、独立ルート、重大案件報告、再発防止監督 | 通報制度を執行部任せにしない体制にします。 |
| 社外取締役 | 経営陣から独立した監督、重大案件の客観的判断 | 情報共有範囲と守秘義務を明確化します。 |
| 監査役・監査等委員・監査委員 | 取締役の職務執行監査、経営幹部関与案件の受け皿、調査監督 | 通報者特定情報を厳格に管理します。 |
| 法務・企業内弁護士 | 法的評価、調査設計、証拠保全、懲戒・訴訟・当局対応 | 利益相反時は外部専門家の活用を検討します。 |
| コンプライアンス担当 | 窓口運営、教育、通報制度管理、是正状況管理 | 通報者保護と調査独立性を担保します。 |
| 内部監査担当 | 通報制度監査、リスク評価、テーマ監査、フォローアップ監査 | 窓口運営主管時は自己監査リスクを管理します。 |
| 会計専門家・会計監査人 | 会計不正、財務報告影響、内部統制上の不備の検討 | 監査独立性と守秘義務を整理します。 |
| 社会保険労務士・労務担当 | 労務、ハラスメント、労働時間、就業規則、懲戒手続支援 | 紛争性が高い案件では役割範囲に配慮します。 |
| デジタルフォレンジック専門家 | 端末、メール、ログ、クラウドデータの保全・解析 | 個人情報、労務プライバシー、証拠保全記録に注意します。 |
| 広報・危機管理 | 公表、記者会見、ステークホルダー対応 | 調査未了段階での断定を避けます。 |
次の判断表は、重大性ごとに初動報告先と監査連動の方法を整理しています。重大性が上がるほど、通常ラインではなく独立ルートと取締役会・監査役等の監督が重要になります。
| 重大性 | 例 | 初動報告先 | 監査との連動 |
|---|---|---|---|
| レベル1 ― 軽微 | 誤解、軽微な規程相談、改善要望 | 窓口主管部門 | 集計・傾向のみ共有します。 |
| レベル2 ― 中程度 | 社内規程違反、労務相談、軽微な不正疑い | コンプライアンス、法務、人事 | 必要に応じてテーマ監査へ反映します。 |
| レベル3 ― 重要 | 複数部署、反復、統制不備、外部影響 | 法務責任者、CCO、内部監査責任者、監査役等 | 調査結果・是正状況を共有しフォローアップ監査へつなげます。 |
| レベル4 ― 重大 | 経営幹部関与、会計不正、重大法令違反 | 監査役等、社外取締役、外部専門家 | 独立調査、特別監査、取締役会報告を検討します。 |
| レベル5 ― 危機 | 当局・刑事・市場開示・社会的被害 | 独立委員会、取締役会、監査役等、危機対策本部 | 第三者調査、開示統制、再発防止監査を組み合わせます。 |
監査役等には、全件の通報本文や通報者情報を共有するのではなく、月次または四半期の件数、分類、傾向、重大案件の概要、調査状況、是正状況、経営幹部関与の有無、報復疑いの有無、未解決案件、制度監査結果を報告する運用が実務的です。
会計不正、労務、情報セキュリティ、グループ会社・海外子会社・委託先で重点が変わります。
内部通報から見えるリスクは、会計、労務、情報、海外、委託先などにまたがります。領域ごとに証拠、専門職、監査観点が異なるため、同じ通報制度でも連動方法を変える必要があります。
次の一覧は、領域別に典型的な通報内容、監査の役割、専門職連携を整理しています。読者は、自社で多い通報領域ほど、事前の連動先と証拠保全方法を決めておく必要があります。
売上前倒し、架空売上、循環取引、費用繰延べ、引当金不足、在庫評価操作、二重帳簿、監査証跡改ざんが問題になります。監査役等、会計監査人、会計専門家、外部専門家との連携が重要です。
人格侵害、職場環境、評価、配置、メンタルヘルス、労働時間、退職勧奨などが対象です。内部監査は個別認定よりも、相談窓口、管理職研修、長時間労働管理、報復防止の仕組みを確認します。
情報漏えい、アクセス権限濫用、営業秘密持ち出し、クラウド設定ミス、委託先管理不備では、ログ保全、端末保全、アクセス停止、本人通知・当局報告の要否判断が初動で重要です。
グループ共通窓口は専門性を集約できますが、親会社が子会社情報をどこまで取得できるか、現地法、個人情報、労働法制、言語、報復リスクに配慮します。
