2σ Guide

定期的なガバナンス監査
企業法務・内部統制・取締役会実務

法令・コード・国際基準を踏まえ、監査範囲、年次計画、証跡、報告、改善フォローまでを横断的に整理します。

5要素周期性・対象・証拠性・独立性・改善
7軸良いガバナンスの判断軸
3線経営・管理機能・内部監査
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

定期的なガバナンス監査 企業法務・内部統制・取締役会実務

法令・コード・国際基準を踏まえ、監査範囲、年次計画、証跡、報告、改善フォローまでを横断的に整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
定期的なガバナンス監査 企業法務・内部統制・取締役会実務
法令・コード・国際基準を踏まえ、監査範囲、年次計画、証跡、報告、改善フォローまでを横断的に整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 定期的なガバナンス監査 企業法務・内部統制・取締役会実務
  • 法令・コード・国際基準を踏まえ、監査範囲、年次計画、証跡、報告、改善フォローまでを横断的に整理します。

POINT 1

  • 定期的なガバナンス監査の全体像
  • まず、制度の意味と監査が見るべき範囲を整理します。
  • 対象の広さ
  • 独立性と客観性
  • 改善志向

POINT 2

  • なぜ今、定期的なガバナンス監査が必要なのか
  • 形式整備から実質化へ進む中で、守りと攻めの両面を検証します。
  • 日本のコーポレートガバナンス改革は、制度を置く段階から、実際に機能しているかを問う段階へ進んでいます。
  • 取締役や監査役等の説明責任という点でも、定期的なガバナンス監査は重要です。

POINT 3

  • 定期的なガバナンス監査と法令・コード・国際基準
  • 会社法、金融商品取引法、内部監査基準、国際的枠組みを監査基準へ落とし込みます。
  • 主体ごとの役割を分けておくと、自己点検、モニタリング、独立的な検証、統治機関による監督の位置づけを読み取りやすくなります。
  • これらはすべてを形式的に導入するためではなく、監査基準の抜け漏れを減らすために使います。

POINT 4

  • 定期的なガバナンス監査と他の監査・評価の違い
  • 会計監査、J-SOX、内部監査、取締役会実効性評価、不祥事調査との境界を確認します。
  • 会計監査は主に財務諸表の適正表示について意見を表明する制度です。
  • 制度名が似ていても対象範囲と報告先が異なるため、自社の監査計画ではどこを統合し、どこを分けるかを読み取ることが重要です。
  • 内部監査部門だけで完結しない点にも注意が必要です。

POINT 5

  • 定期的なガバナンス監査の対象領域
  • 取締役会・委員会・監査機関
  • 権限・意思決定・稟議
  • 職務権限規程、決裁規程、重要契約、投資、M&A、資金調達、保証、例外承認、電子承認経路のログを確認します。

POINT 6

  • 定期的なガバナンス監査の基準と七つの判断軸
  • 適法性
  • 実効性
  • 透明性
  • 独立性
  • 説明責任
  • 適時性
  • 改善性
  • 複数の基準層を組み合わせ、文書と実態の差を見ます。

POINT 7

  • 定期的なガバナンス監査の年次計画と監査頻度
  • 1. 前年度結果の総括:未了是正の確認、リスク再評価、年次総括、残課題一覧を整理します。
  • 2. 株主総会後の体制更新:取締役会・委員会構成、ガバナンス体制図、役員スキル・独立性を確認します。
  • 3. 年間監査計画の策定:監査役等・取締役会へ報告し、年間監査計画と監査ユニバースを確定します。
  • 4. 重点監査1:取締役会、子会社、コンプライアンス、内部通報などを確認し、監査調書と中間報告を作ります。
  • 5. 重点監査2:開示統制、J-SOX、サステナビリティ、情報セキュリティを確認し、発見事項と改善提案をまとめます。
  • 6. 是正状況の確認:次年度計画へ反映し、最終報告書と是正管理表を監査委員会等へ報告します。

POINT 8

  • 定期的なガバナンス監査の実施手順
  • 1. 1. 監査目的と範囲を定めます:対象領域、監査基準、報告先、法務関与、外部専門家の要否を決めます。
  • 2. 2. 資料を依頼します:議事録、規程、台帳、ログ、教育履歴、通報記録、是正管理表などを集めます。
  • 3. 3. ヒアリングと証跡照合を行います:文書から見えない実態を確認し、ヒアリングだけで結論を出さないようにします。
  • 4. 4. サンプルテストで例外を確認します:閾値に近い案件、事後承認、分割発注、特定取引先集中、関連当事者案件を抽出します。
  • 5. 取締役会・監査役等へ早期報告します:即時対応、保全、専門家関与、当局・開示対応の要否を検討します。
  • 6. 是正計画へ落とし込みます:責任部署、期限、証跡、再確認方法を管理します。

まとめ

  • 定期的なガバナンス監査 企業法務・内部統制・取締役会実務
  • 定期的なガバナンス監査の全体像:まず、制度の意味と監査が見るべき範囲を整理します。
  • なぜ今、定期的なガバナンス監査が必要なのか:形式整備から実質化へ進む中で、守りと攻めの両面を検証します。
  • 定期的なガバナンス監査と法令・コード・国際基準:会社法、金融商品取引法、内部監査基準、国際的枠組みを監査基準へ落とし込みます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

