評価範囲、2023年改訂、IT統制、不備評価、法務・内部監査・取締役会の役割を横断し、会社が監査法人へ説明できる状態をつくるための実務を整理します。
経営者評価、監査法人監査、法務・内部監査・ITの接続点を最初に整理します。
経営者評価、監査法人監査、法務・内部監査・ITの接続点を最初に整理します。
J-SOX対応と監査法人との連携は、財務報告の信頼性を支える内部統制を、会社が自ら設計・運用・評価し、その評価結果を監査法人が独立した立場から監査する実務です。監査法人に判断を委ねる作業ではなく、会社がリスク認識、評価範囲、統制設計、証跡、不備評価、是正計画を検証可能な形で説明するプロセスです。
この記事は一般的な情報提供です。重要な開示、不備評価、訂正報告、不正調査、M&A、海外子会社、当局対応などが関係する場合は、個別事情に基づき監査法人、弁護士、公認会計士、税理士、IT・フォレンジック専門家等と検討する必要があります。
次の重要ポイントは、J-SOX対応と監査法人との連携で最初に押さえるべき判断軸を示します。各項目は、経営者が説明責任を果たすために重要で、監査法人との協議でも何を中心に確認されるかを読み取れます。
「前年と同じ」「監査法人が言った」ではなく、会社が評価範囲、統制設計、運用証跡、不備の重要性、是正状況を自社の判断として説明できる状態が中核になります。
次の一覧は、J-SOX対応と監査法人との連携で特に重要な5つの観点を並べたものです。左上から順に、経営者評価、早期協議、リスクベース、法務関与、独立性の線引きを確認すると、年度内で優先すべき対応が見えます。
内部統制報告書の前提となる評価は会社が行います。監査法人はその妥当性を監査します。
評価範囲、IT変更、M&A、不正リスクは、期初または変更発生時点で協議します。
売上高等のおおむね3分の2や3勘定の目安は、機械的に使うものではありません。
契約条項、不祥事、内部通報、子会社管理、サイバー事故は財務報告に影響し得ます。
監査法人に統制設計や結論を代行させず、会社案に対する監査上の懸念を確認します。
制度の対象、内部統制の意味、監査法人が確認する内容を平易に整理します。
J-SOXとは、日本の金融商品取引法上の内部統制報告制度を指す通称です。制度の中心は、経営者が財務報告に係る内部統制を評価し、内部統制報告書を提出し、その報告書について公認会計士または監査法人の監査を受ける仕組みにあります。
次の一覧は、J-SOX対応と監査法人との連携で混同しやすい3つの主体を示します。誰が統制を作り、誰が評価し、誰が監査するかを分けて読むことが、独立性を損なわない実務につながります。
財務報告に係る内部統制を設計・運用し、評価範囲、評価手続、不備評価、是正計画を自ら説明します。
経営者評価の妥当性を監査証拠に基づき検討し、内部統制報告書に対する監査意見形成へつなげます。
取締役の職務執行や内部統制の運用状況を監視し、会社内部の独立的な検証と改善を担います。
内部統制とは、会社の業務が適正に行われるように、組織内部に設計・運用されるプロセスです。金融庁の内部統制基準では、業務の有効性及び効率性、報告の信頼性、法令等の遵守、資産の保全という目的と、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応という基本的要素が整理されています。
次の比較表は、J-SOX対応で頻出する用語と実務上の意味を対応させたものです。用語の定義だけでなく、監査法人との協議でどの資料や判断に結び付くかを確認できます。
| 用語 | 意味 | 実務上のポイント |
|---|---|---|
| J-SOX | 金融商品取引法上の内部統制報告制度の通称 | 上場会社等では経営者評価と監査法人監査が重要になります。 |
| 内部統制報告書 | 経営者が財務報告に係る内部統制の評価結果を記載する報告書 | 有価証券報告書と同時期に提出されます。 |
| 内部統制監査 | 監査法人が内部統制報告書について行う監査 | 財務諸表監査と一体的に実施されます。 |