次の比較表は、会計不正通報で特に確認すべき事項を整理しています。財務報告、内部統制報告、適時開示、有価証券報告書、税務申告、金融機関との契約条項に影響し得るため、初動の遅れが大きなリスクになります。
| 典型的な会計不正通報 | 確認すべき連動先 | 監査上の焦点 |
|---|---|---|
| 売上の前倒し計上、架空売上、循環取引 | 経理、内部監査、監査役等、会計監査人、会計専門家 | 売上計上基準、契約確認、出荷証跡、顧客確認、月末処理 |
| 費用の繰延べ、引当金不足、在庫評価操作 | 経理、財務、会計監査人、外部専門家 | 会計処理の妥当性、内部統制上の不備、財務報告影響 |
| 経営者による会計処理への不当な介入 | 監査役等、社外取締役、会計監査人、外部専門家 | 経営者による内部統制の無視、独立調査、取締役会報告 |
労務・ハラスメント通報では、監査との連動を誤ると二次被害や報復につながります。内部監査は、個別のハラスメント認定を主導するよりも、相談窓口、管理職研修、長時間労働モニタリング、評価制度、配置転換、職場単位の再発防止を確認する役割が大きくなります。
情報セキュリティ案件では、アクセス停止、ログ保全、端末保全、パスワード変更、外部接続遮断、委託先確認、本人通知・当局報告の要否判断を迅速に行います。内部通報情報そのものにも、通報者、被通報者、被害者、関係者の個人情報が含まれるため、監査との連動では情報漏えいリスクとして扱います。
通報件数を減らす目標ではなく、信頼、迅速性、是正、再発防止、監査反映を測ります。
KPIは制度改善に役立ちますが、通報件数を減らすことを目標にすると、現場が通報を抑え込む可能性があります。取締役会や監査役等には、過度に詳細な個別情報ではなく、経営監督に必要な集計・傾向・是正情報を報告します。
次の比較表は、監査と内部通報の連動で使いやすいKPIを整理しています。数値は単独で評価せず、制度への信頼、初動の迅速性、是正の完了、再発防止の有効性を組み合わせて読み取ることが重要です。
| KPI | 意味 | 注意点 |
|---|---|---|
| 通報件数 | 制度利用状況 | 多いこと自体を悪としません。 |
| 匿名通報比率 | 信頼度・心理的安全性の指標 | 匿名比率が高すぎる場合は不信感の可能性も見ます。 |
| 受付後初回応答日数 | 通報者への初動対応 | 形式的応答だけで終わらせない運用が必要です。 |
| 調査開始までの日数 | 初動の迅速性 | 重大案件は即時対応を検討します。 |
| 調査完了までの日数 | 処理効率 | 早さだけを追うと事実認定が粗くなります。 |
| 是正措置完了率 | 改善実行状況 | 完了基準を明確にします。 |
| 再発率 | 再発防止策の有効性 | 同種・類似事案を含めて確認します。 |
| 報復・不利益取扱い申立件数 | 通報者保護の状態 | 重大な警戒指標です。 |
| 監査計画反映件数 | 通報情報の活用状況 | 通報者特定につながらない集計が必要です。 |
| 研修受講率・理解度 | 周知・教育の状態 | 役員・管理職向け教育を分けます。 |
次の一覧は、規程・マニュアルに入れるべき条項の要点を示しています。条項を明文化すると、緊急時にも情報共有、独立ルート、フォローアップ監査の判断がぶれにくくなります。
内部通報情報を、通報者保護と秘密保持を確保しつつ、調査、是正措置、再発防止、内部監査、監査役等への報告、内部統制改善へ連動させる目的を定めます。
通報対応、調査、是正、再発防止、監査、法令上必要な報告などの正当な目的に必要な範囲でのみ共有します。
件数、分類、傾向、重大案件概要、是正進捗を通報者特定情報を除いて定期報告し、重大事案は監査役等へ直ちに報告します。
通報対象者が取締役、執行役員、監査対応部門の責任者などの場合、監査役等、社外取締役、外部専門家に報告し、独立した調査体制を構築します。
内部監査部門は、是正措置と再発防止策について必要に応じてフォローアップ監査を行い、結果を経営者、監査役等、取締役会へ報告します。
取締役会・監査役等向けの報告では、通報件数の推移、分野別内訳、重大案件の件数と概要、未解決・長期化案件、是正措置の進捗、報復・不利益取扱いの有無、監査計画への反映状況、制度監査の結果、教育・周知、外部窓口利用状況を扱います。
よくある失敗を避け、中小企業でも実装できる順番で整備します。
