2σ Guide

内部統制・J-SOXの実務
財務報告内部統制と企業法務

制度の定義、法的枠組み、2024年以降の改訂、評価範囲、IT統制、不備対応、会社法との関係を、企業法務・経理・内部監査の接点から整理します。

4目的内部統制の基本目的
6要素内部統制の構成
3線監督・評価の考え方
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

内部統制・J-SOXの実務 財務報告内部統制と企業法務

財務報告だけに閉じない、法務・会計・監査・IT・経営管理をつなぐ制度として整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
内部統制・J-SOXの実務 財務報告内部統制と企業法務
財務報告だけに閉じない、法務・会計・監査・IT・経営管理をつなぐ制度として整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 内部統制・J-SOXの実務 財務報告内部統制と企業法務
  • 財務報告だけに閉じない、法務・会計・監査・IT・経営管理をつなぐ制度として整理します。

POINT 1

  • 内部統制・J-SOXの全体像をつかむ
  • 財務報告だけに閉じない、法務・会計・監査・IT・経営管理をつなぐ制度として整理します。
  • 内部統制・J-SOXは、監査人に提出する文書を整えるだけの作業ではありません。
  • 企業が適正な財務報告を継続し、投資者、取引先、金融機関、従業員、社会から信頼されるための経営管理とガバナンスの仕組みです。
  • J-SOXは、日本における金融商品取引法上の内部統制報告制度を指す実務上の呼称です。

POINT 2

  • 内部統制・J-SOXの定義と違い
  • 内部統制は広い管理プロセス、J-SOXは財務報告内部統制の評価・報告制度です。
  • 内部統制とは何か
  • J-SOXとは何か

POINT 3

  • 内部統制・J-SOXの法的枠組み
  • 1. 内部統制報告制度の根拠:上場会社等が事業年度ごとに内部統制を評価し、内部統制報告書を有価証券報告書と併せて提出する枠組みです。
  • 2. 様式・用語・作成方法:内部統制報告書の用語、様式、作成方法を定め、企業会計審議会基準を一般に公正妥当と認められる基準に位置付けます。
  • 3. 企業会計審議会基準・実施基準の改訂:評価範囲の根拠、報告の信頼性、IT・委託先・リスク対応など、2024年以降の実務に直結する改訂が公表されました。
  • 4. 内部統制府令改正等の施行・適用:内部統制府令とガイドラインの改正により、委託業務を含む体制の考え方や開示実務の留意点が重要になりました。
  • 5. 内部統制監査基準報告書第1号の改正適用:内部統制監査に関する監査実務指針の改正が適用され、監査人との協議・責任分担の整理がより重要になります。

POINT 4

  • 2024年以降の内部統制・J-SOX改訂対応
  • 報告の信頼性
  • 財務報告だけでなく、組織内外への報告や非財務情報を含む報告の信頼性が内部統制の目的として明確化されています。
  • 評価範囲の根拠
  • 重要な事業拠点の選定指標・割合、対象プロセス、個別追加の判断理由を説明できる状態が求められます。

POINT 5

  • 内部統制・J-SOXを支える六つの基本的要素
  • 統制環境
  • リスクの評価と対応
  • 統制活動
  • 情報と伝達
  • モニタリング
  • ITへの対応
  • 統制環境からITへの対応まで、個別統制が機能する前提を確認します。

POINT 6

  • 内部統制・J-SOXに関係する者の役割と責任
  • 経営者、取締役会、監査役等、内部監査、法務、監査人の責任分担を整理します。
  • 内部統制・J-SOXは、経理や内部監査だけで完結しません。
  • 法務・ コンプライアンス 部門はJ-SOXの中心部署でない場合でも、財務報告に影響する情報の入口になり得ます。

POINT 7

  • 内部統制・J-SOX評価範囲の決め方
  • 1. 1. 連結ベースの重要リスク把握:事業、子会社、取引類型、IT、委託先、法務事象を整理します。
  • 2. 2. 全社的な内部統制の評価:統制環境、取締役会、監査役等、内部通報、不正リスクを確認します。
  • 3. 3. 重要拠点・重要勘定・業務プロセスの識別:売上、在庫、見積り、決算、IT、子会社などをリスクで絞ります。
  • 4. 4. 個別追加の要否判断:新規事業、M&A、海外子会社、システム変更、不正調査を加味します。
  • 5. 5. 文書化と統制上の要点選定:業務記述書、業務の流れ図、RCM、キーコントロールを整備します。
  • 6. 6. 整備評価・運用評価:設計の妥当性と一定期間の運用実績を証跡で確認します。
  • 7. 7. 不備評価・是正・報告:不備の重要性、補完統制、是正状況を経営者評価に反映します。

POINT 8

  • 内部統制・J-SOXの業務プロセス統制
  • 販売、購買、在庫、人件費、決算・財務報告の要点を法務接点とともに確認します。
  • 販売プロセスの法務接点
  • 購買・在庫・労務のリスク
  • 業務プロセス統制では、重要な虚偽記載リスクを低減するキーコントロールを選びます。

まとめ

  • 内部統制・J-SOXの実務 財務報告内部統制と企業法務
  • 内部統制・J-SOXの全体像をつかむ:財務報告だけに閉じない、法務・会計・監査・IT・経営管理をつなぐ制度として整理します。
  • 内部統制・J-SOXの定義と違い:内部統制は広い管理プロセス、J-SOXは財務報告内部統制の評価・報告制度です。
  • 内部統制・J-SOXの法的枠組み:金融商品取引法、内部統制府令、企業会計審議会基準、監査実務指針の関係を押さえます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

内部統制・J-SOXの全体像をつかむ

財務報告だけに閉じない、法務・会計・監査・IT・経営管理をつなぐ制度として整理します。

内部統制・J-SOXは、監査人に提出する文書を整えるだけの作業ではありません。企業が適正な財務報告を継続し、投資者、取引先、金融機関、従業員、社会から信頼されるための経営管理とガバナンスの仕組みです。

