かなで監査法人からの会計監査人交代:公表事例と開示情報のポイント
catfish_admin
経営リスクナビ
内部監査の指摘事項とは?分類基準と報告書の書き方を解説
catfish_admin
内部監査で発見された指摘事項の分類基準や、受けた指摘の重み付けに悩んでいませんか。明確な基準がないままでは対応の優先順位を見誤り、重大なリスクを放置してしまう可能性があります。適切な分類は、客観的な報告と効果的な是正処置に不可欠です。この記事では、内部監査における指摘事項の標準的な分類方法、具体的な判断基準、そして報告書の作成ポイントまでを網羅的に解説します。
目次
内部監査の指摘事項の基本
指摘事項の定義と監査における目的
内部監査における「指摘事項」とは、組織が定めた社内規程やISOなどの外部規格と、現場の業務運用の実態が乖離している状態を指します。これは、客観的な証拠に基づいて、定められた要求事項を満たしていないと判断されたものです。
監査の目的は、単にルール違反を探し出すことではありません。この乖離(ズレ)を通じて業務プロセスに潜むリスクを早期に発見し、重大なコンプライアンス違反や事業継続を脅かすトラブルを未然に防ぐことにあります。指摘された問題の根本原因を分析し、是正処置へとつなげることで、マネジメントシステムの有効性を高め、組織全体の業務効率やパフォーマンス向上を促します。指摘事項は、組織の健全性を維持するための重要なシグナルとして機能します。
指摘事項を分類する重要性
指摘事項をその影響度や深刻さに応じて分類することは、対応の優先順位を明確にし、限られたリソースを適切に配分するために不可欠です。すべての指摘に同じ労力を費やすと、現場の業務負担が過大になり、本当に重要なリスクへの対応が遅れる可能性があります。
指摘事項を「重大な不適合」や「軽微な不適合」などに分類することで、経営陣が直ちに関与すべき課題と、現場レベルで改善すべき課題を切り分けることができます。明確な基準で分類することにより、監査結果の客観性が高まり、メリハリのある改善活動が可能になります。
指摘事項の分類基準
重大な不適合の定義と判断基準
「重大な不適合」とは、マネジメントシステムが意図した結果を達成する能力に、深刻な影響を及ぼす欠陥が存在する状態を指します。システムそのものが機能不全に陥っていると判断されうるケースであり、組織の事業継続や社会的信用に直結する可能性が高い事象が該当します。
重大な不適合の判断基準となる例
- 法令で定められた安全検査など、規格の要求事項が著しく、または継続的に実施されていない。
- 複数の部門で同じ違反が常態化しており、システム的な欠陥とみなされる。
- 前回の監査で指摘された重大な問題が是正されず、放置されている。
- 顧客や社会に甚大な被害を与えるリスクが極めて高い状態にある。
軽微な不適合の定義と判断基準
「軽微な不適合」とは、要求事項を部分的に満たしていないものの、マネジメントシステム全体に深刻な影響を与えるほどではない、散発的・局所的な逸脱を指します。システム全体は概ね有効に機能していると判断できる状態です。
軽微な不適合の判断基準となる例
- 決められた手順が一時的に守られなかったなど、担当者の不注意による単発のミス。
- 問題が特定の部署や担当者に限定されており、他のプロセスへの波及リスクが低い。
- 文書管理の不備や記録の漏れなど、限定的なリソースで速やかに是正が可能である。
ただし、軽微な不適合であっても放置すれば将来的に大きな問題に発展する可能性があるため、速やかな原因究明と再発防止策が求められます。
観察事項(改善の機会)とは
「観察事項」とは、現時点では規程違反や不適合には該当しないものの、将来的に不適合となる懸念がある点や、より良い業務運営のために改善の余地がある状態を指します。「改善の機会」とも呼ばれ、監査員からの建設的な提案という性質を持ちます。
是正処置の義務はありませんが、これを放置すると業務効率の低下や潜在リスクの増大につながる可能性があります。例えば、ヒューマンエラーを誘発しやすい書式の改善提案や、形骸化しつつあるプロセスの見直しなどが該当します。組織はこれらの提案を継続的改善の機会として捉え、自社の状況に応じて対応を検討することが、マネジメントシステムの質の向上につながります。
【分類別】指摘事項の具体例
重大な不適合に該当するケース
重大な不適合は、マネジメントシステムの根幹を揺るがし、組織に致命的なダメージを与えかねない、システム的な欠陥を示します。
重大な不適合の具体例
- 製品の安全性を保証する最終検査工程が、慢性的に省略されている。
- 個人情報保護法など、遵守すべき法的要求事項に対応する手順が全く存在しない。
- リスクアセスメントが実施されず、重要な情報資産に対する脅威が放置されている。
- 前回の監査で指摘された是正処置が期限を過ぎても実行されず、経営層もそれを黙認している。
軽微な不適合に該当するケース