定期的なガバナンス監査の全体像

まず、制度の意味と監査が見るべき範囲を整理します。

定期的なガバナンス監査とは、会社の意思決定、監督、内部統制、コンプライアンス、リスク管理、情報開示、グループ管理、取締役会・監査機関の運用が、法令、上場規則、社内規程、国際的な実務基準、投資家・取引先・従業員などの合理的期待に照らして実効的に機能しているかを、一定の周期で検証する活動です。

この監査は、社内規程の有無だけを見る点検ではありません。重要リスクが経営に届いているか、社外取締役が監督に必要な情報を得ているか、内部監査の指摘が是正されているか、子会社・海外拠点・委託先まで統制が届いているか、開示内容が経営実態と整合しているかを確認します。

このページでは、企業法務、内部監査、会計、労務、知財、情報セキュリティ、取締役会事務局、監査役等の実務を横断して整理します。個別の制度設計や判断は、会社の機関設計、上場区分、業種規制、海外拠点、係争・当局対応の有無によって変わるため、必要に応じて弁護士、公認会計士、税理士、社会保険労務士、弁理士その他の専門家に確認することが重要です。

次の一覧は、定期的なガバナンス監査を構成する基本要素を示しています。対象範囲を早い段階で共通理解にしておくと、単なる不備探しではなく、証拠に基づく改善活動として設計しやすくなります。

POINT 1

周期性

年次、半期、四半期、月次、またはリスクに応じた頻度で反復して確認します。

POINT 2

対象の広さ

会計、法務、労務、情報セキュリティ、個人情報、競争法、贈収賄防止、開示、子会社管理、取締役会運営まで横断します。

POINT 3

証拠性

議事録、稟議記録、契約台帳、通報記録、是正管理表、アクセスログ、教育履歴、内部監査調書などに基づいて検証します。

POINT 4

独立性と客観性

自己点検だけに寄せず、内部監査、監査役等、外部専門家、独立した法務・コンプライアンス機能を組み合わせます。

POINT 5

改善志向

発見事項をリスク評価し、是正計画、責任者、期限、再発防止、フォローアップまで管理します。

注意「定期的なガバナンス監査」は、会社法や金融商品取引法の単一の法定監査名称ではありません。監査役監査、会計監査、内部統制報告制度、内部監査、取締役会実効性評価、コンプライアンス監査、第三者評価などを、経営目的に沿って統合する実務概念として設計します。
Section 01

なぜ今、定期的なガバナンス監査が必要なのか

形式整備から実質化へ進む中で、守りと攻めの両面を検証します。

日本のコーポレートガバナンス改革は、制度を置く段階から、実際に機能しているかを問う段階へ進んでいます。社外取締役を選任した、指名・報酬委員会を置いた、スキル・マトリックスを開示したという形式だけでは、重要リスクの把握や合理的なリスクテイクを支える仕組みとしては足りません。

次の比較表は、同じ監査テーマを「守り」と「攻め」の両面から見たものです。左列は重大不祥事や違法行為を防ぐ観点、右列は企業価値向上に向けた意思決定の質を高める観点を示しており、定期的なガバナンス監査では両方を同時に読むことが重要です。

監査の問い守りの観点攻めの観点
取締役会は重要リスクを把握していますか重大不祥事・違法行為の予防成長投資に伴うリスクテイクの合理性
指名・報酬プロセスは機能していますか恣意的選任・利益相反の防止CEO後継者計画、経営陣の質向上
内部通報制度は機能していますか不正の早期発見心理的安全性と組織学習
グループ会社管理は十分ですか子会社不祥事の防止グループ全体の資源配分と統制効率
開示統制は十分ですか虚偽記載・不適切開示の防止投資家との建設的対話

取締役や監査役等の説明責任という点でも、定期的なガバナンス監査は重要です。重要なリスクを検知し、報告し、審議し、対応し、再発防止した記録を残すことで、経営判断の合理性と監督の実効性を説明しやすくなります。

上場会社では、コーポレートガバナンス・コード、適時開示、内部統制報告制度、会計監査、投資家との対話、サステナビリティ開示への対応が重なります。IPO準備企業では、内部管理体制、関連当事者取引、反社会的勢力排除、取締役会運営、規程整備、内部監査、J-SOX準備が重視されます。

非上場企業や中小企業でも、金融機関、主要取引先、M&Aの相手方、海外親会社、公共調達、個人情報取扱い、サイバーセキュリティ要求などを通じて、実質的なガバナンス監査が必要になる場面が増えています。

Section 02

定期的なガバナンス監査と法令・コード・国際基準

会社法、金融商品取引法、内部監査基準、国際的枠組みを監査基準へ落とし込みます。

定期的なガバナンス監査の出発点は、取締役・取締役会による業務執行と監督、監査役等による監査、会計監査人監査、内部統制システムの整備・運用です。取締役会・監査役会・監査等委員会・監査委員会の開催、議題、議事録、資料、決議・報告事項、業務執行権限、利益相反取引、関連当事者取引、子会社報告体制などが確認対象になります。