| 全社的な内部統制 | 会社全体の統制環境、リスク評価、倫理、ガバナンス、モニタリング等 | トップマネジメント、取締役会、監査役等、内部監査の関与が重要です。 |
| 業務プロセス統制 | 売上、購買、在庫、固定資産、決算財務報告などの業務ごとの統制 | RCM、業務手順図、証跡、職務分掌が中心になります。 |
| IT全般統制 | アクセス管理、変更管理、運用管理、外部委託管理等 | クラウド、SaaS、ERP、ID管理、ログ、委託先SOC報告書が問題になりやすい領域です。 |
| RCM | Risk Control Matrixの略で、リスクと統制を対応付けた表 | 監査法人との共通言語になりやすい資料です。 |
| 開示すべき重要な不備 | 財務報告に重要な影響を及ぼす可能性が高く、開示が必要な内部統制上の不備 | 影響額だけでなく、不正、広範性、補完統制、再発可能性も検討します。 |
J-SOXの根拠は金融商品取引法にあります。一定の会社は、財務計算に関する書類その他の情報の適正性を確保するために必要な体制について評価した内部統制報告書を提出し、公認会計士または監査法人による監査証明と接続します。
次の時系列は、J-SOX対応と監査法人との連携で参照される制度・実務指針の流れを示します。上から下へ読むと、会社側の説明責任と監査法人側の監査実務がどのように接続しているかを把握できます。
財務報告の信頼性に関する情報を投資者へ提供する制度として、内部統制報告書と監査証明が結び付きます。
内部統制報告書の様式、是正状況、訂正内部統制報告書を提出する場合の理由・経緯などが実務上重要です。
内部統制の目的、基本的要素、評価範囲、不備評価、監査人との協議などの考え方が整理されています。
監査基準報告書第1号などを通じて、監査法人がどのような観点で内部統制監査を行うかが整理されます。
会社法上の内部統制システムは、J-SOXより広く、法令遵守、リスク管理、グループ管理、監査役等への報告体制などを含みます。実務では、会社法、コーポレートガバナンス・コード、内部監査、リスクマネジメント、コンプライアンス、J-SOXを分断せず、同じリスク地図を共有することが重要です。
報告の信頼性、評価範囲、不正リスク、IT、三様監査の影響を整理します。
2023年改訂は、J-SOX実務に大きな影響を与えました。内部統制の目的の一つが「財務報告の信頼性」から「報告の信頼性」へ見直され、非財務情報を含む報告の重要性、サイバーリスク、委託業務、監査役等・内部監査人・監査人の連携が改めて意識されるようになりました。
次の比較表は、2023年改訂で監査法人との協議に影響しやすい論点を整理したものです。左列で改訂のテーマを確認し、右列で会社がどのような説明資料を準備すべきかを読み取れます。
| 改訂の論点 | 実務上の意味 | 監査法人との協議ポイント |
|---|---|---|
| 報告の信頼性 | 財務情報に加え、非財務情報や任意開示が財務報告・開示統制へ与える影響を意識します。 | サステナビリティ情報、人的資本情報、KPI、リスク情報の作成過程を関係部門で共有します。 |
| 評価範囲の機械的運用からの脱却 | 売上高等のおおむね3分の2や3勘定の目安を画一的に使わず、リスクベースで説明します。 | 事業別、拠点別、勘定科目別、システム別、子会社別に評価範囲の理由を記録します。 |
| 不正リスク | 経営者による内部統制の無視、証跡隠し、関連当事者や代理店を利用した不正を重視します。 | 内部通報、懲戒、贈収賄、架空売上、循環取引などの情報をJ-SOX評価へ反映します。 |
| IT・委託・サイバー | ERP、SaaS、外部委託、ログ、障害、インシデントが財務報告に与える影響を検討します。 | IT部門・情報セキュリティ部門を期初から協議に参加させます。 |
| 三様監査と三線モデル | 第一線、第二線、第三線、監査役等、監査法人の役割を分けて連携します。 | 監査役等・内部監査・監査法人が重要リスクを相互に共有できる会議体を設計します。 |