監査と内部通報の連動で失敗しやすいのは、通報窓口を設けただけで監査計画へ反映しないこと、全件を内部監査へ丸投げすること、通報者情報を広く共有すること、原因分析をせず個人処分で終えること、経営幹部案件を通常ラインで処理すること、通報件数を減らすことを目標にすること、フォローアップをしないことです。
次の注意事項は、制度を形だけにしないための失敗例を整理しています。どの失敗も通報者保護、独立性、再発防止のどれかを弱めるため、自社制度の点検時に確認することが重要です。
通報を個別処理で終えると、同じ不備が繰り返されます。通報は苦情処理だけでなくリスク情報として扱います。
労務対応、法的評価、懲戒、当局対応が不十分になり、内部監査の独立性も低下します。
通報者探索や報復を招き、制度への信頼が大きく損なわれます。
事実なし、個人の問題、注意済みで終えると、統制不備が残ります。
独立性が保てず、証拠隠滅や調査妨害につながる可能性があります。
沈黙の増加を制度改善と誤認するおそれがあります。
中小企業では人員、予算、専門性が限られますが、経営者との距離が近く、通報者が特定されやすいため、監査と内部通報の連動はむしろ重要です。外部専門家を活用し、最低限のルートと記録を整えることから始めます。
次の一覧は、中小企業で優先して整備する項目です。限られた体制でも、外部窓口、保護規程、独立ルート、記録、年次点検、簡易監査を組み合わせれば、初動の失敗を減らせます。
外部専門家、社労士、外部専門機関を利用し、経営者関与案件を直接上げる代替ルートを用意します。
独立性不利益取扱い禁止、範囲外共有防止、通報者探索防止、記録保管を簡易マニュアルに落とし込みます。
通報者保護通報傾向、未解決案件、是正完了、再発防止、研修、外部窓口の利用状況を確認します。
定期点検会計不正は会計専門家、労務は社労士、税務は税理士、紛争性や当局対応は外部専門家と連携します。
外部連携次の時系列は、監査と内部通報の連動を導入するロードマップです。段階ごとに成果物を決めると、規程だけで終わらず、ケース管理、教育、試行、監査改善まで進めやすくなります。
通報規程、窓口、調査手続、監査計画、監査役等への報告、是正管理、教育、記録保管を確認します。過去3年程度の通報案件を分類します。
法令違反、会計、労務、品質、情報、贈収賄、競争法、環境、安全、経営幹部関与などに分け、重大性ごとの基準を作ります。
通報規程、内部監査規程、監査役会規程、コンプライアンス規程、個人情報管理規程、文書管理規程、懲戒規程を整合させます。
ケースID、ステータス、担当者、期限、証拠、是正措置、監査フォローアップ、報告履歴を管理できる仕組みを整えます。
役員、管理職、従業員、窓口担当者、内部監査担当者、監査役等に分け、通報者探索禁止、報復禁止、相談受付の対応を教育します。
四半期単位で通報傾向レポートを内部監査と監査役等へ共有し、重大案件のエスカレーション訓練を行います。
内部監査または外部専門家が運用状況を確認し、規程、教育、システム、報告様式、KPIを改善します。
次のチェック項目は、制度設計・監査・改善に使う確認観点です。項目ごとに不足を洗い出すことで、通報者保護、受付・調査、監査連動、是正・再発防止、教育、記録・開示を横断的に点検できます。
| 領域 | 主な確認項目 |
|---|---|
| ガバナンス | 取締役会の基本方針承認、監査役等・社外取締役への直接報告ルート、経営幹部関与案件の独立調査手続、運用状況報告、監査結果の経営改善反映 |
| 通報者保護 | 不利益取扱い禁止、範囲外共有防止、通報者探索禁止、アクセス権限限定、報復疑いの検知・調査手続 |
| 受付・調査 | 社内窓口と外部窓口、匿名通報、トリアージ基準、利益相反確認、調査計画、証拠保全、調査記録保管 |
| 監査連動 | 通報傾向のリスク評価反映、重大案件のフォローアップ監査、通報制度監査、監査向け報告様式、自己監査リスク対策 |
| 是正・再発防止 | 責任者、期限、完了基準、根本原因対応、改善策の証跡、有効性確認、同種案件の再発傾向分析 |
| 教育・周知 | 従業員、管理職、役員、窓口担当者、調査担当者への教育と研修効果確認 |
| 記録・開示 | 受付、調査、是正、通知、フォローアップの記録、保管期間、アクセスログ、運用実績概要の適切な開示 |