コーポレートガバナンス・コードでは、株主の権利・平等性、ステークホルダーとの協働、情報開示と透明性、取締役会の責務、株主との対話が体系的に示されています。監査では、コード対応表の棚卸しだけでなく、「実施」と記載した内容が実態と一致するか、説明が自社事情を具体的に示すか、取締役会実効性評価の結果が翌年度の改善に反映されるかを確認します。

次の比較表は、内部監査の三線モデルをガバナンス監査に当てはめたものです。主体ごとの役割を分けておくと、自己点検、モニタリング、独立的な検証、統治機関による監督の位置づけを読み取りやすくなります。

機能主体ガバナンス監査での役割
統治機関取締役会、監査役会、監査等委員会、監査委員会監査方針の承認、重要リスクの監督、是正状況の確認
第1線事業部門、子会社、現場管理者リスクの所有、統制の実施、自己点検
第2線法務、コンプライアンス、リスク管理、情報セキュリティ、品質保証、人事労務、経理財務方針策定、モニタリング、助言、研修、規程整備
第3線内部監査独立的な保証、監査報告、改善フォロー
外部専門家弁護士、公認会計士、税理士、社労士、弁理士、フォレンジック専門家高リスク領域の専門評価、第三者性の補完

金融商品取引法上の内部統制報告制度は財務報告の信頼性を中心に扱いますが、定期的なガバナンス監査では、決裁権限、IT全般統制、子会社管理、開示統制、会計方針、業績予想、会計監査人とのコミュニケーション、内部監査計画と結びつけて確認します。

COSO、ERM、OECD/G20コーポレートガバナンス原則、ISO 31000、ISO 37301、ISO 37001、NIST Cybersecurity Framework 2.0、国内のサイバーセキュリティ経営ガイドラインなども、会社の規模やリスクに応じて参照します。これらはすべてを形式的に導入するためではなく、監査基準の抜け漏れを減らすために使います。

Section 03

定期的なガバナンス監査と他の監査・評価の違い

会計監査、J-SOX、内部監査、取締役会実効性評価、不祥事調査との境界を確認します。

会計監査は主に財務諸表の適正表示について意見を表明する制度です。定期的なガバナンス監査は、財務諸表だけでなく、意思決定、監督、コンプライアンス、リスク管理、内部通報、子会社管理、開示体制、情報セキュリティまで含みます。

次の比較表は、各制度の目的と定期的なガバナンス監査との接点を示しています。制度名が似ていても対象範囲と報告先が異なるため、自社の監査計画ではどこを統合し、どこを分けるかを読み取ることが重要です。

制度・評価主な対象ガバナンス監査との関係
会計監査財務諸表の適正表示不正会計、減損、収益認識、関連当事者取引などを通じて統制の質と結びつきます。
J-SOX財務報告に係る内部統制開示統制、IT統制、子会社管理、会計方針、内部監査計画と連動させます。
内部監査業務、会計、システム、コンプライアンスなど実施主体になることが多く、監査技法、証跡管理、報告書、是正フォローを担います。
取締役会実効性評価議題、資料、議論、社外取締役支援、委員会連携評価結果が現場統制、リスク報告、翌年度の議題設計へ反映されるかまで確認します。
不祥事調査・第三者委員会問題発生後の原因究明、責任判断、再発防止過去事例を教材にし、同種リスクを予防監査の項目に落とし込みます。

内部監査部門だけで完結しない点にも注意が必要です。監査役等、法務部門、コンプライアンス部門、外部弁護士、公認会計士、情報セキュリティ専門家が共同で見ることで、部門横断のリスクを把握しやすくなります。

不祥事調査と定期的なガバナンス監査の違いは、タイミングです。不祥事調査は問題発生後に原因究明と再発防止を行いますが、定期的なガバナンス監査は問題発生前からリスクを発見し、是正する予防的な活動です。

Section 04

定期的なガバナンス監査の対象領域

監査ユニバースを作り、重大領域の抜け落ちを防ぎます。

定期的なガバナンス監査では、対象領域の全体像を監査ユニバースとして整理します。毎年思いつきで監査テーマを選ぶと、サイバー、AI、海外贈収賄、サステナビリティ、人的資本、競争法など、新しいリスクが抜け落ちやすくなります。

次の一覧は、ガバナンス監査ユニバースに含める代表的な領域です。会社ごとに重要性は異なりますが、取締役会、法務、内部監査、情報セキュリティ、労務、開示、子会社管理を横断して眺めることで、どの領域を重点監査にするかを読み取りやすくなります。