会社が主語になること、早期協議、独立性の線引きを実務会話に落とします。
J-SOXで避けるべき姿勢は、「監査法人に見てもらえばよい」という受け身です。会社が、どの統制を重要と考えるか、どのリスクを評価対象とするか、どの証跡で運用を確認するか、どの不備を重要と見るかを判断し、その判断を監査法人に説明します。
次の判断の流れは、監査法人との望ましい協議の順番を示します。上から下へ、会社案の作成、監査上の懸念確認、証跡補強、会社判断の記録化という順に読むことで、独立性を保ちながら早期に論点を解消する実務が見えます。
評価範囲、統制設計、証跡、テスト方法、不備評価の会社見解を整理します。
監査上、追加で検討すべき観点、必要資料、懸念領域を確認します。
監査法人の懸念を踏まえ、補足証跡、範囲見直し、統制再設計、是正案を検討します。
議事録、論点表、評価範囲メモ、不備評価メモに判断過程を残します。
期初から提出後まで、会社側作業、監査法人連携、法務関与をつなげます。
J-SOX対応は、証跡が過去に蓄積されて初めて評価できます。年度末にルールを作っても、過去の運用証跡は作れません。監査法人への資料提出日だけではなく、統制設計、証跡保存、暫定テスト、是正確認の時期を年度計画に組み込みます。
次の年間表は、J-SOX対応と監査法人との連携を時期別に整理したものです。各行で、会社側作業、監査法人との確認、法務・コンプライアンスの関与を横並びで読み、期中に前倒しできる事項を特定します。
| 時期 | 会社側の主な作業 | 監査法人との連携 | 法務・コンプライアンスの関与 |
|---|---|---|---|
| 期初 | 前年度不備の振り返り、評価方針、評価範囲案、体制整備 | キックオフ、評価範囲案の説明、監査上の重点領域の確認 | 重要契約、紛争、不祥事、通報、規制変更を共有 |
| 第1四半期 | 全社的統制・IT統制・業務プロセスの更新、RCM改訂 | 変更点の確認、資料依頼、ウォークスルー準備 | 契約スキーム、規程改訂、権限規程、稟議統制を確認 |
| 第2四半期 | デザイン評価、ウォークスルー、暫定テスト | 統制設計の説明、証跡の妥当性確認 | 法的リスクが財務報告に与える影響を分析 |
| 第3四半期 | 運用評価、中間不備の是正、海外子会社評価 | 例外事項の共有、追加サンプル、補完統制協議 | 不祥事・内部通報・訴訟・当局調査の影響を共有 |
| 期末前 | 是正完了確認、未了事項の評価、決算統制準備 | 重要不備候補の協議、監査証拠の不足確認 | 開示、訂正リスク、取締役会報告の文案を検討 |
| 期末後 | 最終評価、内部統制報告書、監査対応 | 経営者評価の最終説明、監査意見形成への対応 | 取締役会・監査役等・開示資料との整合性を確認 |
| 提出後 | 改善計画、次年度方針、教育 | 監査結果の振り返り | 規程・契約・通報制度・研修に反映 |
評価範囲メモ、対象外不備、リスクベース判断の要点を整理します。
J-SOX対応で監査法人との議論になりやすいのが評価範囲です。どの会社、拠点、業務プロセス、勘定科目、システム、統制を評価対象にするかは、会社のリスク評価から始まります。
次の一覧は、評価範囲を決める際に最低限検討すべきリスク観点を示します。各項目を確認すると、単なる売上規模だけではなく、質的重要性や変更点を監査法人へ説明するための材料を整理できます。
売上高、利益、資産、負債、キャッシュフロー等による拠点・事業の分析を行います。
不正リスク、法規制、複雑取引、会計見積り、IT依存、外部委託を確認します。
M&A、海外子会社、新規事業、撤退事業、システム変更、人員変更を反映します。
前年度不備、内部監査指摘、監査法人指摘、是正未了事項を評価範囲に接続します。
訴訟、当局調査、不祥事、内部通報、関連当事者取引、重要契約を確認します。
