内部監査報告書の書き方完全ガイド｜記載項目・文例と2025年基準対応

内部監査報告書は、監査で把握した事実と評価を経営層へ伝え、組織の改善につなげるための文書です。本記事では、内部監査報告書の書き方を記載項目・文例・記載例の観点から整理し、内部統制監査報告書など似た文書との違いも明確にします。あわせて、2025年1月に施行されたグローバル内部監査基準が報告書の記述に与える影響、指摘事項のフォーマット、報告後のフォローアップや保存期間まで実務目線で解説します。初めて作成する方が、様式選びから運用まで一通り判断できる内容を目指します。

基準改定を踏まえた内部監査報告書の作成・伝達・改善のまとめ

内部監査報告書は、監査で得た事実と評価を経営の改善行動につなげるための文書です。書き方の基本は、記載項目をそろえ、指摘事項を所見・原因・改善提言の論理でつなぎ、曖昧表現を避けて「誰が・何を・いつまでに」を明確にすることにあります。内部統制監査報告書など似た文書とは作成者も根拠も異なるため、名称と位置づけを正確に使い分けることも欠かせません。

あわせて、2025年1月に施行されたグローバル内部監査基準を踏まえ、報告の明瞭性や客観性、リスク識別の記述を見直す好機でもあります。まずは自社の内部監査規程と報告書テンプレートが新基準に整合しているかを点検し、指摘事項の管理表とフォローアップの仕組みを整えるところから着手すると、報告書の質と改善の実効性を同時に高められます。

内部監査報告書の定義と作成目的、経営改善につなげる4つの役割

報告書の役割を先に押さえると、記載すべき内容の取捨選択がぶれません。ここでは定義・役割・提出先・狙いを整理します。

内部監査報告書の定義と「監査結果を経営に伝える文書」としての位置づけ

内部監査報告書は、内部監査部門が実施した監査の結果と評価をまとめ、経営トップや取締役会に伝えるための文書です。日本内部監査協会は内部監査を、独立かつ客観的なアシュアランスおよびコンサルティング活動であり、組織体の目標達成に役立つことを目的とすると位置づけており、報告書はその成果物にあたります。会計監査人が作成する財務諸表の監査報告書とは異なり、業務プロセスやリスク管理、コンプライアンスなど幅広い対象を扱う点が特徴です。たとえば購買プロセスの統制状況や情報セキュリティの運用実態など、財務数値に直結しない領域も評価対象になります。読み手は経営判断を行う立場のため、事実と評価、改善提言を区別して伝えることが、報告書の基本的な性格といえます。

報告書が果たす4つの役割（伝達・改善促進・統制評価・記録保全）の整理

内部監査報告書が組織内で果たす役割は、大きく次の4つに整理できます。

• 監査結果の伝達：発見事項や評価を経営層へ正確に届ける
• 改善の促進：指摘に基づく是正と業務改善のきっかけをつくる
• 統制評価の記録：内部統制やリスク管理の有効性を文書として残す
• 説明責任の裏づけ：監督機関や審査機関への確認資料として機能する

これら4つは独立ではなく連動します。伝達の精度が低ければ改善は進まず、記録が曖昧であれば後日の説明責任を果たせません。報告書を書く際は、どの役割を主目的とする報告なのかを意識すると、要約の粒度や添付資料の選び方が定まります。

経営トップ・取締役会・認証機関という主要な提出先別の利用目的

内部監査報告書の主な提出先は、経営トップ、取締役会や監査役（監査等委員会）、そして認証機関や規制当局です。提出先ごとに求められる情報の深さは異なります。経営トップ向けには重大リスクと改善の方向性を簡潔に示すことが優先され、取締役会向けには全社的なガバナンス評価の観点が加わります。ISO9001やISMSの認証を維持する場合は、認証機関の審査で内部監査の実施記録として提出するため、規格要求事項への適合状況が分かる記述が必要です。IPO準備企業では、主幹事証券や取引所の審査資料として用いられるので、提出先と共有方法をあらかじめ社内規程で定めておくと運用が安定します。