J-SOXは、日本における金融商品取引法上の内部統制報告制度を指す実務上の呼称です。米国SOX法を参考に導入されましたが、日本では金融商品取引法、内部統制府令、企業会計審議会の基準・実施基準、監査実務指針により構成される独自の制度として運用されています。

基準時点このページは、2026年5月17日現在の公表資料を前提に、一般的な制度理解を目的として整理しています。法令・基準・実務指針は改正され得るため、個別案件では最新資料と専門家の助言を確認する必要があります。

最初に、内部統制・J-SOXが何を支えているのかを短く把握します。ここで示す三つの視点は、制度の広がりを読み取る入口として重要であり、目的・構成要素・監督線のどこに課題があるかを点検する手がかりになります。

Purpose

四つの目的

業務の有効性・効率性、報告の信頼性、法令等の遵守、資産の保全という四つの目的が、内部統制の基本的な到達点です。

Elements

六つの基本的要素

統制環境、リスク評価、統制活動、情報と伝達、モニタリング、ITへの対応が相互に機能して初めて実効性が生まれます。

Governance

三つの監督線

業務部門、リスク管理部門等、内部監査部門を分け、取締役会や監査役等の監督・監視と接続する発想が重要です。

企業法務の観点では、粉飾決算、架空売上、在庫評価の誤り、決算承認プロセスの形骸化、アクセス権限の不備、経営者による統制の無視、子会社の不正、重大訴訟や不祥事の会計処理漏れが、いずれも内部統制・J-SOXの問題として現れ得ます。

このページでは、内部統制・J-SOXを、法務・会計・監査・IT・経営管理をつなぐ制度として捉え、制度の全体像、用語、実務手順、法的リスク、2024年以降の改訂対応、典型的な失敗例、実務チェックリストまでを一体的に確認します。

Section 01

内部統制・J-SOXの定義と違い

内部統制は広い管理プロセス、J-SOXは財務報告内部統制の評価・報告制度です。

内部統制とは何か

日本の企業会計審議会基準では、内部統制は業務に組み込まれ、組織内のすべての者によって遂行されるプロセスとして位置付けられます。紙の規程やマニュアルだけではなく、承認、照合、職務分掌、システム権限、例外処理、棚卸、決算レビュー、取締役会報告、内部通報、内部監査、ログ管理など、日々の業務に組み込まれた仕組みを含みます。

J-SOXとは何か

J-SOXは、主に上場会社等が、財務報告の適正性を確保するための内部統制を評価し、その結果を内部統制報告書として有価証券報告書と併せて提出する制度です。中心は財務報告に係る内部統制であり、すべての法令遵守や労務・個人情報・品質・安全衛生などを直接監査対象にする制度ではありません。

ただし、法務・コンプライアンス上の事象が、引当金、偶発債務、減損、罰金、リコール費用、売上取消、開示事項などを通じて財務報告に重要な影響を及ぼす場合、J-SOX上も重要なリスクになります。

次の比較表は、内部統制とJ-SOXの射程を整理したものです。両者を混同すると、全社のリスク管理を過度に狭く見たり、逆にJ-SOX評価の対象を際限なく広げたりするため、目的・対象・責任者・法務との接点を分けて読むことが重要です。

項目内部統制J-SOX
概念組織が目的を達成するための広い管理プロセス金融商品取引法上の財務報告内部統制の評価・報告制度
主な目的業務効率、報告信頼性、法令遵守、資産保全財務報告の信頼性確保
主な対象全社・全業務・全役職員財務報告に重要な影響を及ぼす全社統制、業務プロセス統制、IT統制
主な責任者経営者、取締役会、監査役等、業務部門、内部監査経営者が評価・報告し、監査人が内部統制監査を行う
法務との関係会社法、金商法、労働法、個人情報、業法、契約管理等と広く関連金商法開示、虚偽記載、取締役責任、開示統制、不正対応と密接に関連
Section 02

内部統制・J-SOXの法的枠組み

金融商品取引法、内部統制府令、企業会計審議会基準、監査実務指針の関係を押さえます。

J-SOXの根拠は、金融商品取引法上の内部統制報告制度です。内部統制報告書は有価証券報告書と併せて提出され、公認会計士または監査法人の監査証明を受けることが制度の中核です。

制度の全体像を時系列で見ると、どの資料が経営者評価、監査、開示、委託先管理に効いているかを把握しやすくなります。次の時系列は、改訂対応で確認すべき公表資料と適用時期を示しており、社内規程・評価調書・監査人協議の更新漏れを避けるために重要です。

金融商品取引法

内部統制報告制度の根拠

上場会社等が事業年度ごとに内部統制を評価し、内部統制報告書を有価証券報告書と併せて提出する枠組みです。

内部統制府令

様式・用語・作成方法

内部統制報告書の用語、様式、作成方法を定め、企業会計審議会基準を一般に公正妥当と認められる基準に位置付けます。

2023年4月7日

企業会計審議会基準・実施基準の改訂

評価範囲の根拠、報告の信頼性、IT・委託先・リスク対応など、2024年以降の実務に直結する改訂が公表されました。

令和6年4月1日

内部統制府令改正等の施行・適用

内部統制府令とガイドラインの改正により、委託業務を含む体制の考え方や開示実務の留意点が重要になりました。

2025年4月1日以後開始事業年度

内部統制監査基準報告書第1号の改正適用

内部統制監査に関する監査実務指針の改正が適用され、監査人との協議・責任分担の整理がより重要になります。

監査人の役割と責任分担

監査人は、経営者が作成した内部統制報告書が評価基準に準拠して評価結果を適正に表示しているかについて意見を表明します。監査人は会社の内部統制を作る人ではなく、経営者評価を監査する独立した専門家です。この区別を誤ると、独立性や責任分担の問題が生じます。

