2σ Guide

J-SOX対応と
監査法人との連携

評価範囲、2023年改訂、IT統制、不備評価、法務・内部監査・取締役会の役割を横断し、会社が監査法人へ説明できる状態をつくるための実務を整理します。

2023内部統制基準改訂
5連携の中核論点
3三様監査・三線モデル
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

J-SOX対応と 監査法人との連携

経営者評価、監査法人監査、法務・内部監査・ITの接続点を最初に整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
J-SOX対応と 監査法人との連携
経営者評価、監査法人監査、法務・内部監査・ITの接続点を最初に整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • J-SOX対応と 監査法人との連携
  • 経営者評価、監査法人監査、法務・内部監査・ITの接続点を最初に整理します。

POINT 1

  • J-SOX対応と監査法人との連携の全体像
  • 経営者評価
  • 内部統制報告書の前提となる評価は会社が行います。
  • 早期協議
  • 評価範囲、IT変更、M&A、不正リスクは、期初または変更発生時点で協議します。

POINT 2

  • J-SOX対応と監査法人との連携で押さえる基礎
  • 制度の対象、内部統制の意味、監査法人が確認する内容を平易に整理します。
  • 会社・経営者
  • 監査法人
  • 監査役等・内部監査

POINT 3

  • J-SOX対応と監査法人との連携に関わる法令・基準
  • 1. 内部統制報告制度:財務報告の信頼性に関する情報を投資者へ提供する制度として、内部統制報告書と監査証明が結び付きます。
  • 2. 記載事項と訂正報告:内部統制報告書の様式、是正状況、訂正内部統制報告書を提出する場合の理由・経緯などが実務上重要です。
  • 3. 評価と監査の基本枠組み:内部統制の目的、基本的要素、評価範囲、不備評価、監査人との協議などの考え方が整理されています。
  • 4. 監査法人側の手続:監査基準報告書第1号などを通じて、監査法人がどのような観点で内部統制監査を行うかが整理されます。
  • 5. 内部統制システムとの接続:会社法 上の内部統制システム、取締役会監督、監査役等への報告体制とも連動して運用します。

POINT 4

  • 2023年改訂後のJ-SOX対応と監査法人との連携
  • 報告の信頼性、評価範囲、不正リスク、IT、三様監査の影響を整理します。
  • 2023年改訂は、J-SOX実務に大きな影響を与えました。

POINT 5

  • J-SOX対応と監査法人との連携の基本原則
  • 1. 会社が評価方針案を作る:評価範囲、統制設計、証跡、テスト方法、不備評価の会社見解を整理します。
  • 2. 監査法人に論点を提示する:監査上、追加で検討すべき観点、必要資料、懸念領域を確認します。
  • 3. 会社が追加分析を行う:監査法人の懸念を踏まえ、補足証跡、範囲見直し、統制再設計、是正案を検討します。
  • 4. 会社判断として記録する:議事録、論点表、評価範囲メモ、不備評価メモに判断過程を残します。

POINT 6

  • J-SOX対応と監査法人との連携を年間で設計する
  • 期初から提出後まで、会社側作業、監査法人連携、法務関与をつなげます。
  • J-SOX対応は、証跡が過去に蓄積されて初めて評価できます。
  • 年度末にルールを作っても、過去の運用証跡は作れません。
  • 監査法人への資料提出日だけではなく、統制設計、証跡保存、暫定テスト、是正確認の時期を年度計画に組み込みます。

POINT 7

  • J-SOX評価範囲を監査法人と協議する実務
  • 量的重要性
  • 売上高、利益、資産、負債、キャッシュフロー等による拠点・事業の分析を行います。
  • 質的重要性
  • 不正リスク、法規制、複雑取引、会計見積り、IT依存、外部委託を確認します。

POINT 8

  • J-SOX文書化と証跡を監査法人に説明する方法
  • RCM、業務手順図、証跡、PBC管理の前提になる資料品質を確認します。
  • 証跡は存在だけでなく内容が重要
  • RCMは、リスクと統制を対応付ける表です。
  • 監査法人との連携では、抽象的に「承認する」「確認する」と書くだけでは足りません。

まとめ

  • J-SOX対応と 監査法人との連携
  • J-SOX対応と監査法人との連携の全体像:経営者評価、監査法人監査、法務・内部監査・ITの接続点を最初に整理します。
  • J-SOX対応と監査法人との連携で押さえる基礎:制度の対象、内部統制の意味、監査法人が確認する内容を平易に整理します。
  • J-SOX対応と監査法人との連携に関わる法令・基準:金融商品取引法、内閣府令、内部統制基準、会社法の関係をつなげます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