良好事例も併記する報告で被監査部門の改善意欲を高める実務的狙い

内部監査報告書では、指摘事項だけでなく良好な取組も併せて記載することが推奨されます。たとえば「手順書が最新化され、現場で適切に運用されていた」といった事実を記すと、被監査部門の改善意欲を保ちやすくなります。指摘ばかりが並ぶ報告書は、被監査部門に防御的な姿勢を生み、その後の是正協力を得にくくする失敗につながりがちです。良好事例は、社内のベストプラクティスとして他部門へ水平展開する材料にもなります。ただし良好評価を過度に強調すると報告書全体の客観性が薄れるため、事実に基づく簡潔な記述にとどめる判断が求められます。

IPO準備企業で審査資料として機能する内部監査報告書の追加要件

IPO準備企業の内部監査報告書には、上場審査を意識した追加の配慮が必要です。審査では内部監査が形式だけでなく実効的に機能しているかが見られるため、監査計画に対する実施状況、指摘事項のフォローアップ完了率、未対応事項の理由などを具体的に記載します。たとえば年間計画に対する監査実施率や、前回指摘の改善完了状況を数値で示すと、運用の実効性を客観的に伝えられます。監査対象の網羅性や、経営者・監査役との連携状況も記録しておくと、審査機関からの追加質問に備えられます。上場後を見据えた様式の標準化も、この段階で着手しておくと負担を平準化できます。

内部統制監査報告書・監査役監査報告書との違いと混同を防ぐ判別基準

内部監査報告書は、名称の似た文書と混同されがちです。検索でも「内部統制報告書と内部統制監査報告書の違い」を調べる例があり、ここでは作成者・根拠・目的の軸で整理します。

内部監査報告書と内部統制監査報告書（J-SOX）の作成主体と根拠法の違い

内部監査報告書と内部統制監査報告書は、作成者も根拠も異なる別の文書です。内部監査報告書は社内の内部監査部門が作成し、社内規程や内部監査基準を根拠とします。一方の内部統制監査報告書は、金融商品取引法に基づくいわゆるJ-SOX制度のもとで、外部の監査法人（公認会計士）が財務報告に係る内部統制の有効性について意見を表明する文書です。前者が業務全般の改善を目的とする内部向けの文書であるのに対し、後者は投資家保護を目的とし、経営者が作成する内部統制報告書に対する監査人の意見として、有価証券報告書とともに開示されます。この違いを押さえないまま「内部統制報告書」と取り違えると、提出先や法的効果を見誤るおそれがあります。

監査役監査報告書・会計監査報告書との目的・提出先・作成者による区別

監査役監査報告書や会計監査報告書も含めて整理すると、それぞれの位置づけが明確になります。

表のとおり、作成者が社内か社外かが最初の判別軸になります。内部監査報告書だけが業務改善を主目的とする内部文書である点を押さえると、他の3種との区別がつきやすくなります。

「内部統制報告書」と「内部統制監査報告書」を取り違えやすい論点の整理

混同が特に多いのが「内部統制報告書」と「内部統制監査報告書」の関係です。内部統制報告書は、経営者自身が財務報告に係る内部統制の有効性を評価して作成する文書です。これに対して内部統制監査報告書は、その経営者評価を外部の監査法人が監査し、意見を表明する文書にあたります。つまり前者は経営者が作る自己評価、後者は監査人によるその検証という関係になります。いずれも内部監査部門が作る内部監査報告書とは別物で、根拠も金融商品取引法に置かれます。検索で「違い」を調べる利用者が多い論点のため、社内で用語を使う際も、誰が作る文書なのかを明示すると誤解を防げます。

任意監査と法定監査で異なる報告書の位置づけと記載自由度の比較

内部監査は法律で一律に義務づけられた監査ではなく、多くは会社の判断で実施する任意の監査です。そのため内部監査報告書の様式や記載量には比較的自由度があり、組織のリスクや経営課題に応じて柔軟に設計できます。一方、会社法に基づく監査役監査や、金融商品取引法に基づく内部統制監査は法定監査であり、報告内容や様式が制度的に枠づけられています。この違いは、報告書を作るときの自由度に直結します。たとえば内部監査報告書では経営課題に踏み込んだ提言を加えられますが、法定の報告書では制度が求める事項を過不足なく記載することが優先される、という判断軸になります。