制度文書の関係を次の一覧にまとめます。列は、資料名、実務上の位置付け、法務が確認すべき接点を表しており、どの部署がどの資料を根拠に判断しているかを揃えるために重要です。

資料・制度実務上の位置付け法務が見る接点
金融商品取引法内部統制報告制度の法的根拠有価証券報告書、虚偽記載、開示責任
内部統制府令内部統制報告書の様式・作成方法記載事項、開示すべき重要な不備、委託業務
企業会計審議会基準・実施基準経営者評価と内部統制監査の中心文書評価範囲、全社統制、業務プロセス、IT統制
監査実務指針内部統制監査を行う監査人側の手続指針監査人との協議、証跡、評価範囲の説明
Section 03

2024年以降の内部統制・J-SOX改訂対応

評価範囲の根拠、報告の信頼性、ガバナンス、IT・委託先をリスク起点で見直します。

2024年以降の内部統制・J-SOX対応で特に重要なのは、形式的な評価範囲の踏襲ではなく、企業内外の変化、リスクの変化、IT環境、委託先、海外子会社、不正リスク、非財務情報を含む報告の信頼性を意識したリスク・アプローチです。

次の重点一覧は、改訂対応で経営者・法務・経理・内部監査・ITが同じ認識を持つべき論点を並べたものです。どの項目も、内部統制報告書の記載だけでなく、取締役会報告、監査人協議、委託先契約、システム管理の実務に影響するため、横断的に読むことが重要です。

報告の信頼性

財務報告だけでなく、組織内外への報告や非財務情報を含む報告の信頼性が内部統制の目的として明確化されています。

評価範囲の根拠

重要な事業拠点の選定指標・割合、対象プロセス、個別追加の判断理由を説明できる状態が求められます。

ガバナンス・ERM

J-SOXを経理部門の文書管理に閉じず、取締役会、監査役等、リスク管理、内部通報、内部監査と接続します。

IT・クラウド・委託先

会計システムだけでなく、SaaS、BPO、クラウド基盤、アクセス権限、ログ、サイバーリスクを評価します。

評価範囲の説明が重要になった理由

改訂後の基準では、内部統制報告書において、財務報告に係る内部統制の評価範囲について、範囲の決定方法および根拠を含めて記載することが求められます。前年と同じ、売上高が一定割合を超えるといった機械的対応だけでは、リスクの変化を十分に説明できない場合があります。

ITと外部委託の広がり

現代の内部統制・J-SOXでは、販売管理、購買管理、在庫管理、承認システム、経費精算、CRM、EC、決済、電子契約、電子請求、データ連携、RPA、BI、生成AI利用、権限管理、ログ管理、バックアップ、変更管理、委託先の統制保証報告書などを含めて、財務報告への影響を評価する必要があります。

注意J-SOXの法定評価・監査対象が直ちにすべてのサステナビリティ情報や人的資本情報へ拡大したという意味ではありません。ただし、開示全体の信頼性と財務報告内部統制は、実務上切り離しにくくなっています。
Section 04

内部統制・J-SOXを支える六つの基本的要素

統制環境からITへの対応まで、個別統制が機能する前提を確認します。

内部統制の六つの基本的要素は、個別の承認や照合を支える土台です。次の一覧は、六要素がそれぞれ何を担い、どのような不備につながりやすいかを示しており、単なる用語暗記ではなく、自社の弱点を見つける視点として読むことが重要です。

01

統制環境

誠実性と倫理観、経営者の姿勢、取締役会・監査役等の機能、組織構造、権限・職責、人事方針を含む基礎です。

02

リスクの評価と対応

財務報告の信頼性に影響するリスクを識別・分析し、リスクに応じて統制を設計します。

03

統制活動

承認、照合、職務分掌、権限管理、レビュー、例外処理、証跡保存など、リスクを低減する具体的手続です。

04

情報と伝達

営業、購買、物流、法務、人事、IT、子会社、委託先から必要情報が適時・正確に届く仕組みです。

05

モニタリング

日常的な確認と独立的評価により、内部統制が有効に機能しているかを継続的に検証します。

06

ITへの対応

システム開発・変更、運用、アクセス、外部委託、入力・エラー処理・マスタ管理などを統制します。

J-SOXで評価すべきリスクは、会計処理だけでなく、事業部門・子会社・IT・法務事象から発生します。次の一覧は、リスク領域と典型例を対応させたもので、評価範囲やキーコントロールを検討する際に、どの領域で重要な虚偽記載リスクが生じるかを読み取るために使えます。

リスク領域典型例
売上架空売上、期間帰属誤り、返品・リベート未反映、代理人取引の誤処理
在庫棚卸差異、滞留在庫評価、原価計算誤り、外部倉庫の管理不備
見積り貸倒引当金、減損、繰延税金資産、工事進行基準、退職給付
資金不正送金、銀行残高照合不備、権限集中、デリバティブ管理
子会社現地会計処理の誤り、親会社への報告遅延、職務分掌不足
ITアクセス権限不備、変更管理不備、ログ未確認、バックアップ不備
法務重大訴訟、行政処分、リコール、贈収賄、独禁法違反、反社取引
開示注記漏れ、適時開示遅延、有価証券報告書の非財務情報との不整合

統制環境が弱い会社で起きること

売上目標達成を過度に重視し、未出荷売上や押し込み販売を黙認する風土がある場合、販売プロセスの承認印は形骸化します。経営者が例外承認を乱発し、証跡を残さない場合、決裁規程やJ-SOX文書も実効性を失います。

Section 05

内部統制・J-SOXに関係する者の役割と責任

経営者、取締役会、監査役等、内部監査、法務、監査人の責任分担を整理します。

内部統制・J-SOXは、経理や内部監査だけで完結しません。次の役割一覧は、誰が整備・運用・監督・評価・監査を担うかを示しており、責任が曖昧なまま監査対応だけ進むことを防ぐために重要です。