次の比較表は、評価範囲メモに記載すべき項目を示します。左列を目次として使い、右列に会社の判断理由を記録すると、後日その範囲を選んだ理由を説明しやすくなります。
| 項目 | 記載内容 |
|---|---|
| 会社グループの概要 | 事業、拠点、子会社、海外展開、組織変更 |
| 量的重要性 | 売上、利益、資産等による拠点・事業の分析 |
| 質的重要性 | 不正リスク、法規制、複雑取引、会計見積り、IT依存 |
| 評価対象拠点 | 対象とした理由、対象外とした理由 |
| 評価対象プロセス | 売上、購買、在庫、固定資産、決算、IT等 |
| 評価対象システム | ERP、販売管理、在庫管理、電子承認、周辺システム |
| 除外範囲 | 除外理由、代替的モニタリング、重要性判断 |
| 変更点 | 前年度からの変更、M&A、システム変更、不備対応 |
| 監査法人との論点 | 相談事項、監査上の懸念、未確定事項 |
RCM、業務手順図、証跡、PBC管理の前提になる資料品質を確認します。
RCMは、リスクと統制を対応付ける表です。監査法人との連携では、抽象的に「承認する」「確認する」と書くだけでは足りません。誰が、何を、いつ、どの資料で、どの基準により、何を証跡として残すのかが第三者にも分かる必要があります。
次の比較表は、RCMに含めるべき情報と、監査法人が確認しやすい記載のポイントを示します。左列の項目を埋めるだけでなく、右列のように再現可能性と証跡の内容まで確認します。
| RCM項目 | 説明すべき内容 | 不足しやすい点 |
|---|---|---|
| リスク | どの虚偽表示や不正を防止・発見する統制か | リスクが一般論にとどまり、勘定科目や取引と結び付かない |
| 統制内容 | 実施者、頻度、対象資料、確認基準、差異対応 | 「確認する」とだけ書かれ、具体的手順が不明 |
| 証跡 | 承認ログ、照合表、レビューコメント、議事録、システムログ等 | 押印やチェックだけで、レビューの実質が分からない |
| 評価方法 | サンプル数、対象期間、例外処理、不備判定の基準 | テスト結果と不備評価メモがつながらない |
| 関連システム | マスタ、インターフェース、自動計算、承認経路 | 手作業とシステム処理の境界が不明 |
次の一覧は、統制証跡の種類と読み方を整理したものです。各項目では、証跡が「ある」だけではなく、日付、実施者、確認内容、差異対応、改ざんリスクの低さまで確認できるかが重要です。
承認者、承認日、承認対象、例外承認の理由が分かる状態にします。
権限例外管理何と何を照合し、差異にどう対応したかがコメントや再計算結果から分かるようにします。
証跡差異対応アクセス、変更、本番反映、エラー処理、退職者権限削除を追跡できるようにします。
IT統制ログ論点、会社見解、監査法人の懸念、担当、期限、結論、残リスクを残します。
記録論点管理クラウド・SaaS、スプレッドシート、契約法務、不祥事、M&Aを一体で整理します。
現代の財務報告は、ERP、販売管理、在庫管理、購買、電子承認、電子契約、経費精算、BI、クラウド、SaaS、RPA、生成AI活用などのIT基盤に大きく依存しています。IT部門・情報セキュリティ部門の参加が遅れると、年度末に証跡不足や範囲見直しが集中します。
次の比較表は、IT統制で監査法人と協議しやすい論点を整理したものです。どの領域を会社が管理し、どの領域をサービス提供者や外部委託先に依存しているかを読み分けることが重要です。
| 領域 | 主な論点 | 会社側で確認する資料 |
|---|---|---|
| アクセス管理 | 入退社時の権限付与・削除、特権ID、定期レビュー、共有ID | 権限一覧、レビュー記録、削除ログ、職務分掌表 |
| 変更管理 | プログラム変更、設定変更、マスタ変更、テスト、承認、本番反映 | 変更申請、承認記録、テスト結果、本番反映ログ |
| 運用管理 | ジョブ、バッチ、インターフェース、エラー処理、バックアップ | 運用ログ、エラー対応記録、リストアテスト記録 |