報告書名称の誤用が招くガバナンス上の誤解と確認すべきチェック観点

報告書名称の誤用は、ガバナンス上の誤解を招きます。たとえば内部監査部門の報告を「内部統制監査報告書」と呼んでしまうと、外部監査人の意見であるかのような誤認を生みかねません。社内資料や取締役会の議事では、文書名・作成者・根拠を一組で確認することが有効です。確認の観点としては、その文書が社内向けか開示用か、作成者が内部か外部か、根拠が社内規程か法令か、の3点を押さえると取り違えを防げます。特に上場企業やIPO準備企業では、開示書類と内部文書の区別が審査や法令順守に直結するため、名称の正確な運用が欠かせません。

内部監査報告書に必須の記載項目一覧と各項目で押さえる記述ポイント

内部監査報告書には、読み手が経営判断に使えるよう一定の項目を揃えます。ここでは必須項目と、各項目の記述ポイントを示します。

監査目的・対象範囲・実施期間という前提情報を明確化する記述例

報告書の冒頭では、監査目的・対象範囲・実施期間という前提情報を明確にします。監査目的には、社内規程に基づく定期監査か、品質事故などを受けた臨時監査かを記載すると、報告の文脈が伝わります。対象範囲には、監査した部門・業務プロセス・拠点を具体的に書き、どこまでを見てどこを見ていないかを示します。実施期間は、予備調査と本調査の日程を分けて記すと、監査の深度を表現できます。たとえば「本調査は20XX年5月、購買部門の発注・検収プロセスを対象に実施」といった粒度で書くと、後から読んだ第三者にも適用範囲が一読で分かります。

監査手続（インタビュー・文書レビュー・現場観察）の記載粒度の基準

監査手続の欄には、どのような方法で証拠を集めたかを記載します。代表的な手続は、関係者へのインタビュー、規程や記録の文書レビュー、現場観察、サンプリングによる証憑突合です。記載の粒度としては、手続の種類だけでなく、対象件数や抽出基準まで触れると証拠力が伝わります。たとえば「発注伝票を月別に各10件、計120件抽出して承認印を確認」と書けば、評価の裏づけが具体的になります。手続が曖昧なまま結論だけを示すと、指摘の説得力が下がってしまいます。2025年施行のグローバル内部監査基準でも証拠収集の重要性が示されており、手続の記録は報告書の信頼性を支える土台になります。

発見事項とリスク評価・影響度を結びつけて記載する所見欄の構成

発見事項を記す所見欄では、事実とリスク評価・影響度を結びつけて記載します。単に「承認印の漏れが見られた」と書くだけでなく、その状態が放置されると不正な支払いを見逃すリスクがある、といった影響まで示すことが大切です。影響度は、金額的なインパクトや発生可能性で段階づけると、経営層が優先順位を判断しやすくなります。たとえば「承認統制の不備により、年間数千万円規模の支払いが未承認で実行されうる」と書けば、リスクの大きさが具体的に伝わります。所見は意見ではなく事実を起点に組み立てることが、客観性を保つ判断基準になります。

監査意見・総合評価（総評）の書き方と評価ランク付けの判断基準

報告書の総合評価（総評）では、監査対象の状態を一定の基準で評価し、監査意見として示します。評価をランク付けする場合は、たとえば「有効」「一部改善が必要」「重大な不備あり」といった区分をあらかじめ定義しておくと、報告ごとのぶれを抑えられます。総評は、個別の指摘を積み上げた結論として書くと論理が通ります。検索でも「内部監査報告書 総評」「総括」を調べる例があり、この欄の書き方に悩む担当者は少なくありません。判断基準としては、重大な不備が一つでもあれば全体評価を引き下げる、といった全社共通のルールを設けると、評価の一貫性を保てます。

エグゼクティブサマリーと指摘事項一覧表の配置で読みやすさを高める工夫

経営層が短時間で要点をつかめるよう、冒頭にエグゼクティブサマリーを置く構成が効果的です。サマリーには、重大リスクと改善の方向性を数行で示します。指摘事項については、「所見」「原因」「改善計画」「所管部署」「対応期限」を列挙した一覧表を添付する形式が一般的です。本文で詳述し、一覧表で全体像を俯瞰できるようにすると、報告書が改善指示の基礎資料として機能します。配置の判断基準としては、最も重要な情報を冒頭に、根拠や詳細を後段に置く「逆ピラミッド」を意識すると、多忙な読み手にも伝わりやすくなります。