関係者主な役割実務上の注意点
経営者内部統制の整備・運用の最終責任を負い、評価・報告を行う評価範囲、不備、是正計画、監査人協議へ主体的に関与する
取締役会内部統制の基本方針を決定し、経営者の業務執行を監督するJ-SOX評価結果、重要不備、子会社・委託先・ITリスクの報告を受ける
監査役等独立した立場から内部統制の整備・運用状況を監視・検証する内部監査、会計監査人、法務・コンプライアンスと連携する
内部監査・J-SOX評価担当評価範囲策定、RCM更新、整備評価、運用評価、不備評価を行う統制オーナーの代わりに証跡を作る運用は避ける
法務・コンプライアンス契約、紛争、通報、不祥事、規程、取締役会事務局を通じて財務報告へ情報を接続する会計影響のある法的事象を経理・開示へ伝達する統制を持つ
公認会計士・監査法人経営者評価に基づく内部統制報告書を監査する評価範囲の決定責任は経営者にあり、監査人が会社の代わりに決定するわけではない

法務・コンプライアンス部門はJ-SOXの中心部署でない場合でも、財務報告に影響する情報の入口になり得ます。次の一覧は、法務業務とJ-SOXの接点を示しており、契約・紛争・通報・規程・M&Aが会計処理や開示にどうつながるかを読み取るために重要です。

法務・コンプライアンスの役割J-SOXとの接点
重要契約の審査売上認識、保証義務、解約条件、違約金、リース、共同開発、代理店契約
訴訟・紛争管理引当金、偶発債務、後発事象、リスク情報開示
内部通報対応不正会計、横領、架空取引、労務・品質不正の財務影響
贈収賄・独禁法・反社対応罰金、課徴金、取引停止、信用低下、開示リスク
規程整備決裁規程、職務分掌、文書管理、情報管理、委託先管理
取締役会事務局内部統制基本方針、取締役会報告、議事録、社外役員への情報提供
M&A・PMI買収子会社の統制、会計方針、権限移譲、システム統合
実務視点法務部門がJ-SOXを会計の話として距離を置くと、重大な法的事象が財務報告に反映されないリスクが高まります。逆に、法務が経理・内部監査と連携すれば、内部統制は不祥事予防・危機管理・開示統制の基盤になります。
Section 06

内部統制・J-SOX評価範囲の決め方

範囲が狭すぎても広すぎても問題になるため、根拠あるリスク・アプローチが核心です。

評価範囲は、J-SOXの品質とコストを決定します。範囲が狭すぎれば重要なリスクを見落とし、範囲が広すぎれば評価工数が膨張し、重要統制に焦点を当てられません。改訂後の実務では、結論だけでなく、なぜその範囲にしたのかという決定方法・根拠の説明が重要です。

次の判断の流れは、一般的なJ-SOX評価の順番を示しています。上から下へ進む順番に意味があり、全社統制を見たうえで業務プロセスへ進み、不備評価と報告に戻す構造を読み取ることが重要です。

評価範囲決定から報告までの流れ

1. 連結ベースの重要リスク把握

事業、子会社、取引類型、IT、委託先、法務事象を整理します。

2. 全社的な内部統制の評価

統制環境、取締役会、監査役等、内部通報、不正リスクを確認します。

3. 重要拠点・重要勘定・業務プロセスの識別

売上、在庫、見積り、決算、IT、子会社などをリスクで絞ります。

4. 個別追加の要否判断

新規事業、M&A、海外子会社、システム変更、不正調査を加味します。

5. 文書化と統制上の要点選定

業務記述書、業務の流れ図、RCM、キーコントロールを整備します。

6. 整備評価・運用評価

設計の妥当性と一定期間の運用実績を証跡で確認します。

7. 不備評価・是正・報告

不備の重要性、補完統制、是正状況を経営者評価に反映します。

評価範囲を前年と同じにしてよいかは、事業環境の変化で変わります。次の一覧は、見直しの引き金になりやすい出来事を整理したもので、該当項目がある場合は、評価範囲・統制設計・監査人協議を再確認する必要性を読み取れます。

事業・組織の変化

新規事業、買収・合併・事業譲渡会社分割、組織再編、経営者やCFO、経理責任者の交代。

海外・子会社の変化

海外子会社の売上・利益・在庫増加、親会社への報告遅延、現地会計処理の変更。

IT・委託先の変化

基幹システム、会計システム、承認システムの変更、BPOやクラウドサービスの拡大。

リスク・監査指摘の変化

重要な会計上の見積り、内部通報、不正調査、監査法人の指摘、規制・会計基準・税制の変更。

Section 07

内部統制・J-SOXの業務プロセス統制

販売、購買、在庫、人件費、決算・財務報告の要点を法務接点とともに確認します。

業務プロセス統制では、重要な虚偽記載リスクを低減するキーコントロールを選びます。次の一覧は、主要プロセスごとの統制上の要点と法務接点を示しており、どの業務で契約・紛争・労務・品質情報を経理へつなぐべきかを読み取るために重要です。

01

販売プロセス

受注承認、与信、出荷・役務提供・検収、返品・値引き・リベート、請求照合、売掛金確認、期末日前後のカットオフが要点です。

売上認識契約条件
02

購買・債務プロセス

取引先登録、発注承認、検収、請求書照合、支払承認、職務分掌、マスタ変更管理が要点です。

支払統制委託先管理
03

在庫・原価プロセス

棚卸、差異分析、廃棄承認、評価減判定、標準原価改定、原価差異分析、外部倉庫管理を確認します。

棚卸品質・リコール
04

人件費・労務プロセス

勤怠、給与計算委託、承認権限、マスタ管理、賞与引当、未払残業代、労務紛争を確認します。

給与労務リスク
05

決算・財務報告プロセス

連結決算、税効果、減損、引当金、注記、開示チェック、有価証券報告書作成、監査対応が中核です。

FCRP見積り

販売プロセスの法務接点

検収条件、返品権、買戻し義務、代理人取引、複数履行義務、成果報酬、違約金、保証条項は、会計処理と開示に影響します。法務部門は、契約条項が売上認識へ与える影響を経理部門と共有する必要があります。