| クラウド・SaaS | SOC報告書、補完ユーザー企業統制、対象期間、除外事項 | SOC報告書、設定一覧、契約、障害報告、権限レビュー |
| スプレッドシート | 数式誤り、入力誤り、バージョン混在、アクセス制限不足 | 管理台帳、保管場所、レビュー証跡、数式チェック記録 |
次の一覧は、法務情報がJ-SOX評価へ影響しやすい場面を示します。契約、不祥事、規程、M&Aの情報が経理・内部統制・監査法人へ伝わらないと、会計処理の誤りや不備評価の漏れにつながります。
検収条件、返品権、価格調整、リベート、代理店関係、複数履行義務、ライセンス、解約条項、保証などを経理と共有します。
規程上の権限とシステム承認権限の不一致、緊急承認、兼務による牽制不足を内部統制担当・ITと是正します。
横領、粉飾、贈収賄、品質不正、情報漏えい、競争法違反などの財務報告影響を整理します。
不備の分類、評価メモ、是正完了、開示すべき重要な不備を整理します。
内部統制の不備は、統制が設計されていない、設計されていても有効に運用されていない、証跡が残っていない、または統制が虚偽表示を防止・発見するのに十分でない場合に発生します。不備評価では、量的重要性だけでなく、不正、経営者関与、法令違反、広範性、補完統制、再発可能性、過年度影響も考慮します。
次の比較表は、不備評価メモに含めるべき項目を示します。各行の観点を埋めることで、監査法人との協議に必要な事実、会社見解、是正方針を一つの資料にまとめられます。
| 項目 | 内容 |
|---|---|
| 事象 | 何が発生したか。いつ、どの部門、どの取引、どのシステムか。 |
| 関連統制 | RCM上のどの統制に関係するか。設計不備か運用不備か。 |
| 原因 | 人員不足、教育不足、規程不備、システム設定、権限集中、監督不足等。 |
| 影響 | 財務諸表のどの勘定・開示に影響し得るか。金額影響はあるか。 |
| 発見経緯 | 自己点検、内部監査、監査法人、通報、事故、当局調査等。 |
| 補完統制 | 他の統制により虚偽表示を防止・発見できたか。 |
| 広範性 | 他部門、他拠点、他システム、他期間にも同様の問題があるか。 |
| 不正可能性 | 意図的行為、管理者関与、証跡隠し、利益調整の可能性。 |
| 是正策 | 誰が、いつまでに、何を変更し、どう運用証跡を残すか。 |
| 結論 | 不備、重要な不備、開示すべき重要な不備のいずれか。 |
次の判断の流れは、監査法人から指摘を受けた後の対応順序を示します。上から下へ事実確認、分類、影響評価、補完統制、広がり調査、会社見解、是正、報告要否の順に確認すると、感情的な反論ではなく改善につながる対応になります。
対象取引、部門、システム、期間、証跡の有無を確認します。
設計不備、運用不備、証跡不足、統制目的の不足を分けます。
財務報告への影響、補完統制、他部門・他拠点・他期間への広がりを確認します。
不備評価メモ、是正計画、取締役会・監査役等への報告要否を整理します。
監査役等、内部監査、監査法人、取締役会の情報共有を設計します。
三様監査とは、監査役等、内部監査部門、監査法人の三者による監査の連携を指します。J-SOX対応では、内部監査が発見した統制不備、監査法人が発見した監査上の論点、監査役等が把握した取締役の職務執行上の問題が相互に関連します。
次の一覧は、三様監査と取締役会の役割を整理したものです。それぞれの責任と独立性を保ちながら、どのリスク情報を共有するかを読み取るために使えます。
会社内部の独立的評価として、不備発見、是正フォロー、翌年度監査計画への反映を行います。
取締役の職務執行、内部統制システム、重要不備、監査法人との連携状況を監視します。
財務諸表と内部統制報告書を監査し、監査証拠に基づき意見形成を行います。
重要リスク、不備、是正状況、監査法人指摘、経営判断事項を把握し、改善指示を記録します。
キックオフ、四半期会議、年度末会議、資料提出、論点表を運用します。