グローバル内部監査基準2024年改定が報告書記述に与える実務的影響

内部監査報告書の書き方は、内部監査の基準改定の影響を受けます。2025年に施行された新基準のポイントを、報告書への影響に絞って整理します。

2024年公表・2025年1月施行というグローバル内部監査基準の改定スケジュール

グローバル内部監査基準は、内部監査人協会（IIA）が2024年1月9日に公表し、日本語版が2024年7月に公表されたうえで、2025年1月9日に施行された新しい基準です。前回のIPPF（専門職的実施の国際フレームワーク）改定は2017年で、今回は7年ぶりの大きな改定にあたります。施行時点以降、内部監査機能は新基準に従って運用することが求められます。日本内部監査協会も日本語版の基準書を発行しており、国内の実務でも参照が進んでいます。報告書の様式を見直す際は、まずこの施行時期を前提に、自社の内部監査規程が新基準に整合しているかを確認することが出発点になります。

15の原則・5ドメイン構成への再編が監査報告の記述に求める対応

新基準は、有効な内部監査を支える15の指導的な原則と、それらを束ねる5つのドメインで構成されています。

• ドメインⅠ：内部監査の目的
• ドメインⅡ：倫理と専門職としての気質
• ドメインⅢ：内部監査部門に対するガバナンス
• ドメインⅣ：内部監査部門の管理
• ドメインⅤ：内部監査業務の実施

報告書に直接関わるのは、主にドメインⅤ（内部監査業務の実施）です。従来の属性基準と実施基準という区分は廃止され、原則ごとに要求事項と適合の証拠例が示される構造に変わりました。報告書の記述も、この原則に沿って「何を根拠にどう評価したか」を追えるようにしておくと、基準適合の説明がしやすくなります。

結果のコミュニケーションに関する新基準が示す報告書の品質要件

新基準はドメインⅤの原則15で、個々の内部監査業務の結論のコミュニケーションと、改善措置の計画のモニタリングを求めています。これは報告書の書き方に直接関わる観点です。報告は、正確性・客観性・明瞭性・適時性などの品質を備え、結論や改善提言が根拠とともに伝わる形であることが重視されます。たとえば結論を曖昧な表現で締めず、根拠となる事実と評価を対応づけて示すことが、品質要件に沿う書き方になります。新基準ではアドバイザリー業務での合意形成や証拠収集の姿勢にも言及があり、保証業務だけでなく助言型の報告にも品質の考え方が及びます。報告書のレビュー観点として、明瞭性と客観性を確認する工程を組み込むとよいでしょう。

旧IPPF（2017年版）からの変更点と既存報告書フォーマットの見直し観点

2017年版から様式を見直す際は、既存の報告書フォーマットが新基準の原則を追える構造になっているかを点検します。実務上は、属性基準と実施基準の区分が廃止された点や、解釈指針・適用指針が整理された点は、報告書の体裁そのものに大きな影響を与えないと整理されています。一方で、ガバナンスや品質保証の観点が強化されたため、報告書に監査の独立性や品質管理への言及を加える余地が生まれています。見直しの判断基準としては、報告書のどの記述がどの原則の証拠になるかを対応表で確認し、空白があれば記述を補う、という進め方が現実的です。

リスクや不正の識別を報告書に反映する際の記載強化の具体的ポイント

新基準では、リスクアプローチに基づくリスクの識別や、不正に関する特定のリスク識別が改めて重視されています。報告書では、評価したリスクと、その識別の根拠を具体的に記述することが望まれます。たとえば「在庫管理プロセスで実地棚卸と帳簿の差異が継続しており、横領や計上誤りのリスクがある」と、リスクの種類まで踏み込んで書くと、識別の妥当性が伝わります。不正リスクについては、兆候や統制の弱点を事実ベースで示し、断定を避けつつ経営層の判断材料を提供することが大切です。リスクを抽象的な言葉で済ませず、固有のプロセスに紐づけて記載することが、基準に沿った記述強化のポイントになります。

指摘事項の書き方と所見・原因・改善策・期限を整理する記述フォーマット

内部監査報告書の質は、指摘事項の書き方で大きく変わります。検索でも「内部監査 指摘事項の書き方」が一定の関心を集めています。

所見・基準・原因・影響・改善提言という指摘事項の5要素の構成

指摘事項は、次の5つの要素で構成すると過不足なく伝わります。

• 所見（Condition）：実際に確認された状態・事実
• 基準（Criteria）：あるべき姿となる規程・基準・目標
• 原因（Cause）：あるべき姿との差が生じた理由
• 影響（Effect）：差が放置された場合のリスク・損失
• 改善提言（Recommendation）：是正のための具体的な提案