購買・在庫・労務のリスク

購買では架空発注、二重支払、反社・贈収賄、再委託、秘密保持、監査権限が問題になります。在庫では数量・単価・評価の三つのリスクがあり、品質不良やリコール情報も経理へ伝える必要があります。労務では未払残業代、労働時間管理、ハラスメント、解雇紛争、退職給付制度変更が引当金や偶発債務に影響し得ます。

会計上の見積りは、単純な照合だけでは十分に評価できません。次の一覧は、決算・財務報告プロセスで特に経営者判断が必要になる領域を示しており、前提・根拠資料・レビュー・専門家関与・取締役会報告の要否を読み取るために重要です。

見積り・判断領域必要な確認法務との接点
貸倒引当金債権状況、回収可能性、取引先信用契約解除、債権回収、倒産対応
棚卸評価滞留、廃棄、低価法、販売可能性リコール、品質不良、返品義務
固定資産減損事業計画、将来キャッシュフロー、使用状況事業撤退、賃貸借、共同開発契約
繰延税金資産課税所得見込み、税務リスク組織再編、税務調査、契約条件
訴訟引当金請求額、敗訴可能性、和解見込み紛争管理、外部専門家意見、開示
Section 08

内部統制・J-SOXにおけるIT統制と委託先管理

IT全般統制、IT業務処理統制、SaaS・BPO・外部委託を財務報告リスクから見ます。

IT統制は、財務報告を支える見えにくい基盤です。会計システムだけでなく、販売、購買、在庫、経費、電子契約、データ連携、クラウド基盤、委託先を含めて、処理の完全性・正確性・正当性を確認する必要があります。

次の比較表は、IT全般統制、IT業務処理統制、SaaS・BPO・外部委託の違いを整理したものです。どの統制が環境を支え、どの統制が取引処理を直接支え、どの統制が委託先に広がるかを読み取ることが重要です。

領域主な確認事項不備が生じた場合の影響
IT全般統制システム開発・変更管理、運用管理、アクセス管理、外部委託管理業務処理統制の信頼性そのものが揺らぎ、広範な不備につながり得る
IT業務処理統制入力情報の完全性・正確性・正当性、エラー処理、マスタ管理、認証、操作範囲未承認取引、単価誤り、出荷なし売上、マスタ改ざんなどが発生し得る
SaaS・BPO・外部委託契約上の監査権、再委託、障害対応、ログ、セキュリティ、SOC報告書、個人情報、インシデント通知委託先の統制不備が、自社の財務報告・開示・法的責任へ波及し得る

実務で確認すべき事項は、システムの種類ごとに異なります。次の一覧は、重要システムの棚卸からクラウドサービスの設定確認までを並べたもので、情報システム部門だけでなく、経理・内部監査・法務が共同で見るべきポイントを読み取るために重要です。

A

重要システム一覧

財務報告への影響に基づき、会計・販売・購買・在庫・経費・連結・開示のシステムを整理します。

対象特定
B

変更管理

申請、承認、テスト、本番移行、記録保存を経ているかを確認します。

変更履歴
C

アクセス管理

特権IDの付与・利用・棚卸・ログ確認、退職者・異動者の削除・変更を確認します。

権限
D

運用管理

バッチ処理、インターフェース、バックアップ、障害対応を管理します。

運用
E

委託先管理

クラウドサービスの設定変更、ログ、可用性、データ保全、契約条項を確認します。

外部委託
契約視点給与計算、経費精算、販売管理、EC決済、物流、会計システム運用、クラウド基盤、カスタマーサポートを外部に委託する場合、契約書上の監査権、再委託管理、障害時対応、データ返還、秘密保持、インシデント通知義務が重要になります。
Section 09

内部統制・J-SOXの証跡管理

統制は実施だけでなく、後から確認できる状態で記録・保存されることが必要です。

J-SOXでしばしば問題になるのは、統制が実施されていたとしても、その証跡が残っていないことです。経営者は、財務報告に係る内部統制の評価手続・評価結果、発見した不備、是正措置を記録・保存する必要があります。

次の証跡原則は、「やった」ではなく「後から確認できる」状態を作るための着眼点です。列は、何を残すべきか、なぜ重要か、よくある不備を示しており、証跡を統制実施と同時に残す設計へ移行するために重要です。

証跡原則なぜ重要かよくある不備
承認者・承認日・承認対象・判断内容が分かる承認の実在性と責任者を確認できる印影だけで対象や判断内容が不明
レビューで何を見て何を確認したかが分かる形式的な閲覧と実質的な検討を区別できるチェック印だけで例外処理が不明
システム承認をログ・履歴で追跡できる後日検証と改ざん防止に役立つ承認履歴の保存期間が短い
例外処理の理由と承認が記録される例外が通常化していないかを見られる口頭承認や事後追認に依存する
メール・チャット承認の保存ルールがある分散した証跡を評価時に確認できる担当者端末にだけ残り、退職後に追えない
証跡の後付け作成を禁止する統制の信頼性を損なう行為を防ぐ監査直前に承認漏れを整える

証跡管理を実効的にするには、統制実施と保存を分けない設計が有効です。次の一覧は、証跡を自然に残しやすい仕組みを示しており、手作業の負担を減らしながら後日検証可能性を高めるために何を導入・見直しすべきかを読み取れます。