期初のキックオフ会議では、前年度監査結果、当年度の事業・組織・システム変更、評価範囲案、重要な業務プロセス、IT統制、不正リスク、会社側体制、提出期限、未確定論点を議題にします。法務が参加しない場合、契約・不祥事・規制変更・訴訟等の重要情報が抜け落ちることがあります。
次の比較表は、月次または四半期会議で運用する論点表の例です。左から右へ、論点、会社見解、監査法人の懸念、必要資料、担当、期限、状況を追うことで、年度末に未了論点が集中するリスクを下げられます。
| 論点 | 会社見解 | 監査法人の懸念 | 必要資料 | 担当 | 期限 | 状況 |
|---|---|---|---|---|---|---|
| A子会社の除外 | 売上・利益が僅少で質的重要性も低い | 新規取引が急増しているため追加分析が必要 | 月次推移、契約一覧、内部監査結果 | 内部統制部 | 6/30 | 対応中 |
| SaaS販売管理 | SOC報告書と補完統制で対応 | 権限レビュー証跡が不足 | 権限一覧、レビュー記録、退職者削除ログ | IT部 | 7/15 | 未了 |
| 返品リベート処理 | 契約上の条件に基づき月次引当 | 法務レビューとの連携証跡が不足 | 主要契約、会計メモ、承認記録 | 法務・経理 | 7/31 | 対応中 |
次の比較表は、PBC管理表に含めるべき項目を示します。資料提出の期限だけでなく、目的、品質確認者、機密区分、関連論点まで管理することで、監査法人対応を単なる資料授受で終わらせず、統制改善につなげられます。
| 項目 | 内容 |
|---|---|
| 依頼番号 | 監査法人の依頼を一意に管理する番号 |
| 依頼内容 | 何の資料か、対象期間、対象会社、対象プロセス |
| 目的 | どの監査手続・論点に関係するか |
| 担当部署 | 経理、法務、IT、内部監査、事業部門等 |
| 提出期限 | 監査法人との合意期限 |
| 提出状況 | 未着手、作成中、提出済、差戻し、完了 |
| 品質確認者 | 提出前に内容を確認する責任者 |
| 機密区分 | 個人情報、営業秘密、弁護士関与資料等 |
| 関連論点 | 不備、評価範囲、IT、契約、調査等 |
売上、在庫、決算、人件費、税務、サイバー、海外子会社、IPO準備企業を整理します。
J-SOX対応と監査法人との連携では、売上、在庫、決算、労務、税務、個人情報・サイバー事故など、財務報告へ影響しやすい典型論点をあらかじめ整理しておくことが有効です。海外子会社や成長企業では、現地統制や権限集中の問題も加わります。
次の一覧は、典型論点ごとに監査法人との協議で確認されやすい事項をまとめたものです。各項目を読むことで、どの部門を巻き込み、どの証跡を集めるべきかを把握できます。
押込み販売、架空売上、循環取引、検収前計上、返品・値引き・リベート、代理店取引、複数履行義務を確認します。
数量、評価、滞留、廃棄、棚卸、外部倉庫、委託在庫、輸送中在庫を確認します。
会計見積り、税効果、減損、引当金、連結調整、注記、開示チェック、経営者レビューを確認します。
給与、賞与引当、退職給付、未払残業、労働時間、出向・転籍、役員報酬を確認します。
法人税、消費税、移転価格、組織再編税制、税効果、不確実な税務ポジションを確認します。
システム停止、売上データ喪失、請求遅延、引当、偶発債務、開示、統制有効性への影響を確認します。
海外子会社は、現地法制、会計基準、言語、文化、ERP、人材、権限集中、親会社からの距離、内部監査頻度の違いにより、統制水準がばらつきやすい領域です。グループ監査の範囲、コンポーネント監査人、現地監査人、親会社監査人、内部統制評価チームの役割分担を整理します。
成長企業では、事業成長が内部統制整備に先行し、少人数で権限が集中しやすくなります。権限規程・稟議規程・職務分掌、決算レビュー、収益認識の契約レビュー、購買・経費承認、マスタ変更、ITアクセス権限、取締役会報告、内部通報、独立的モニタリングから優先して整備します。