取締役会・委員会・監査機関

議題設定、年間スケジュール、重要議案の審議時間、社外取締役への情報提供、指名・報酬委員会、CEO後継者計画、監査役等との連携を確認します。

権限・意思決定・稟議

職務権限規程、決裁規程、重要契約、投資、M&A、資金調達、保証、例外承認、電子承認経路のログを確認します。

法令遵守・コンプライアンス

行動規範、内部通報、贈収賄防止、独禁法、下請法、反社会的勢力排除、AML/CFT、輸出管理、ハラスメント、労働時間を確認します。

内部統制・財務報告・開示

J-SOX、IT全般統制、決算・開示プロセス、重要な会計見積り、有価証券報告書、事業報告、統合報告書の整合性を確認します。

グループ・子会社・海外拠点

子会社役員、親会社承認事項、海外拠点往査、現地法令、グループ内部通報、上場子会社の少数株主保護を確認します。

個人情報・データ・サイバー

個人情報台帳、委託先管理、漏えい等対応、脆弱性管理、バックアップ、クラウド、生成AI利用、サプライチェーンリスクを確認します。

知財・研究開発・AI・データ契約

特許、商標、著作権、営業秘密、共同研究、ライセンス、OSS利用、AI学習データ、職務発明、模倣品対応を確認します。

サステナビリティ・人的資本

非財務情報が取締役会、リスク管理、データ収集、開示承認と結びついているかを確認します。

グループガバナンスでは、子会社からの「問題なし」という報告だけに依存しないことが大切です。現地規程、会計、労務、贈収賄、税務、情報管理は本社から見えにくいため、現地専門家、子会社内部監査、データ分析を組み合わせて確認します。

個人情報・サイバー領域では、法務、情報システム、広報、営業、顧客対応、当局報告、保険、取締役会報告が同時に関わります。技術対策だけでなく、経営報告と証跡の品質まで確認することが重要です。

Section 05

定期的なガバナンス監査の基準と七つの判断軸

複数の基準層を組み合わせ、文書と実態の差を見ます。

定期的なガバナンス監査では、単一の基準だけでは不十分です。会社法、金融商品取引法、労働法、個人情報保護法、独禁法、業法、上場規則、コーポレートガバナンス・コード、社内規程、国際基準、取引先要求、投資家期待が重なります。

次の比較表は、監査基準を層に分けて整理したものです。どの層の基準に照らして不備と見るのかを事前に明確にすると、報告書の結論や是正優先度を読み取りやすくなります。

基準層内容
法令基準強制法規、罰則、行政処分、民事責任会社法、金商法、個人情報保護法、労働法、独禁法
上場・開示基準上場規則、適時開示、コード対応コーポレートガバナンス・コード、CG報告書
内部規程基準会社が自ら定めたルール取締役会規程、稟議規程、通報規程、情報管理規程
専門基準監査・内部統制・リスク管理の専門基準IIA、COSO、ISO 31000、ISO 37301
契約基準取引先、金融機関、親会社との約束セキュリティ要求、監査権、贈収賄防止条項
戦略基準経営計画、リスクアペタイト、企業理念中期経営計画、サステナビリティ方針

次の一覧は、良いガバナンスを判断する七つの軸です。法令違反の有無だけでなく、制度が使われているか、説明責任を果たせるか、改善が続くかを読み取ることで、文書上の整備と実態の差を見つけやすくなります。

AXIS 1

適法性

法令、規則、契約、社内規程に違反していないかを確認します。

AXIS 2

実効性

制度が存在するだけでなく、現場で実際に使われているかを確認します。

AXIS 3

透明性

重要な意思決定の根拠、議論、反対意見、承認過程が記録されているかを確認します。

AXIS 4

独立性

監督、監査、通報、調査が対象部門から不当に影響されていないかを確認します。

AXIS 5

説明責任

社内外のステークホルダーに合理的説明ができるかを確認します。

AXIS 6

適時性

リスク情報が遅滞なく上がり、是正が期限内に進むかを確認します。

AXIS 7

改善性

監査結果、通報、事故、外部環境変化を踏まえて制度が更新されるかを確認します。

重要ガバナンス不全は、文書上は整っているが実態が違う形で現れやすいです。分割発注、事後承認、通報者探索、古い委託先一覧など、文書監査だけでは見えにくい差を、サンプルテスト、ヒアリング、データ分析、現場観察で確認します。
Section 06

定期的なガバナンス監査の年次計画と監査頻度

重要度と変化度に応じて、年次監査と四半期モニタリングを組み合わせます。

すべての領域を毎年同じ深さで監査する必要はありません。重要度、変化度、過去不備、外部環境、規制動向、経営戦略との関係を踏まえて、頻度と深さを決めます。

次の比較表は、リスク区分ごとの監査頻度を示しています。右列の頻度は目安であり、会社の業種、上場区分、海外展開、直近の不祥事や当局対応の有無に応じて調整することが重要です。

リスク区分推奨頻度
極高不正会計、贈収賄、個人情報大量漏えい、重大サイバー、上場開示、金融規制年1回以上、必要に応じ四半期モニタリング
取締役会運営、関連当事者取引、子会社管理、内部通報、独禁法、労務年1回または2年に1回
規程管理、教育研修、契約管理、知財管理、委託先管理2〜3年に1回、自己点検を併用
形式的・安定的な事務領域3年周期またはテーマ監査時に確認
イベント駆動M&A、IPO、組織再編、海外進出、重大事故、経営陣交代発生時に臨時監査

次の時系列は、3月決算会社を想定した年次監査の流れです。各時期の成果物を明確にしておくと、監査が単発の確認で終わらず、翌年度計画と是正管理へつながることを読み取れます。