軽微な不適合は、システムは機能しているものの、部分的に発生した散発的なミスや不備を指します。
軽微な不適合の具体例
- 入退室管理の記録簿に、特定の日付で数件の記入漏れがあった。
- 新入社員への教育記録の一部が、担当者のミスで一時的に保管されていなかった。
- ファイルサーバーに、本来は削除すべき旧版の手順書が残存していた。
- 本来は不要な担当者に、共有フォルダへの読み取り権限が一時的に付与されていた(情報漏洩などの実害はなし)。
観察事項として報告されるケース
観察事項は、要求事項は満たしているものの、さらなる改善や将来のリスク予防につながる提案として報告されます。
観察事項の具体例
- 記録様式が手書きのため、入力ミスや集計ミスが発生しやすい状況に対し、電子化を推奨する。
- 年1回の情報セキュリティ研修に加え、従業員の意識を高く維持するため四半期ごとのミニテスト実施を提案する。
- 手順書が専門用語ばかりで分かりにくいため、図やイラストを追加して視認性を高めることを提案する。
ISO規格における指摘分類
ISO9001での分類の考え方
ISO9001(品質マネジメントシステム)における指摘分類は、システムが顧客要求事項や法令を満たしているかという「適合性」と、意図した成果を達成できているかという「有効性」の評価に基づきます。
組織が定めたルールと実際の活動とのズレを「不適合」と定義し、これを品質管理体制の弱点を可視化するシグナルと捉えます。不適合は、製品品質や顧客満足への影響度に応じて「重大」と「軽微」に分類されます。また、要求事項を満たしていても、さらなる品質向上につながる要素は「改善の機会」として指摘し、組織の継続的改善を促します。
一般的な内部監査との共通点と相違点
ISO監査と一般的な内部監査は、客観的な事実に基づいて問題を発見し、組織の目標達成を支援する点で共通しています。一方で、監査の視点や対象範囲に違いがあります。
| 比較項目 | ISO監査 | 一般的な内部監査 |
|---|---|---|
| 主な焦点 | 国際規格の要求事項への適合性・有効性 | 経営課題全般(内部統制、コンプライアンス、財務等) |
| 評価基準 | ISO規格の条文が中心 | 企業独自の規程や事業戦略との整合性も重視 |
| 対象範囲 | 認証範囲内のマネジメントシステム | 財務報告の信頼性や業務の効率性など、より広範 |
| 指摘分類 | 規格への不適合度合いで分類 | 費用対効果や経営リスクなど独自の基準で重み付けされる |
指摘事項報告書の書き方
報告書の基本構成と記載項目
内部監査報告書は、経営層や被監査部門が内容を正確に理解し、次のアクションにつなげられるよう、論理的に構成する必要があります。
監査報告書の基本構成
- 監査の概要:実施日、対象部門、監査員、適用基準(規程や規格)などの基本情報
- 監査の総括:監査全体の結論、マネジメントシステムの有効性に関する総合的な評価
- 指摘事項の詳細:不適合や観察事項ごとに、発見事実、根拠となる規程、分類(重大/軽微など)を明記
- 是正要求・改善提案:各指摘事項に対する是正処置の要求や、改善に向けた推奨事項
- フォローアップ結果:前回の監査で指摘した事項の是正状況の確認結果
事実を客観的に記述するポイント
報告書の信頼性を高めるには、監査員の主観や推測を排し、誰が読んでも同じ状況を理解できるよう、事実を客観的に記述することが重要です。
客観的な記述のポイント
- 具体的な証拠を示す:「〇月〇日の記録簿」「△△部長へのヒアリング内容」など、事実の根拠を明記する。
- 数値を活用する:「不十分」「多い」といった曖昧な表現を避け、「確認した10件中3件で記入漏れがあった」のように定量的に記述する。
- 5W1Hを明確にする:「いつ」「どこで」「誰が」「何を」した結果、不適合が発生したかを簡潔に記述する。
- 事実と評価を分離する:まずは確認された事実をありのままに記述し、その後に監査員としての評価やシステムへの影響を記述する。
是正を促す効果的な表現方法
効果的な報告書は、単に不備を指摘するだけでなく、被監査部門の自律的な改善行動を促すものでなければなりません。
是正を促す表現の工夫
- リスクを明示する:問題を放置した場合に想定される具体的なリスク(顧客からのクレーム、法令違反など)を客観的に示し、是正の必要性を理解してもらう。
- 解決策を押し付けない:「〇〇すべき」と断定するのではなく、「〇〇を検討することが望ましい」など、改善の方向性を示す表現を用いる。
- 根本原因の分析を促す:被監査部門が自ら問題の真因を考え、実効性のある是正処置を立案できるよう、建設的なトーンで記述する。
指摘内容の反発を招かないための報告と対話の工夫
指摘は、被監査部門にとって受け入れがたい場合があります。反発を最小限に抑え、前向きな改善につなげるためには、報告プロセスにおける対話の工夫が不可欠です。