この5要素は、内部監査の指摘を組み立てる国際的にも一般的な型です。所見だけを書いて原因や影響を省くと、被監査部門は何をなぜ直すべきか判断できません。5要素を意識して書くと、指摘が論理的につながり、改善行動を促しやすくなります。

「改善が必要」で終わらせない主語・期限・担当を明示した記述例

指摘事項は、「誰が・何を・いつまでに」行うかが分かる形で書きます。たとえば「今後改善を進める必要があると考える」という一文で終わると、担当も期限も不明で、行動につながりません。これに対し「購買部門は、発注承認の権限表を20XX年9月末までに整備する」と書けば、主語・対応内容・期限が明確になります。改善提言は、実行可能な単位まで分解することが判断基準です。抽象的な提言は被監査部門に解釈の余地を残し、対応の遅延や形だけの是正を招きます。期限は、リスクの重大度に応じて段階的に設定すると、優先順位づけにも役立ちます。

重要度（重大・要改善・軽微）でランク分けする指摘事項の判断基準

指摘事項は重要度でランク分けすると、限られた経営資源を重大なものへ振り向けられます。区分の一例は、「重大」「要改善」「軽微」の3段階です。重大は不正や重大な法令違反、事業継続に関わるリスクを伴うもの、要改善は統制の不備で是正が必要なもの、軽微は運用上の改善が望ましいものと定義します。ランク付けの判断基準は、影響度と発生可能性の組み合わせで決めると一貫性を保てます。たとえば影響が大きく発生可能性も高い指摘は重大に分類します。重要度を明示せずに指摘を並べると、経営層がどこから着手すべきか判断できず、改善の停滞を招きかねません。

曖昧表現を避け事実ベースで記述する所見欄の良い文例とNG例の比較

所見欄の表現は、曖昧さを避け事実ベースで書くことが基本です。

NG例はいずれも主語と数値、期限が欠けており、読み手が行動を起こせません。良い例のように事実と数値を添えると、指摘の説得力と是正のしやすさが両立します。

改善計画と所管部署・対応期限を一覧化する指摘事項管理表の作り方

指摘事項は、本文で詳述するだけでなく、一覧表にまとめて管理すると進捗を追いやすくなります。一覧には、所見・原因・改善計画・所管部署・対応期限を列に並べ、各指摘を一行で俯瞰できるようにします。対応状況の列を設け、「未着手」「対応中」「完了」を更新していくと、フォローアップの基礎資料になります。たとえば四半期ごとに完了率を集計すれば、改善の実効性を数値で経営層に示せます。管理表は報告書の添付資料として残すことで、次回監査での前回指摘の確認にも活用できます。表計算ソフトで一元管理し、版数と更新日を記録しておくと、証拠としての信頼性も高まります。

ISO9001・ISMS監査と内部統制監査で変わる報告書様式の使い分け基準

内部監査報告書は、準拠する規格や制度によって重視する記載が変わります。検索でも「iso 内部監査報告書」「isms 内部監査報告書 サンプル」が調べられています。

ISO9001（QMS）内部監査報告書で重視される不適合・是正の記載要件

ISO9001（品質マネジメントシステム）の内部監査報告書では、規格要求事項や手順に対する不適合の有無と、その是正処置が中心になります。記載では、どの条項・手順に対する不適合かを特定し、是正処置の期限と有効性確認の予定を示します。たとえば「文書管理手順に対し、最新版の周知が一部拠点で未実施」という不適合を、是正期限とともに記録します。フォーカスポイント（重点監査項目）として、前年度のクレームの是正処置が継続しているか、他部署の品質問題が水平展開されているかを設定する運用も一般的です。QMSでは、不適合の再発防止が報告書の評価軸になります。