4〜5月

前年度結果の総括

未了是正の確認、リスク再評価、年次総括、残課題一覧を整理します。

6月

株主総会後の体制更新

取締役会・委員会構成、ガバナンス体制図、役員スキル・独立性を確認します。

7〜8月

年間監査計画の策定

監査役等・取締役会へ報告し、年間監査計画と監査ユニバースを確定します。

9〜11月

重点監査1

取締役会、子会社、コンプライアンス、内部通報などを確認し、監査調書と中間報告を作ります。

12〜1月

重点監査2

開示統制、J-SOX、サステナビリティ、情報セキュリティを確認し、発見事項と改善提案をまとめます。

2〜3月

是正状況の確認

次年度計画へ反映し、最終報告書と是正管理表を監査委員会等へ報告します。

四半期モニタリングは、内部通報件数、重要訴訟、当局照会、情報セキュリティインシデント、関連当事者取引、子会社からの重大報告、重要な会計見積り、監査指摘の期限超過などに適しています。

Section 07

定期的なガバナンス監査の実施手順

計画、資料依頼、ヒアリング、サンプルテスト、評価、報告、フォローアップをつなげます。

監査計画では、目的、対象、基準、範囲、期間、担当者、必要資料、ヒアリング対象、サンプル数、報告先、秘匿性、法務関与、外部専門家利用の要否を明確にします。「ガバナンス体制を確認する」という広い目的ではなく、取締役会に上程すべき重要投資案件、内部通報制度、海外子会社の贈収賄リスク、サステナビリティ開示データなど、検証対象を具体化します。

次の判断の流れは、定期的なガバナンス監査の実施順序を示しています。上から下へ進むほど、計画段階の仮説が証跡と評価に変わり、最後に是正の確認へつながることを読み取れます。

監査実施の基本手順

1. 監査目的と範囲を定めます

対象領域、監査基準、報告先、法務関与、外部専門家の要否を決めます。

2. 資料を依頼します

議事録、規程、台帳、ログ、教育履歴、通報記録、是正管理表などを集めます。

3. ヒアリングと証跡照合を行います

文書から見えない実態を確認し、ヒアリングだけで結論を出さないようにします。

4. サンプルテストで例外を確認します

閾値に近い案件、事後承認、分割発注、特定取引先集中、関連当事者案件を抽出します。

重大性が高い
取締役会・監査役等へ早期報告します

即時対応、保全、専門家関与、当局・開示対応の要否を検討します。

限定的な不備
是正計画へ落とし込みます

責任部署、期限、証跡、再確認方法を管理します。

資料依頼の品質は監査結果を大きく左右します。次の比較表は、主要領域ごとに依頼すべき資料を示しており、どの証跡で実態を確認するかを読み取るために使います。

領域主な資料
取締役会議事録、議案資料、年間スケジュール、付議基準、事前説明資料、実効性評価結果
委員会指名・報酬委員会規程、議事録、候補者評価資料、報酬方針、KPI
監査役等監査計画、往査記録、会計監査人との会合記録、内部監査との連携記録
内部監査年間監査計画、監査調書、発見事項、是正管理表、品質評価
コンプライアンス行動規範、研修資料、受講履歴、通報台帳、調査記録、懲戒記録
法務契約台帳、訴訟台帳、重要契約、関連当事者取引一覧、法令改正管理表
経理財務J-SOX文書、決算チェックリスト、開示委員会資料、会計監査人指摘事項
情報管理アクセス権限一覧、ログ、委託先一覧、脆弱性対応記録、インシデント報告
人事労務就業規則、労働時間データ、ハラスメント相談記録、懲戒手続、労使協定
子会社子会社規程、親会社承認案件、月次報告、内部監査報告、現地法令対応資料

発見事項は、重大性と発生可能性で評価します。次の比較表は格付けと対応期限を示しており、報告の恣意性を避け、経営がどの順番で対応すべきかを読み取るために使います。

格付け意味対応期限
Critical重大な法令違反、虚偽開示、重大損害、経営責任に直結未承認の関連当事者取引、重大不正会計、通報者報復即時、取締役会・監査役等へ報告
High重大リスクが顕在化し得る統制不備子会社重大リスク未報告、アクセス権限の広範な不備1〜3か月
Medium重要だが限定的な不備規程と実務の不一致、研修未受講、議事録記載不足3〜6か月
Low改善余地文書更新遅れ、軽微な証跡不足6〜12か月
Observationベストプラクティスとの差外部評価導入余地、データ分析高度化次年度計画に反映

報告書は、監査目的、対象範囲、適用基準、監査手続、総合評価、主要発見事項、根本原因、推奨改善策、経営者回答、是正計画、フォローアップ方法、監査上の制約、添付資料を含めます。是正管理表には、指摘番号、格付け、指摘内容、根本原因、是正策、責任者、期限、進捗、証跡、検証結果、期限超過時の報告先を残します。

Section 08

定期的なガバナンス監査の典型論点

取締役会、内部通報、独禁法、贈収賄、プライバシー、労務、開示を横断して確認します。

典型論点の監査では、議事録の有無や規程の存在だけではなく、実際の審議、承認、調査、教育、是正、経営報告の質を確認します。次の一覧は、領域ごとの重要な監査ポイントを並べたもので、どの部署と証跡を見ればよいかを読み取るために使います。