監査終了時に講評会(クロージングミーティング)を開き、発見事項についてその場で説明し、事実認識に齟齬がないかを確認することが有効です。報告書では、特定の個人を非難するような表現を避け、問題の原因は業務プロセスや仕組みの不備にあるというスタンスを貫きます。監査は「減点評価」ではなく、「組織をより良くするための共同作業」であるという姿勢で対話することが、信頼関係の構築につながります。
指摘事項への対応フロー
被監査部門による原因分析
指摘事項への対応は、まず被監査部門が主体となって根本原因を分析することから始まります。指摘された事象はあくまで結果であり、その背景にある「なぜそうなったのか」を深掘りしなければ、真の再発防止には至りません。「なぜなぜ分析」などの手法を用いて、担当者のミスといった表面的な原因だけでなく、作業手順の不備、教育不足、リソース不足といったシステム上の問題まで突き止めることが重要です。
是正処置計画の策定と実行
根本原因が特定できたら、それを取り除くための具体的な是正処置計画を策定します。この際、担当者への注意喚起といった属人的な対策だけでなく、入力ミスを防ぐシステム改修やダブルチェック体制の導入など、仕組みで再発を防止する対策を盛り込むことが不可欠です。計画には、「何を」「誰が」「いつまでに」実施するのかを明確に定め、関係者の承認を得た上で実行に移します。
是正後の有効性評価と報告
是正処置を実施した後は、その対策が有効に機能しているかを評価する必要があります。対策導入直後ではなく、新しいプロセスが現場に定着するまで一定期間(例:1〜3ヶ月)を置いた後、同様の問題が再発していないかを客観的なデータで確認します。有効性が確認できたら、その結果を報告書にまとめ、内部監査部門に提出することで一連の是正処置は完了となります。
是正処置の形骸化を防ぐフォローアップの重要性
一度実施した是正処置も、時間が経つと形骸化する恐れがあります。これを防ぐため、内部監査部門による継続的なフォローアップが重要です。次回の定期監査などの機会に、過去の指摘事項に対する是正処置が現場で維持されているかを確認します。この追跡調査によって、改善活動の継続性が担保され、組織全体のマネジメントレベルが向上します。
よくある質問
指摘事項がゼロの監査は「良い監査」ですか?
必ずしも「良い監査」とは言えません。組織が変化し続ける中で、改善点が全くない状態は考えにくいためです。指摘事項がゼロの場合、監査が表面的な確認にとどまり、潜在的なリスクや非効率なプロセスを見逃している可能性があります。継続的改善の観点からは、不適合に至らないまでも「観察事項(改善の機会)」などを積極的に発見し、組織の成長に貢献する監査こそが価値のある監査と言えます。
監査の指摘内容に納得できない場合の対処法は?
まずは感情的にならず、指摘の根拠となった事実関係と、適用された監査基準(規程など)の解釈について、監査チームと冷静に協議することが重要です。現場の実態や、その手順を採用している理由などを客観的なデータと共に説明し、対話を通じて相互理解を図ります。それでも見解が一致しない場合は、監査報告書に双方の意見を併記した上で、最終的な判断を経営層や判定委員会などに委ねるのが適切な対応です。
軽微な指摘が続くと重大な指摘になりますか?
はい、その可能性は高いです。同じ内容の軽微な不適合が複数の部門で発生したり、前回の監査で指摘されたにもかかわらず是正されずに繰り返されたりする場合、それはもはや単なる現場のミスではなく、マネジメントシステムの構造的な欠陥や自浄作用が機能していない証拠と見なされます。そのため、「重大な不適合」として格上げされることがあります。
指摘事項の分類は誰が最終的に決定しますか?
指摘事項の分類(重大/軽微/観察事項)は、監査チーム内での協議を経て、監査リーダーや内部監査部門の責任者が最終的に決定します。現場の監査員が収集した証拠に基づき一次評価を行いますが、組織全体で判断基準の統一性を保ち、客観性と公平性を担保するために、責任者がレビューを行い、分類を確定させるプロセスが一般的です。
まとめ:内部監査の指摘事項を正しく分類し、組織の改善につなげるために
内部監査の指摘事項は、リスクの深刻度に応じて「重大な不適合」「軽微な不適合」「観察事項」に分類されます。この分類の目的は、対応の優先順位を明確にし、組織の資源を重要な課題に集中させることです。指摘は単なる不備の指摘ではなく、業務プロセスに潜むリスクを発見し、組織を改善するための重要な機会と捉えることが肝心です。被監査部門は指摘の根本原因を分析して実効性のある是正処置を策定し、監査部門は対話を通じてその改善活動を支援する姿勢が求められます。指摘事項への対応は組織全体の継続的な改善活動の一環であり、判断に迷う場合は監査責任者や上長と協議し、組織として対応方針を決定することが重要です。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