Workflow

電子承認

申請、承認、差戻し、例外処理の履歴を一元管理し、権限表と接続します。

Contract

電子契約・文書管理

契約締結、更新、解約、保管部署、閲覧権限を管理し、会計影響のある契約情報を伝達します。

Log

ログ・チケット管理

システム変更、障害対応、権限付与、レビュー結果を記録し、内部監査で追跡できる状態にします。

Section 10

内部統制・J-SOXの不備評価と是正措置

不備は根本原因・影響範囲・補完統制・期末時点の運用実績まで見て評価します。

内部統制の不備とは、統制が存在しない、設計が不十分、または運用されていないため、財務報告上の虚偽記載リスクを十分に低減できない状態をいいます。検収確認がない、見積りレビュー証跡がない、承認なしの本番移行、退職者IDの残存、子会社決算パッケージのレビュー不足、重要契約の会計影響が経理に伝わらないことなどが典型例です。

次の判断の流れは、不備を発見した後に、単なる承認漏れの補修で終わらせず、根本原因・影響範囲・報告までつなげる順番を示しています。上から下へ進むことで、是正策が期末時点の経営者評価にどう影響するかを読み取ることが重要です。

不備発見後の是正判断

不備の内容を特定

設計不備か、運用不備か、証跡不足かを整理します。

影響範囲と補完統制を確認

対象期間、勘定科目、拠点、プロセス、代替的な確認手続を見ます。

重要性を評価

金額的重要性に加え、経営者による統制無視や決算・開示プロセスなど質的重要性を考慮します。

重要性が高い
開示すべき重要な不備を検討

取締役会、監査役等、監査人へ適切に報告します。

補完可能
是正と再発防止を確認

責任者、期限、運用証跡、規程・教育・システム反映を見ます。

開示すべき重要な不備

開示すべき重要な不備は、財務報告に重要な影響を及ぼす可能性が高い内部統制の不備です。金額的重要性だけでなく、経営者による統制無視、監査役等への報告不備、決算・開示プロセスの不備、IT全般統制の広範な不備、連結子会社管理の重大不備、不正リスクに関連する不備など、質的重要性も考慮します。

内部統制報告書の評価結果は、複数の表明方法に分かれます。次の一覧は、代表的な表明パターンと実務上の意味を整理しており、期末時点で是正が完了しているか、評価手続が実施できたかを確認するために重要です。

評価結果実務上の意味確認すべき点
有効である評価基準日において重要な不備がないと評価した状態評価範囲、手続、証跡、不備判断の根拠
一部手続未実施だが有効一部制約があるものの、重要な点で有効と判断した状態未実施理由、代替手続、影響範囲
開示すべき重要な不備があり有効でない重要な不備が期末日時点で残っている状態不備内容、影響、是正計画、期末後措置
評価結果を表明できない重要な評価手続を実施できず、結論を出せない状態制約の原因、範囲、開示との整合性
Section 11

内部統制・J-SOXと会社法・ガバナンス

会社法上の内部統制、取締役責任、開示統制、不祥事対応と接続して理解します。

会社法上の内部統制は、取締役の職務執行が法令・定款に適合することを確保する体制、会社および企業集団の業務の適正を確保する体制を中心とします。J-SOXが財務報告の信頼性に焦点を当てるのに対し、会社法上の内部統制は、より広く業務の適正、コンプライアンス、リスク管理、情報保存、子会社管理などを含みます。

次の接点一覧は、会社法上の内部統制とJ-SOXがどこで重なり合うかを整理したものです。社内規程や取締役会資料だけでなく、実際の運用がJ-SOX上の統制環境へ影響するため、両制度を別々に管理しないことが重要です。

接点確認すべき内容
内部統制システム基本方針J-SOX評価範囲や全社統制の評価と矛盾していないか
取締役会・監査役等への報告J-SOX評価結果、不備、是正状況、重要リスクが報告されているか
内部通報・不祥事調査決算・開示への影響が経理・開示部門に伝わっているか
子会社管理規程連結J-SOX評価、決算パッケージ、親会社報告と接続しているか
決裁規程・職務分掌規程RCMやキーコントロールの責任者・承認権限と整合しているか
重要契約・紛争・行政処分会計影響と開示要否の伝達ルートがあるか

内部統制報告書は投資者向けの開示書類

内部統制報告書には、整備および運用に関する事項、評価の範囲・評価時点・評価手続、評価結果、付記事項等を記載します。専門用語を羅列するだけでなく、会社の評価範囲、評価基準日、評価手続、評価結果、不備の内容、是正状況が、読み手に誤解を与えない形で記載される必要があります。

内部統制報告書の記載を確認する際は、開示全体との整合性が重要です。次の一覧は、記載前に確認したい項目を示しており、評価範囲の抽象性、前年からの変更、重要な不備、期末後の是正、有価証券報告書や適時開示との矛盾を読み取るために使えます。

Scope

評価範囲の説明

重要拠点の選定指標と割合、個別追加した拠点・プロセス、前年からの変更理由が明確かを確認します。

Defect

重要な不備の説明

内容、原因、影響、是正されない理由、期末後措置、前年度不備の是正状況が具体的かを確認します。

Consistency

開示資料との整合性

有価証券報告書、監査報告書、取締役会資料、適時開示との整合性を確認します。

Section 12

不正・危機対応と内部統制・J-SOX

不正を完全に防ぐ制度ではないからこそ、予防・早期発見・影響限定・再発防止に使います。

内部統制・J-SOXは、不正を完全に防止する制度ではありません。判断誤り、共謀、経営者による統制の無視、環境変化、費用対効果などの固有の限界があります。しかし、不正の予防・早期発見・影響限定・再発防止において、内部統制は重要な役割を持ちます。

不正が発覚した場合は、会計、開示、法的責任、信用リスクを同時に管理する必要があります。次の時系列は、初動から再発防止までの確認順を示しており、証拠保全と財務報告への影響を並行して見る重要性を読み取れます。