個別事案の結論ではなく、一般的な制度設計と注意点として整理します。
一般的には、内部監査に必要なのは監査計画や統制評価に必要なリスク情報とされています。全件の通報本文や通報者特定情報を共有すると、範囲外共有や通報者探索につながる可能性があります。具体的な共有範囲は、自社規程、事案の重大性、通報者保護の必要性を踏まえ、専門家へ相談する必要があります。
一般的には、監査役等が重大案件を監督する場面でも、通報者名を知らなくても職務を果たせる場合があります。通報者特定情報を共有する場合は、必要性、相当性、代替手段、本人の意向、記録化を確認する必要があります。
一般的には、人員の限られた会社ではあり得る設計とされています。ただし、自己監査リスクと独立性低下に注意が必要です。通報制度の監査を外部専門家や監査役等が行う、調査担当と監査担当を分ける、重大案件を独立ルートに移すなどの措置を検討します。
一般的には、一概に危険とはいえないとされています。通報件数の増加は、制度が周知され、信頼されている結果である可能性もあります。重大性、傾向、是正状況、再発率、不利益取扱いの有無を組み合わせて評価する必要があります。
一般的には、匿名通報を受け付けることが制度へのアクセスを高めるとされています。匿名通報は調査が難しい場合もありますが、報復を恐れる通報者にとって重要な手段です。匿名でも追加質問できるWebシステムや外部窓口を利用すると、調査可能性が高まります。
一般的には、守秘義務、関係者のプライバシー、懲戒情報の秘匿に配慮しつつ、受付、調査開始、調査状況、対応結果の概要を可能な範囲で伝える運用が望ましいとされています。何も伝えない運用は制度への信頼を損なう可能性があります。
一般的には、財務報告に重要な影響を与える可能性がある場合、会計監査人との連携が必要になることがあります。ただし、通報者特定情報や未確認情報の共有は慎重に行い、監査上必要な情報に限定する必要があります。
一般的には、外部窓口は通報者の安心感を高める一方で、それだけでは十分とはいえないとされています。受付後の調査、是正、再発防止、監査連動、取締役会・監査役等への報告が機能しているかを確認する必要があります。
一般的には、利用できる場合がありますが、グループ規程、個人情報、現地法、通報者保護、子会社の独立性に配慮する必要があります。親会社内部監査へは、匿名化・集計化したリスク情報を中心に共有し、重大案件では法務・監査役等と協議します。
一般的には、通報案件の分類表と重大案件エスカレーション基準を作ることが出発点になります。次に、内部監査へ共有する情報の粒度、監査役等への報告基準、通報者特定情報の管理方法を明文化します。具体的な設計は、自社の規模、機関設計、通報件数、海外拠点や委託先の有無によって変わります。
通報者の安全を守りながら、調査、是正、再発防止、内部統制評価、経営監督へつなげます。
監査と内部通報の連動は、企業不祥事対策の中心論点です。内部通報は、現場から発せられるリスクの警告です。監査は、その警告を組織的に検証し、統制改善へつなげる機能です。両者が切り離されていると、通報は個別苦情処理にとどまり、監査は現場の重要な兆候を見落とします。
一方で、連動は情報共有の拡大ではありません。通報者保護、秘密保持、範囲外共有防止、通報者探索防止、利益相反管理、独立性、証拠保全、記録化を前提にした、統制された接続です。
この結論一覧は、監査と内部通報の連動で最後に確認すべき到達点を整理しています。各項目がつながっているほど、不正の早期発見、組織文化の改善、取締役会の監督機能強化、内部統制の高度化、従業員の信頼回復、取引先・投資家・社会からの信用向上につながります。
通報者特定情報を必要最小限で扱い、報復、不利益取扱い、通報者探索を防ぎます。
利益相反を確認し、証拠を保全し、未確認情報を断定せず、調査記録を残します。
個人処分で終えず、原因分析、是正、再発防止、フォローアップ監査へ進めます。
監査役等、社外取締役、取締役会へ必要な粒度で報告し、重大案件は独立ルートで扱います。
監査と内部通報の連動は、単なるコンプライアンス施策ではありません。企業が自ら問題を見つけ、自ら是正し、自ら信頼を回復するための、企業法務・内部統制・ガバナンスの中核技術です。