ISMS（ISO27001）内部監査報告書で求められるリスク対応の記述観点

ISMS（ISO27001）の内部監査報告書では、情報セキュリティのリスク対応とその有効性が記述の軸になります。リスクアセスメントの結果に対し、適用した管理策が機能しているかを評価し、不備があれば是正を求めます。たとえば「アクセス権の棚卸が半期ごとの規定に対し未実施で、退職者アカウントが残存」といった所見を、リスクと紐づけて記載します。ISMSでは、技術的対策だけでなく、運用・人的対策の遵守状況も対象になる点が特徴です。報告書には、規格の管理策番号と対応状況を併記すると、認証審査での確認がしやすくなります。

会社法・金商法系の内部監査報告書に固有の内部統制評価の記載項目

会社法や金融商品取引法を意識した内部監査報告書では、内部統制の評価に関する記載が加わります。とくにJ-SOX対応の一環として内部監査を行う場合は、財務報告に係る内部統制の整備・運用状況の評価結果を、経営者評価や監査法人の監査と整合する形で記録します。記載では、評価対象とした業務プロセスや全社的統制の範囲、不備の重要度（開示すべき重要な不備かどうか）を明確にします。内部監査報告書そのものは開示文書ではありませんが、経営者の内部統制評価を支える内部資料として機能するため、評価の根拠を追える記述が求められます。

認証審査用とマネジメント報告用で使い分ける様式と記載量の比較

同じ内部監査でも、報告の用途によって様式と記載量を使い分けると効率的です。

同じ監査結果でも、審査向けは適合性を網羅的に、経営向けは要点を簡潔に示すと伝わりやすくなります。用途を取り違えると、情報が多すぎて要点が埋もれたり、逆に審査で必要な証拠が不足したりします。

複数規格を併用する組織での報告書テンプレート統一の判断ポイント

複数の規格や制度を併用する組織では、報告書テンプレートをどこまで統一するかが論点になります。共通の枠（目的・範囲・手続・所見・評価・改善計画）を土台にしつつ、規格固有の欄を差し替える設計にすると、運用負担を抑えられます。判断基準としては、読み手と提出先が同じ系統の報告は統一し、認証審査用と経営報告用のように目的が大きく異なる場合は分ける、という切り分けが現実的です。テンプレートを統一しすぎると規格固有の要求を取りこぼし、分けすぎると作成工数が膨らみます。年1回の規程見直しのタイミングで様式の過不足を点検すると、肥大化を防げます。

経営者・取締役会に伝わる内部監査報告書の表現と曖昧表現の回避策

内部監査報告書は、読み手が行動できて初めて価値が生まれます。ここでは経営者・取締役会に伝わる表現の工夫を扱います。

コーポレートスピーク（曖昧表現）が説得力を下げる失敗パターンの例

内部監査報告書でよくある失敗が、いわゆるコーポレートスピーク（曖昧なビジネス用語）に頼ることです。「影響がある」「今後検討を行う」といった表現は、それ自体が誤りではないものの、どんなリスクがいつまでにどう対応されるべきかが伝わりません。たとえば結論が「改善を進める必要があると考える」で終わる報告書は、誰が何をするのかが定まらず、読み手の行動を促せません。曖昧表現は、書き手にとっては無難でも、読み手にとっては判断材料になりにくいものです。事実を事実として短い文で示すことが、説得力を保つ出発点になります。

「誰が・何を・いつまでに」を明確化する経営層向け要約の書き方

経営層向けの要約では、「誰が・何を・いつまでに」を明確にします。主語を省かず、対応内容を具体的な動作で示し、期限を数値で添えることが基本です。たとえば「情報システム部が、特権IDの棚卸を毎四半期実施する運用を10月から開始する」と書けば、読み手は進捗を確認できます。曖昧な提言を避けるには、提言を一つの行動単位まで分解することが判断基準になります。要約は、報告書全体を読まなくても重大な論点と次の一手が分かる水準を目指すと、多忙な経営層にも届きます。

エグゼクティブサマリーで重大リスクを冒頭提示する構成の実務例

エグゼクティブサマリーは、重大リスクを冒頭に提示する構成が効果的です。最初の数行で「最も対応が必要な論点は何か」を示し、その後に評価の全体像、個別の重要指摘を続けます。たとえば「今回の監査で最も重大なのは購買承認統制の不備であり、年間数千万円規模の未承認支払いのリスクがある」と冒頭に置くと、読み手の注意を要点へ向けられます。サマリーは1ページ以内を目安にし、詳細は本文に委ねると、読みやすさと網羅性が両立します。重大度の高い順に並べることが、限られた時間で判断する経営層への配慮になります。