初動

事実調査と証拠保全

調査範囲、関係資料、ログ、端末、契約書、承認履歴を保全し、調査体制を整えます。

会計

会計処理と不備評価

過年度訂正、引当、損失計上、開示すべき重要な不備の有無、補完統制を検討します。

報告

監査人・監査役等・取締役会への報告

事実、影響、暫定対応、開示要否、是正方針を適切な会議体へ報告します。

責任

役員責任・懲戒・請求等の検討

民事・刑事・労務・契約上の責任、ステークホルダー対応を検討します。

再発防止

統制設計と運用の見直し

根本原因を踏まえ、権限、証跡、教育、システム、委託先管理を更新します。

危機対応では、複数の専門領域が同時に動きます。次の一覧は、関与する専門領域と役割を整理したもので、会計・開示・法的責任・信用リスクを分断せず管理する必要性を読み取るために重要です。

Legal

法務・外部専門家

調査範囲、証拠保全、役員責任、懲戒、民事請求、刑事対応、契約責任を整理します。

Accounting

会計・監査

会計処理、過年度訂正、内部統制上の不備評価、監査人対応を整理します。

IT

デジタル調査・システム

ログ、アクセス、データ保全、改ざん有無、システム統制の弱点を確認します。

Communication

開示・広報

適時開示、有価証券報告書訂正、取引先・従業員・投資者への説明を整えます。

Section 13

IPO準備会社・非上場会社の内部統制・J-SOX

法定義務の有無だけでなく、企業価値・信用力・審査対応の基盤として整備します。

J-SOXの法定義務は主に上場会社等を対象としますが、IPO準備会社や非上場会社にとっても、内部統制・J-SOXの考え方は重要です。上場審査、監査法人対応、証券会社審査、内部管理体制確認、反社チェック、関連当事者取引、予算管理、決算早期化、子会社管理、労務管理、契約管理、情報セキュリティが問題になります。

次の比較表は、上場会社、IPO準備会社、非上場会社で内部統制・J-SOXを整える意味の違いを示しています。法定義務だけで判断せず、借入、M&A、外部資本受入、取引先審査、グループ統制への影響を読み取ることが重要です。

会社の段階主な目的重点論点
上場会社等内部統制報告書の提出と監査対応評価範囲、重要不備、開示、監査人協議、取締役会報告
IPO準備会社上場審査と内部管理体制の整備N-3期からN期までの体制整備、決算早期化、反社チェック、関連当事者取引
非上場会社企業価値と信用力の向上借入、M&A、事業承継、外部資本受入、取引先審査、グループ統制

中堅・中小企業で多いリスク

中堅・中小企業では、オーナー経営者への権限集中、職務分掌不足、口頭承認、証跡不足、経理担当者への依存、システム権限の未整備が典型的リスクです。J-SOX文書を上場直前に一気に作るのではなく、数年前から決算・販売・購買・在庫・人件費・IT・法務・コンプライアンスの統制を段階的に整えることが重要です。

IPO準備では、段階ごとに整備すべき統制が変わります。次の時系列は、上場前の準備期間から申請期までに何を整えるかを示しており、文書化だけでなく、運用実績と改善履歴を積み上げる必要性を読み取るために重要です。

N-3期以前

基礎体制の整備

規程、決裁権限、契約管理、会計方針、重要システム、反社チェックを整えます。

N-2期

主要プロセスの文書化

販売、購買、在庫、人件費、決算、IT、子会社管理の責任者と証跡を整理します。

N-1期

運用評価と改善

サンプル確認、例外処理、不備の是正、監査人・証券会社との協議を進めます。

N期

申請書類と開示整合

上場申請書類、内部管理体制、開示資料、取締役会報告の整合性を確認します。

Section 14

内部統制・J-SOX構築の実践ロードマップ

現状把握から継続的改善まで、8段階で実務を進めます。

内部統制・J-SOX構築は、資料を集めるだけでも、評価調書を埋めるだけでも足りません。次の時系列は、現状把握から継続的改善までの8段階を示しており、どの順番でリスクを見つけ、統制を設計し、運用実績を確認するかを読み取るために重要です。

Phase 1

現状把握

事業、組織、会計処理、主要システム、子会社、委託先、重要契約、規程、過去の監査指摘、不正・事故・内部通報を整理します。

Phase 2

リスク評価

売上、在庫、見積り、決算、IT、子会社、法務事象、委託先を中心に、発生可能性と影響度を評価します。

Phase 3

統制設計

承認、照合、レビュー、職務分掌、システム制御、例外処理、証跡保存を明確にします。

Phase 4

文書化

業務記述書、業務の流れ図、RCM、権限表、システム一覧、委託先一覧、評価範囲決定資料を作成します。

Phase 5

整備評価・運用評価

設計がリスクを低減する仕組みとして適切か、一定期間にわたり運用されているかを証跡で確認します。

Phase 6

不備評価・是正

影響範囲、補完統制、質的重要性、金額的重要性を評価し、期末日前に運用実績を示せるよう早期に是正します。

Phase 7

経営者評価・報告

評価範囲、評価手続、評価結果、不備、是正状況を内部統制報告書と取締役会・監査役等・監査人への報告に反映します。

Phase 8

継続的改善

新規事業、システム変更、M&A、組織改編、監査指摘、不正・事故をきっかけに、評価範囲と統制設計を更新します。

構築の進め方を確認した後は、実効性の点検項目へ落とし込みます。次のチェックリストは、経営者理解、評価範囲、全社統制、法務情報、キーコントロール、IT、委託先、証跡、不備、報告、監査人協議、開示整合を並べたもので、抜けやすい担当部署を読み取るために重要です。

No.チェック項目主な担当
1経営者がJ-SOX評価方針・重要リスクを理解しているか経営者、CFO、内部監査
2評価範囲の決定方法・根拠を文書化しているか経理、内部監査、監査人対応担当
3全社的な内部統制の評価が形式的でなく、取締役会・監査役等・内部通報・不正リスクを含むか経営企画、法務、内部監査
4重要契約・訴訟・行政処分・不祥事情報が経理に伝達される仕組みがあるか法務、経理、コンプライアンス
5販売・購買・在庫・人件費・決算のキーコントロールがリスクに対応しているか業務部門、経理、内部監査
6IT全般統制の対象システムが財務報告への影響に基づき特定されているか情報システム、経理、内部監査
7クラウド・BPO・外部委託先の統制を確認しているか法務、情報システム、経理、購買
8承認・レビュー・照合の証跡が後から検証可能か統制オーナー、内部監査
9不備の根本原因分析と是正計画が行われているか統制オーナー、内部監査、経営者
10取締役会・監査役等にJ-SOX評価結果と重要不備が報告されているか経営者、内部監査、取締役会事務局
11監査人との協議内容が社内の評価判断と整合しているか経理、内部監査、CFO
12有価証券報告書、内部統制報告書、適時開示、取締役会資料に矛盾がないか法務、開示、経理
Section 15