J-SOX対応と監査法人との連携の全体像

経営者評価、監査法人監査、法務・内部監査・ITの接続点を最初に整理します。

J-SOX対応と監査法人との連携は、財務報告の信頼性を支える内部統制を、会社が自ら設計・運用・評価し、その評価結果を監査法人が独立した立場から監査する実務です。監査法人に判断を委ねる作業ではなく、会社がリスク認識、評価範囲、統制設計、証跡、不備評価、是正計画を検証可能な形で説明するプロセスです。

この記事は一般的な情報提供です。重要な開示、不備評価、訂正報告、不正調査、M&A、海外子会社、当局対応などが関係する場合は、個別事情に基づき監査法人、弁護士、公認会計士、税理士、IT・フォレンジック専門家等と検討する必要があります。

次の重要ポイントは、J-SOX対応と監査法人との連携で最初に押さえるべき判断軸を示します。各項目は、経営者が説明責任を果たすために重要で、監査法人との協議でも何を中心に確認されるかを読み取れます。

評価主体は会社、監査法人は独立した監査人

「前年と同じ」「監査法人が言った」ではなく、会社が評価範囲、統制設計、運用証跡、不備の重要性、是正状況を自社の判断として説明できる状態が中核になります。

次の一覧は、J-SOX対応と監査法人との連携で特に重要な5つの観点を並べたものです。左上から順に、経営者評価、早期協議、リスクベース、法務関与、独立性の線引きを確認すると、年度内で優先すべき対応が見えます。

経営者評価

内部統制報告書の前提となる評価は会社が行います。監査法人はその妥当性を監査します。

早期協議

評価範囲、IT変更、M&A、不正リスクは、期初または変更発生時点で協議します。

リスクベース

売上高等のおおむね3分の2や3勘定の目安は、機械的に使うものではありません。

法務関与

契約条項、不祥事、内部通報、子会社管理、サイバー事故は財務報告に影響し得ます。

独立性

監査法人に統制設計や結論を代行させず、会社案に対する監査上の懸念を確認します。

Section 01

J-SOX対応と監査法人との連携で押さえる基礎

制度の対象、内部統制の意味、監査法人が確認する内容を平易に整理します。

J-SOXとは、日本の金融商品取引法上の内部統制報告制度を指す通称です。制度の中心は、経営者が財務報告に係る内部統制を評価し、内部統制報告書を提出し、その報告書について公認会計士または監査法人の監査を受ける仕組みにあります。

次の一覧は、J-SOX対応と監査法人との連携で混同しやすい3つの主体を示します。誰が統制を作り、誰が評価し、誰が監査するかを分けて読むことが、独立性を損なわない実務につながります。

Company

会社・経営者

財務報告に係る内部統制を設計・運用し、評価範囲、評価手続、不備評価、是正計画を自ら説明します。

Audit Firm

監査法人

経営者評価の妥当性を監査証拠に基づき検討し、内部統制報告書に対する監査意見形成へつなげます。

Governance

監査役等・内部監査

取締役の職務執行や内部統制の運用状況を監視し、会社内部の独立的な検証と改善を担います。

内部統制とは何か

内部統制とは、会社の業務が適正に行われるように、組織内部に設計・運用されるプロセスです。金融庁の内部統制基準では、業務の有効性及び効率性、報告の信頼性、法令等の遵守、資産の保全という目的と、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応という基本的要素が整理されています。

次の比較表は、J-SOX対応で頻出する用語と実務上の意味を対応させたものです。用語の定義だけでなく、監査法人との協議でどの資料や判断に結び付くかを確認できます。

用語意味実務上のポイント
J-SOX金融商品取引法上の内部統制報告制度の通称上場会社等では経営者評価と監査法人監査が重要になります。
内部統制報告書経営者が財務報告に係る内部統制の評価結果を記載する報告書有価証券報告書と同時期に提出されます。
内部統制監査監査法人が内部統制報告書について行う監査財務諸表監査と一体的に実施されます。
全社的な内部統制会社全体の統制環境、リスク評価、倫理、ガバナンス、モニタリング等トップマネジメント、取締役会、監査役等、内部監査の関与が重要です。
業務プロセス統制売上、購買、在庫、固定資産、決算財務報告などの業務ごとの統制RCM、業務手順図、証跡、職務分掌が中心になります。
IT全般統制アクセス管理、変更管理、運用管理、外部委託管理等クラウド、SaaS、ERP、ID管理、ログ、委託先SOC報告書が問題になりやすい領域です。
RCMRisk Control Matrixの略で、リスクと統制を対応付けた表監査法人との共通言語になりやすい資料です。
開示すべき重要な不備財務報告に重要な影響を及ぼす可能性が高く、開示が必要な内部統制上の不備影響額だけでなく、不正、広範性、補完統制、再発可能性も検討します。
Section 02

J-SOX対応と監査法人との連携に関わる法令・基準

金融商品取引法、内閣府令、内部統制基準、会社法の関係をつなげます。

J-SOXの根拠は金融商品取引法にあります。一定の会社は、財務計算に関する書類その他の情報の適正性を確保するために必要な体制について評価した内部統制報告書を提出し、公認会計士または監査法人による監査証明と接続します。