01

取締役会運営

重要議案の上程、選択肢、リスク、反対意見、財務影響、法務・税務・労務・知財・サイバー影響、事後レビュー、実効性評価の改善反映を確認します。

取締役会
02

指名・報酬・後継者計画

委員会の独立性、CEO評価、報酬KPI、候補者育成、緊急時継承、報酬決定プロセス、クローバック・マルス条項の検討を確認します。

利益相反
03

内部通報・不祥事調査

社内外窓口、匿名通報、通報者特定情報のアクセス制限、調査担当者の利益相反、役員関与案件の報告ルート、報復モニタリングを確認します。

通報保護
04

独占禁止法・競争法

競合接触ルール、業界団体参加、価格情報管理、入札、価格改定、販売店政策、リベート、共同研究、AI利用の競争法リスク評価を確認します。

競争法
05

贈収賄・接待贈答・第三者管理

接待贈答、寄附、スポンサー、政治献金、代理店・仲介者のデューデリジェンス、成功報酬、現金支払、買収先・JV先の統合を確認します。

贈収賄
06

個人情報・プライバシー

利用目的、取得方法、第三者提供、委託先、越境移転、漏えい等対応、Cookie、広告ID、外部送信規律、生成AI入力ルールを確認します。

データ
07

サイバーセキュリティ

経営報告、重要システム・データの棚卸し、バックアップ、復旧訓練、ランサムウェア対応、法務・広報・顧客対応の連携を確認します。

サイバー
08

労務・人的資本

労働時間データ、管理監督者、裁量労働、固定残業、ハラスメント相談、懲戒、人的資本開示データ、役職者教育を確認します。

労務
09

関連当事者取引・利益相反

役員・主要株主・親族・関連会社の範囲、取引条件の合理性、相見積り、第三者価格、取締役会承認、特別利害関係人の除外を確認します。

利益相反
10

サステナビリティ開示

重要課題の取締役会審議、ガバナンス、戦略、リスク管理、指標・目標、データ源、承認者、統合報告書と有価証券報告書の整合性を確認します。

非財務

これらの論点は独立しているように見えても、実務では重なります。例えば、個人情報漏えいは、情報セキュリティだけでなく、法務、広報、営業、顧客対応、当局報告、保険、取締役会報告まで関わるため、部門横断で検証することが重要です。

Section 09

定期的なガバナンス監査の役割分担

統治機関、内部監査、法務、外部専門家の責任範囲を明確にします。

定期的なガバナンス監査は、特定部署だけの仕事ではありません。取締役会が重要リスクと是正方針を監督し、監査役等が取締役の職務執行を監査し、内部監査部門が独立的な検証を担い、法務・コンプライアンス・会計・労務・知財・情報セキュリティが専門領域を支えます。

次の一覧は、主体ごとの役割を整理したものです。誰が実施し、誰が監督し、誰が専門判断を補完するのかを明確にすることで、監査指摘が部署間で止まらず、経営課題として扱われることを読み取れます。

BOARD

取締役会

年間監査方針の承認または確認、重大指摘の審議、経営陣の是正責任、取締役会運営の改善、株主・投資家への説明方針を担います。

AUDIT BODY

監査役・監査等委員・監査委員

監査計画への意見、重要会議への出席、重要書類の閲覧、内部統制システムの監査、内部監査・会計監査人との連携を担います。

INTERNAL AUDIT

内部監査部門

監査技法、証跡管理、サンプリング、報告書作成、是正フォローを担い、監査委員会等へ直接報告できる体制が望まれます。

LEGAL

法務部門・企業内弁護士

法令、契約、係争、当局対応、取締役責任、情報秘匿の観点から、監査基準の設計と高リスク事項の評価を担います。

EXTERNAL

外部専門家

役員関与、不祥事、競争法、贈収賄、個人情報漏えい、労務紛争、M&A、開示問題などで独立性と専門性を補完します。

SPECIALISTS

会計・税務・労務・知財・情報セキュリティ

J-SOX、税務、就業規則、営業秘密、フォレンジック、ログ解析、証拠保全など、個別領域の評価を支えます。

外部専門家の利用は、高リスク領域ほど検討されます。役員関与、不祥事、当局対応、独禁法、贈収賄、個人情報漏えい、労務紛争、M&A、株主対応、開示問題では、独立性、専門性、秘匿性、当局・訴訟対応の観点から関与範囲を明確にしておくことが重要です。

Section 10

中小企業・非上場企業・IPO準備企業での定期的なガバナンス監査

会社規模に合わせて、最低限の統制と上場準備の重点項目を分けます。

中小企業では、大企業と同じ制度をそのまま導入する必要はありません。重要なのは、会社規模に応じて、最低限の統制を実効的に回すことです。取締役・株主・親族会社間の取引管理、契約書・印章・電子契約の管理、経理・支払・入金・在庫の職務分掌、労務、個人情報、主要取引先契約、反社会的勢力排除、サイバーセキュリティの基本対策を優先します。