内部統制・J-SOXのよくある誤解とFAQ

制度の限界と責任分担を一般情報として整理し、個別判断は専門家確認が必要であることを明確にします。

J-SOXは文書を作れば足りますか

一般的には、J-SOX文書は重要ですが、文書は統制そのものではないとされています。業務記述書やRCMが整っていても、実際の承認・照合・レビュー・権限管理が機能していなければ、内部統制の有効性に疑義が生じる可能性があります。具体的な評価は、会社の業務実態、証跡、監査人との協議内容によって変わるため、専門家に相談する必要があります。

監査法人が評価範囲を決めてくれるのですか

一般的には、評価範囲を決定する責任は経営者にあるとされています。監査人との協議は重要ですが、監査人が会社の代わりに経営判断を行うわけではありません。具体的な範囲設定は、事業、子会社、IT、委託先、不正リスク、過年度指摘などによって変わるため、資料を整理したうえで専門家に相談する必要があります。

ITシステムを導入すれば内部統制は完成しますか

一般的には、システムは統制を強化する手段になりますが、それだけで内部統制が完成するわけではないとされています。設定、権限、変更管理、マスタ管理、ログ確認、例外処理、委託先管理が不十分な場合、むしろリスクが集中する可能性があります。具体的な対応は、システム構成と財務報告への影響を確認したうえで専門家に相談する必要があります。

法務部門はJ-SOXと関係がないのでしょうか

一般的には、法務部門もJ-SOXと重要な接点を持つとされています。訴訟、契約、行政処分、不祥事、内部通報、M&A、関連当事者取引、反社対応、情報漏えいは、財務報告に重要な影響を及ぼす可能性があります。具体的な情報伝達体制は、会社の組織、決裁規程、開示体制によって変わるため、専門家に相談する必要があります。

前年と同じ評価範囲なら安全ですか

一般的には、前年と同じ評価範囲で足りるとは限らないとされています。事業環境、組織、IT、委託先、子会社、会計上の見積り、不正リスクは変化します。2024年以降の改訂では、評価範囲の決定方法・根拠の説明が重視されるため、具体的な判断は最新の状況を整理したうえで専門家に相談する必要があります。

Section 16

内部統制・J-SOXは信頼を設計する制度

形式的な文書整備ではなく、財務報告・法務・IT・ガバナンスを継続的に接続する仕組みです。

内部統制・J-SOXは、形式的な文書整備ではなく、企業の信頼を設計・運用・検証する制度です。経営者がリスクを理解し、取締役会が監督し、監査役等が監視・検証し、業務部門が統制を実行し、内部監査が独立的に評価し、法務・コンプライアンスが法的リスクを財務報告へ接続し、IT部門がデータとシステムの信頼性を支え、監査人が独立した立場から内部統制報告書を監査する。この全体が機能して初めて、内部統制・J-SOXは実効性を持ちます。

2024年以降の改訂対応では、評価範囲の根拠、リスク・アプローチ、ガバナンス・ERMとの一体運用、IT・クラウド・サイバーリスク、非財務情報を含む報告の信頼性への意識が重要です。企業法務に携わる者は、J-SOXを会計監査の周辺業務としてではなく、会社法、金融商品取引法、開示規制、取締役責任、不祥事対応、契約管理、グループガバナンスをつなぐ中心的テーマとして理解する必要があります。

最後に、重要論点の全体を一覧で確認します。次の一覧は、企業法務が内部統制・J-SOXで特に押さえるべき項目を並べたもので、契約、関連当事者、内部通報、M&A、海外子会社をどこで財務報告へ接続するかを読み取るために重要です。

重要契約管理

収益認識、保証、返品、買戻し、解約、ペナルティ、検収、知財ライセンス、代理店、リース、金融取引、関連当事者取引を経理と連携します。

関連当事者取引

取締役会承認、契約条件の合理性、相手方確認、開示要否、会計処理、子会社・役員・主要株主との取引管理を確認します。

内部通報

不正会計、横領、架空取引、キックバック、在庫不正、売上操作の通報は、不備評価や開示判断に直結します。

M&A・PMI

買収子会社の会計方針、決算期、ERP、権限、職務分掌、内部通報、契約管理、税務、在庫、売上認識を早期に把握します。

海外子会社管理

言語、商慣習、現地会計、税務、贈収賄、為替、現地システム、職務分掌不足、親会社への報告遅延を確認します。

内部統制・J-SOXの本質は、過去の誤りを見つけることだけではありません。将来の誤りを防ぎ、組織の意思決定を透明にし、リスクを可視化し、信頼できる財務報告を継続的に生み出す仕組みを作ることにあります。

Guide

内部統制・J-SOXで次に確認したいこと

目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。

知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。

このテーマから次に確認されやすい詳しい解説を7件表示しています。

Reference

内部統制・J-SOXの参考資料

制度・基準

  • 企業会計審議会 財務報告に係る内部統制の評価及び監査の基準
  • 企業会計審議会 財務報告に係る内部統制の評価及び監査に関する実施基準
  • 金融庁 金融商品取引法に基づく内部統制報告制度の概要
  • 財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令
  • 金融庁 内部統制府令ガイドライン
  • 日本公認会計士協会 財務報告内部統制監査基準報告書第1号 財務報告に係る内部統制の監査