期初、IT統制、法務・コンプライアンス、監査法人連携の確認事項をまとめます。
次の一覧は、J-SOX対応を期中で進めるための実務チェック項目です。上から順に、期初、IT統制、法務・コンプライアンス、監査法人連携を確認すると、部門横断で抜けやすい論点を点検できます。
前年度評価結果、監査法人指摘、重要不備候補、事業・組織・システム変更、M&A、重要契約、内部通報、評価範囲メモ、キックオフ会議を確認します。
期初重要システム一覧、SaaS・外部委託、権限一覧、退職者削除、特権ID、変更申請、エラー監視、SOC報告書、スプレッドシート台帳を確認します。
IT重要契約の会計影響、収益認識、引当、稟議規程、内部通報、関連当事者、訴訟・当局調査、個人情報・サイバー事故、共有資料の機密管理を確認します。
法務会社側責任者、監査法人窓口、年間日程、PBC期限、論点表、評価範囲、RCM、業務手順図、不備評価メモ、是正計画、監査役等・内部監査との共有を確認します。
連携チェック項目は、単なる確認リストとして終わらせず、証跡、担当、期限、未了事項、監査法人との協議状況に結び付けることが重要です。特に、法務情報とIT情報は年度末に後追いで集めると、追加評価や是正期間不足につながりやすくなります。
監査法人への照会文、不備評価メモ見出し、一般情報型FAQを掲載します。
次の文例は、評価範囲について会社方針案を示したうえで、監査法人に監査上の懸念を確認する形式です。会社が判断のたたき台を作り、追加検討点を確認する形にすることが、独立性を保つうえで重要です。
次の一覧は、不備評価メモの見出し例です。上から順に事象、影響、広がり、原因、是正、会社結論、報告要否を追うことで、監査法人との協議記録としても使いやすくなります。
| 番号 | 見出し | 確認する内容 |
|---|---|---|
| 1 | 事象の概要 | 何が、いつ、どこで発生したか |
| 2 | 発見経緯 | 自己点検、内部監査、監査法人、通報、事故等 |
| 3 | 関連する業務プロセス・統制 | RCM上の統制、設計不備・運用不備の分類 |
| 4 | 財務報告への影響可能性 | 影響する勘定・開示、金額影響、補完統制 |
| 5 | 量的重要性・質的重要性 | 金額、不正、経営者関与、広範性、再発可能性 |
| 6 | 是正策と期限 | 担当、期限、再設計内容、運用証跡 |
| 7 | 経営者評価上の結論 | 不備区分、監査法人との協議状況、報告要否 |
一般的には、評価範囲を決定する主体は会社とされています。監査法人は、会社の評価範囲の妥当性を監査上検討します。ただし、事業内容、組織変更、システム変更、不正リスク、監査上の発見事項によって必要な検討は変わる可能性があります。具体的な評価方針は、資料を整理したうえで監査法人や専門家と協議する必要があります。
一般的には、前年と同じであることだけでは十分な説明にならないとされています。事業、組織、システム、取引、子会社、不正リスク、法規制、監査上の指摘が変わっていれば、評価範囲の見直しが必要になる可能性があります。具体的には、変更点を評価範囲メモに整理し、監査法人等と確認する必要があります。
一般的には、基準の説明や監査上の懸念の共有を受けることはあり得るとされています。ただし、監査法人に統制設計を代行させたり、会社の判断を実質的に決めてもらったりすると、独立性の観点から問題になる可能性があります。具体的には、会社が案を作成し、監査上の論点を確認する形で協議する必要があります。
一般的には、重要契約、収益認識に影響する条項、稟議・権限規程、不祥事・内部通報、訴訟・当局調査、M&A、個人情報・サイバー事故、関連当事者取引について関与が重要とされています。ただし、会社の規模、業種、組織体制、取引内容によって関与範囲は変わります。具体的な分担は、経理、内部統制、内部監査、監査法人、弁護士等と整理する必要があります。