次の一覧は、会社の状況別に重点を置く監査項目を示しています。同じ定期的なガバナンス監査でも、読み取るべきリスクは、上場会社、IPO準備企業、オーナー企業、中小企業で変わります。

中小企業

契約、経理、労務、情報管理、関連当事者取引、権限管理、反社会的勢力排除、基本的なサイバー対策を優先します。

IPO準備企業

取締役会・監査役会の運営、規程整備と運用証跡、内部監査の独立性、関連当事者取引、予算統制、月次決算、J-SOX準備、反社チェック、重要契約、知財、個人情報、子会社統制を重点化します。

オーナー企業・同族企業

権限集中、関連当事者取引、後継者問題、少数株主対応、役員報酬、会社資産と個人資産の混同について、透明性、記録、利益相反管理、税務・会社法上の説明可能性を確保します。

M&A・事業承継局面

買収前調査、表明保証、PMI、親族外承継、従業員承継、子会社統制、知財・契約・労務・税務リスクを重点的に確認します。

よくある失敗として、監査テーマが毎年同じになること、規程整備で満足すること、経営陣に不都合な情報が上がらないこと、指摘後のフォローが弱いこと、子会社・海外拠点を信頼しすぎること、社外取締役に資料が届くのが遅いこと、法務・内部監査・会計・ITが分断されることが挙げられます。

予防策としては、年次リスク評価で監査ユニバースを更新し、研修・承認・例外処理・違反時対応・更新履歴・利用ログ・現場理解を確認し、エスカレーション基準と監査役等・社外取締役への報告ルートを整備します。是正管理表では、責任者、期限、証跡、期限超過時の報告先を必須にします。

Section 11

定期的なガバナンス監査の実務チェックリスト

初期診断では、証跡と確認事項をセットで見ることが重要です。

実務チェックリストは、会社の規模、業種、上場区分、海外展開、規制環境に合わせて修正して使います。次の比較表は、初期診断で特に使いやすい領域をまとめたもので、確認事項と主な証跡をセットで読むことで、監査調書へ落とし込みやすくなります。

領域項目確認事項主な証跡
取締役会・委員会付議基準重要案件が取締役会へ上程される基準が明確ですか取締役会規程、職務権限規程
取締役会・委員会議題設定戦略、リスク、人材、資本政策、サステナビリティが議論されていますか年間議題表、議事録
取締役会・委員会社外役員支援社外取締役・社外監査役への情報提供が十分ですか事前説明資料、質問回答記録
内部統制・内部監査年間計画リスクベースで監査計画が作られていますか内部監査計画
内部統制・内部監査独立性内部監査が被監査部門から独立していますか組織図、報告ライン
内部統制・内部監査指摘管理是正期限と責任者が明確ですか是正管理表
コンプライアンス・通報内部通報通報者保護、匿名性、調査独立性がありますか通報規程、通報台帳
コンプライアンス・通報調査調査手順と証拠保全が明確ですか調査手順書、調査記録
グループ管理親会社承認事項子会社の重要案件が本社承認対象ですかグループ規程
グループ管理子会社監査重要子会社への監査がありますか往査報告書
データ・サイバーデータ台帳個人情報・機密情報の所在が分かりますかデータマップ、台帳
データ・サイバーAI利用入力禁止情報、利用承認、ログ管理がありますかAI利用規程、教育記録

次の重要ポイントは、チェックリストを使うときの読み方です。確認事項に「はい」と答えられても、証跡が古い、運用が例外だらけ、責任者が不明、期限超過時の報告先がない場合は、実効性に課題が残る可能性があります。

チェックリストは証跡と運用実態をセットで確認します

項目を埋めること自体が目的ではありません。取締役会や監査役等が後から説明できるように、誰が、いつ、何を根拠に判断し、どのリスクを認識し、どの対応を選択したかが分かる記録を残すことが重要です。

Section 12

定期的なガバナンス監査のFAQ

個別事情で結論が変わるため、一般的な制度説明として整理します。

Q1. 定期的なガバナンス監査は上場会社だけに必要ですか。

一般的には、上場会社では必要性が高いとされています。ただし、非上場会社でも、M&A、事業承継、金融機関対応、主要取引先からの要請、個人情報・サイバーリスク、労務問題、海外取引、IPO準備がある場合には有用となる可能性があります。具体的な範囲や頻度は、会社規模、業種、取引先要求、リスク状況に応じて専門家へ相談する必要があります。

Q2. 監査役監査があれば、定期的なガバナンス監査は不要ですか。

一般的には、監査役監査は会社法上重要な制度ですが、内部監査、J-SOX、コンプライアンス監査、サイバー監査、個人情報監査、子会社監査、取締役会実効性評価とは目的・範囲・方法が異なるとされています。具体的には、監査役等が他の監査結果をどのように活用し、どの領域を追加確認するかを会社の機関設計に応じて検討する必要があります。

Q3. 外部弁護士へ依頼する必要がありますか。

一般的には、役員関与、不祥事、当局対応、独禁法、贈収賄、個人情報漏えい、労務紛争、M&A、株主対応、開示問題などでは、外部弁護士の独立性・専門性が重要となる可能性があります。ただし、通常の年次点検をどこまで内部で行うか、どの部分を外部専門家に確認するかは、リスクの大きさ、秘匿性、証拠関係、社内体制によって変わります。