事実・評価・提言を切り分けて記述する報告文書のトーンの判断基準

報告文書のトーンは、事実・評価・提言を切り分けることで客観性を保てます。事実は確認された状態をそのまま、評価はその事実に対する監査人の判断、提言は是正のための提案として、文を分けて記述します。これらが混ざると、どこまでが客観的な事実でどこからが意見なのかが曖昧になります。判断基準としては、一文に事実と意見を同居させない、評価には根拠となる事実を必ず添える、という二点を守ると整理されます。たとえば「承認印が14件欠落していた（事実）／承認統制は有効に機能していないと評価する（評価）／権限表の整備を提言する（提言）」と段階的に書くと、論理が追えます。

取締役会で議論を促す指標・数値の見せ方とグラフ活用のポイント

取締役会で議論を促すには、指標や数値の見せ方を工夫します。指摘件数の推移、重要度別の内訳、改善完了率などを示すと、口頭の説明より状況が直感的に伝わります。たとえば「前年同期の指摘15件から今期8件へ減少、うち重大は2件」と数値で示すと、改善の方向が一目で分かります。グラフを使う場合は、伝えたい一つのメッセージに絞ることが判断基準です。情報を詰め込みすぎたグラフは、かえって論点をぼかします。数値は、母数や算定方法を脚注で明示しておくと、誤解や追加質問を減らせます。

報告後のフォローアップと是正処置・改善報告書および文書保存の運用実務

報告書は提出して終わりではなく、改善が実行されて初めて目的を果たします。フォローアップと文書管理の実務を整理します。

指摘事項のフォローアップ計画と改善状況を再確認する実施手順の例

指摘事項のフォローアップは、次の手順で進めると漏れを防げます。

1. 報告書提出時に、指摘ごとの改善計画と期限を被監査部門と合意する
2. 期限前に進捗を確認し、対応中の課題があれば支援する
3. 期限到来時に是正の完了状況を確認し、証拠資料を入手する
4. 是正処置の有効性を評価し、不十分なら再指摘する
5. 結果を改善状況一覧に記録し、次回監査の確認対象へ引き継ぐ

この一連の流れを定型化すると、指摘が放置される事態を防げます。新基準の原則15も改善措置の計画のモニタリングを求めており、とくに期限管理を一覧で可視化することが、フォローの実効性を左右します。

是正処置報告書の記載事項と再発防止策の有効性を評価する判断観点

是正処置報告書は、被監査部門が指摘に対して行った是正の内容を記録する文書です。記載事項は、対象となった指摘、実施した是正処置、完了日、再発防止策が中心になります。内部監査側は、その是正処置が原因に対して有効かを評価します。判断観点としては、対症療法にとどまらず原因を取り除いているか、同種のリスクが他部署にも残っていないか、の二点が重要です。たとえば承認印の欠落に対し、印を押し直すだけでなく承認手順を規程化し権限表を整備したかを確認します。有効性が不十分な場合は、是正が完了したとはみなさず、再度フォローする判断が求められます。

内部監査改善報告書の作成タイミングと進捗管理表の具体的な運用方法

内部監査改善報告書は、指摘に基づく改善の進捗を経営層へ報告する文書です。作成タイミングは、四半期ごとや次回監査前など、組織の報告サイクルに合わせて定めます。記載では、指摘総数に対する完了件数や完了率、未完了の理由、対応中の見込み時期を示すと、改善の実効性が伝わります。たとえば「前期指摘12件中10件完了、残り2件は要員確保の遅れにより翌四半期完了見込み」と書けば、停滞の理由まで明確になります。進捗管理表と連動させ、同じ指標で継続的に報告すると、経営層が改善の傾向を追えます。改善が進まない指摘は、原因を分析して報告に添えることが、形骸化を防ぐポイントです。

内部監査報告書の保存期間の目安と法定保存年限を踏まえた管理基準

内部監査報告書の保存期間は、法律で一律に定められているわけではなく、社内規程で定めるのが一般的です。実務では、関連する法定保存期間を参考に設定します。たとえば会社法では計算書類等を10年間保存することが求められ、税務関係の帳簿書類は原則7年間の保存が必要とされます。ISOやISMSの認証維持では、審査周期を踏まえ、少なくとも前回審査から現在までの記録を保持するのが通例です。判断基準としては、関連文書の最長の保存年限に合わせるか、訴訟や調査に備えて余裕をもった期間を設定すると安全です。保存期間は規程に明記し、廃棄時の手続も併せて定めておくと、管理が一貫します。