一般的には、J-SOXでは統制が実際に運用されたことを監査可能な形で示す必要があるとされています。口頭説明だけでは不十分と評価される可能性があります。ただし、統制の内容、補完統制、影響額、他の証跡の有無によって結論は変わります。具体的には、確認内容、確認者、日付、差異対応を記録する仕組みを整備し、個別の評価は専門家と協議する必要があります。
一般的には、すべての通報を直ちに詳細共有する必要があるとは限らないとされています。ただし、財務報告、内部統制、経営者関与、不正、法令違反、開示に影響し得る通報は、適切なタイミングと範囲で監査法人に共有する必要が生じる可能性があります。具体的な共有方法は、秘密保持、個人情報、調査保全に配慮し、弁護士、監査役等、法務、経理、内部監査と検討する必要があります。
一般的には、SOC報告書は重要な資料ですが、それだけで十分とは限らないとされています。対象期間、対象サービス、対象統制、除外事項、補完ユーザー企業統制を確認する必要があります。ただし、サービス内容、会社側の設定管理、権限レビュー、データ連携、例外処理によって必要な対応は変わります。具体的には、IT部門、内部統制担当、監査法人等と整理する必要があります。
一般的には、開示すべき重要な不備は、重要な虚偽表示が防止・発見されない可能性に関する評価であり、実際に財務諸表に重要な虚偽表示が存在することと同義ではないとされています。ただし、財務諸表監査への影響、追加手続、投資者への説明は重要になります。具体的な影響評価は、事実関係と証跡を整理し、監査法人や専門家と協議する必要があります。
部門別の関与、失敗パターン、統合的な運用モデルをまとめます。
J-SOX対応を高度化するには、経理財務だけでなく、法務、コンプライアンス、内部監査、IT、事業部門、監査役等、社外取締役、外部専門家が、それぞれの専門性を接続する必要があります。特に法務部門は、契約、不祥事、規程、権限、紛争、開示、役員責任を通じて、J-SOXの質を大きく左右します。
次の比較表は、専門職・部門ごとの関与ポイントを整理したものです。誰がどの情報を持ち、どの統制や証跡へ接続するかを確認することで、部門間の抜け漏れを減らせます。
| 専門職・部門 | 関与ポイント |
|---|---|
| 企業内弁護士・法務担当 | 契約、規程、権限、紛争、不祥事、開示、取締役会対応をJ-SOXと接続します。 |
| 外部弁護士 | 不正調査、訂正報告、役員責任、当局対応、訴訟、第三者委員会を支援します。 |
| 公認会計士・監査法人 | 内部統制報告書を監査し、財務諸表監査との一体的観点から証拠を評価します。 |
| 税理士 | 税務論点、税効果、組織再編税制、税務調査対応の財務報告影響を支援します。 |
| 社会保険労務士 | 労務債務、未払残業、退職給付、労務コンプライアンスを支援します。 |
| 内部統制担当 | RCM、評価範囲、テスト、証跡、不備評価を統括します。 |
| 内部監査担当 | 独立的なモニタリング、不備発見、是正フォローを行います。 |
| コンプライアンス担当 | 内部通報、不祥事、研修、法令遵守、反社・贈収賄を統制に反映します。 |
| IT・情報セキュリティ担当 | IT全般統制、サイバー、クラウド、ID管理、システム変更を管理します。 |
| 監査役等・社外取締役 | 取締役の職務執行、内部統制システム、監査法人との連携を監督します。 |
次の一覧は、実務上の失敗パターンと予防策を対応させたものです。各項目では、属人化、証跡不足、前年踏襲、不祥事情報の分断、IT部門の参加遅れを早期に見つけることが重要です。
論点表とPBC管理表を共有し、重要論点には法務、IT、事業部門、内部監査を参加させます。
月次・四半期の通常業務に証跡作成を組み込み、システムログや電子承認を活用します。
期初に評価範囲メモを作成し、事業変更やシステム変更を明示します。
内部通報・不祥事対応の手順に、財務報告影響の判定とJ-SOX担当への共有要否を組み込みます。
IT変更管理会議とJ-SOX会議を接続し、重要システム変更を期中で共有します。
制度資料名と法令名を確認しやすい形で整理します。