Q4. 監査結果は取締役会に報告する必要がありますか。

一般的には、重大指摘事項、全社的リスク、取締役会運営に関わる事項、開示・法令違反・役員責任に関わる事項は、取締役会または監査役等への報告対象になり得ます。ただし、軽微な運用不備までどの粒度で取締役会に上げるかは、会社の規程、機関設計、リスクの程度によって変わります。

Q5. どの程度の証跡を残す必要がありますか。

一般的には、後から第三者が見ても、誰が、いつ、何を根拠に判断し、どのリスクを認識し、どの対応を選択したかが分かる程度の証跡が重要とされています。取締役会、関連当事者取引、内部通報、不祥事調査、個人情報漏えい、サイバー事故、重要契約、M&A、開示判断では、記録の品質が特に問題になりやすいです。

Q6. 最初の一歩は何ですか。

一般的には、監査ユニバースを作成し、自社のガバナンス領域を一覧化することが出発点とされています。そのうえで、法令上の重要性、金額的重要性、発生可能性、過去不備、外部環境変化、経営戦略との関係でリスク評価を行い、1年目の重点領域を決める方法が考えられます。

Section 13

定期的なガバナンス監査を経営インフラにする

兆候を早期に見つけ、是正し、再監査する仕組みが企業価値を守ります。

定期的なガバナンス監査は、企業法務、内部監査、コンプライアンス、会計、税務、労務、知財、情報セキュリティ、経営企画、取締役会事務局、監査役等を横断する実務です。単なるチェックリスト消化ではなく、会社の意思決定と監督の品質を高めるための制度として位置づけることが重要です。

企業不祥事の多くは、突然発生するのではありません。通報の放置、例外承認の常態化、子会社報告の形骸化、取締役会資料の不足、内部監査指摘の未了、関連当事者取引の曖昧さ、情報セキュリティの過小評価、労務相談の軽視、会計上の見積りへの過度な楽観といった兆候として現れます。

次の重要ポイントは、定期的なガバナンス監査の最終的な価値を示しています。監査を守りのコストだけで捉えず、経営陣が合理的なリスクを取り、社外取締役が実質的な監督を行い、従業員が問題を早期に伝え、投資家・取引先・顧客が会社を信頼する基盤として読むことが大切です。

定期的なガバナンス監査は、透明・公正かつ迅速・果断な意思決定を支える経営インフラです

兆候を早期に見つけ、経営課題として扱い、是正し、再監査し、取締役会と監査機関が監督することで、組織の自浄能力を高めます。

Reference

参考資料

国内の法令・上場関連資料

  • 日本取引所グループ「コーポレート・ガバナンス・コード」
  • 東京証券取引所「コーポレートガバナンス・コード」
  • 金融庁「コーポレートガバナンス改革に向けた取組みについて」
  • 経済産業省「コーポレートガバナンスに関する各種ガイドラインについて」
  • 経済産業省「『稼ぐ力』の強化に向けたコーポレートガバナンス研究会 取りまとめ」
  • e-Gov法令検索「会社法」
  • e-Gov法令検索「会社法施行規則」
  • e-Gov法令検索「金融商品取引法」
  • 金融庁「財務報告に係る内部統制の評価及び監査の基準並びに実施基準の改訂について」
  • 金融庁「内部統制報告制度に関するQ&A等の改訂について」
  • 東京証券取引所FAQ「コーポレートガバナンス・コード補充原則4-11③における第三者評価の要否」

内部監査・リスク管理・国際基準

  • The Institute of Internal Auditors, Global Internal Audit Standards
  • The Institute of Internal Auditors, The IIA’s Three Lines Model
  • COSO, Internal Control Integrated Framework / Guidance on Monitoring Internal Control Systems
  • COSO, Enterprise Risk Management Integrating with Strategy and Performance
  • OECD, G20/OECD Principles of Corporate Governance 2023
  • OECD, G20/OECD Principles of Corporate Governance 2023, Responsibilities of the board
  • ISO, ISO 31000 Risk management Guidelines
  • ISO, ISO 37301 Compliance management systems
  • ISO, ISO 37001 Anti-bribery management systems
  • NIST, The NIST Cybersecurity Framework 2.0

個別領域の公的・専門資料

  • 経済産業省「グループ・ガバナンス・システムに関する実務指針」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
  • 金融庁「サステナビリティ情報の開示に関する特集ページ」
  • サステナビリティ基準委員会「サステナビリティ開示基準」
  • 消費者庁「公益通報者保護法と制度の概要」
  • 消費者庁「事業者の方へ 公益通報者保護制度」
  • 公正取引委員会「企業における独占禁止法コンプライアンス」
  • 公正取引委員会「企業における独占禁止法コンプライアンスの更なる実効性の向上に向けた取組」
  • OECD Business integrity
  • U.S. Department of Justice, Evaluation of Corporate Compliance Programs
  • 日本監査役協会「監査役監査基準」
  • 日本監査役協会「監査役監査実施要領」