監査調書・証拠資料の文書管理と機密保持で失敗しない運用ルール

監査調書や証拠資料の文書管理では、機密保持とアクセス制限が重要です。内部監査報告書には、不正の兆候や未公表のリスクなど機微な情報が含まれるため、閲覧範囲を限定する運用が求められます。失敗パターンとして、報告書が共有フォルダに無制限に置かれ、被監査部門に未確定の指摘が伝わってしまう例があります。管理ルールとしては、版数と更新日を記録し最終版を明確にすること、アクセス権を役割に応じて設定すること、廃棄の記録を残すことが基本です。電子データで保管する場合は、改ざん防止のため変更履歴を残せる仕組みを使うと、証拠としての信頼性を確保できます。

内部監査報告書の作成でよくある質問と回答

内部監査報告書の作成でよく寄せられる質問をまとめました。用語の違いや実務の判断に迷ったときの参考にしてください。

内部監査報告書と内部統制監査報告書は何が違うのですか？

両者は作成者も根拠も異なる別の文書です。内部監査報告書は社内の内部監査部門が、社内規程や内部監査基準に基づいて業務改善のために作成する内部向けの文書です。一方の内部統制監査報告書は、金融商品取引法に基づくJ-SOX制度のもとで、経営者が作成する内部統制報告書に対し、外部の監査法人が意見を表明する開示用の文書です。前者は社内、後者は外部監査人が作る点が最大の違いになります。混同すると提出先や法的効果を誤るため、文書名・作成者・根拠を一組で確認すると安全です。

内部監査報告書のひな形やテンプレートはどこで入手できますか？

ひな形は、書式提供サイトや認証支援を行う企業、日本内部監査協会などの資料が参考になります。bizoceanのような書式テンプレートサイトでは、監査報告書や内部監査報告書のフォーマットが配布されています。ただしテンプレートはあくまで土台です。自社のリスクや対象業務、準拠する規格（ISO9001・ISO27001など）に合わせて、記載項目や評価区分を調整することが大切です。入手したひな形をそのまま使うのではなく、監査目的・範囲・指摘事項の管理表など、自社に必要な欄を加える前提で活用してください。

指摘事項がない場合、内部監査報告書はどう書けばよいですか？

指摘事項がない場合でも、内部監査報告書は作成します。監査を実施し、対象範囲で重大な不備が見つからなかったという事実自体が、経営層にとって有用な情報だからです。報告書には、監査目的・対象範囲・実施した手続を記載したうえで、「重大な指摘事項は認められなかった」と評価を明示します。あわせて、良好に運用されていた取組や、軽微な改善の余地がある点を記すと、報告の価値が高まります。指摘がないことと監査をしていないことは別であり、手続を踏んだ証拠を残すことが重要です。

内部監査報告書の保存期間はどのくらいですか？

内部監査報告書の保存期間は、法律で一律に定められているわけではなく、社内規程で設定するのが一般的です。実務では関連する法定保存期間を参考にします。会社法では計算書類等の保存が10年、税務関係の帳簿書類は原則7年とされており、これらを目安に同等以上の期間を定める例が多く見られます。ISOやISMSの認証を維持する場合は、審査周期を踏まえて記録を保持します。訴訟や調査への備えとして、余裕をもった期間を規程に明記し、廃棄手続も定めておくと管理が一貫します。

グローバル内部監査基準2024で報告書の書き方は変わりますか？

大きく様式を作り替える必要は通常ありませんが、記述の質を見直す好機です。2025年1月に施行されたグローバル内部監査基準では、原則15で結論のコミュニケーションと改善措置のモニタリングが求められ、報告の正確性・客観性・明瞭性や、リスクと不正の識別が重視されています。報告書では、結論を曖昧な表現で締めず、評価の根拠となる事実を対応づけて示すことが、基準に沿う書き方になります。属性基準と実施基準の区分廃止などは報告書の体裁に大きく影響しないと整理されていますが、自社の内部監査規程とテンプレートが新基準に整合しているかは確認しておくとよいでしょう。