次の時系列は、J-SOX対応と監査法人との連携で参照される制度・実務指針の流れを示します。上から下へ読むと、会社側の説明責任と監査法人側の監査実務がどのように接続しているかを把握できます。

金融商品取引法

内部統制報告制度

財務報告の信頼性に関する情報を投資者へ提供する制度として、内部統制報告書と監査証明が結び付きます。

内閣府令・様式

記載事項と訂正報告

内部統制報告書の様式、是正状況、訂正内部統制報告書を提出する場合の理由・経緯などが実務上重要です。

内部統制基準・実施基準

評価と監査の基本枠組み

内部統制の目的、基本的要素、評価範囲、不備評価、監査人との協議などの考え方が整理されています。

監査実務指針

監査法人側の手続

監査基準報告書第1号などを通じて、監査法人がどのような観点で内部統制監査を行うかが整理されます。

会社法・ガバナンス

内部統制システムとの接続

会社法上の内部統制システム、取締役会監督、監査役等への報告体制とも連動して運用します。

会社法上の内部統制システムは、J-SOXより広く、法令遵守、リスク管理、グループ管理、監査役等への報告体制などを含みます。実務では、会社法、コーポレートガバナンス・コード、内部監査、リスクマネジメント、コンプライアンス、J-SOXを分断せず、同じリスク地図を共有することが重要です。

Section 03

2023年改訂後のJ-SOX対応と監査法人との連携

報告の信頼性、評価範囲、不正リスク、IT、三様監査の影響を整理します。

2023年改訂は、J-SOX実務に大きな影響を与えました。内部統制の目的の一つが「財務報告の信頼性」から「報告の信頼性」へ見直され、非財務情報を含む報告の重要性、サイバーリスク、委託業務、監査役等・内部監査人・監査人の連携が改めて意識されるようになりました。

次の比較表は、2023年改訂で監査法人との協議に影響しやすい論点を整理したものです。左列で改訂のテーマを確認し、右列で会社がどのような説明資料を準備すべきかを読み取れます。

改訂の論点実務上の意味監査法人との協議ポイント
報告の信頼性財務情報に加え、非財務情報や任意開示が財務報告・開示統制へ与える影響を意識します。サステナビリティ情報、人的資本情報、KPI、リスク情報の作成過程を関係部門で共有します。
評価範囲の機械的運用からの脱却売上高等のおおむね3分の2や3勘定の目安を画一的に使わず、リスクベースで説明します。事業別、拠点別、勘定科目別、システム別、子会社別に評価範囲の理由を記録します。
不正リスク経営者による内部統制の無視、証跡隠し、関連当事者や代理店を利用した不正を重視します。内部通報、懲戒、贈収賄、架空売上、循環取引などの情報をJ-SOX評価へ反映します。
IT・委託・サイバーERP、SaaS、外部委託、ログ、障害、インシデントが財務報告に与える影響を検討します。IT部門・情報セキュリティ部門を期初から協議に参加させます。
三様監査と三線モデル第一線、第二線、第三線、監査役等、監査法人の役割を分けて連携します。監査役等・内部監査・監査法人が重要リスクを相互に共有できる会議体を設計します。
注意非財務情報の重要性が増しても、金融商品取引法上の内部統制報告制度が直ちにすべての非財務情報をJ-SOX監査対象にしたという単純な理解は適切ではありません。制度の直接対象を確認しつつ、財務報告や開示統制への影響を検討します。
Section 04

J-SOX対応と監査法人との連携の基本原則

会社が主語になること、早期協議、独立性の線引きを実務会話に落とします。

J-SOXで避けるべき姿勢は、「監査法人に見てもらえばよい」という受け身です。会社が、どの統制を重要と考えるか、どのリスクを評価対象とするか、どの証跡で運用を確認するか、どの不備を重要と見るかを判断し、その判断を監査法人に説明します。

次の判断の流れは、監査法人との望ましい協議の順番を示します。上から下へ、会社案の作成、監査上の懸念確認、証跡補強、会社判断の記録化という順に読むことで、独立性を保ちながら早期に論点を解消する実務が見えます。

監査法人との協議の順番

会社が評価方針案を作る

評価範囲、統制設計、証跡、テスト方法、不備評価の会社見解を整理します。

監査法人に論点を提示する

監査上、追加で検討すべき観点、必要資料、懸念領域を確認します。

会社が追加分析を行う

監査法人の懸念を踏まえ、補足証跡、範囲見直し、統制再設計、是正案を検討します。

会社判断として記録する

議事録、論点表、評価範囲メモ、不備評価メモに判断過程を残します。

早期協議が必要な事項

  • 評価範囲の変更、新規事業、撤退事業、M&A、組織再編
  • 重要な会計方針変更、会計見積りの変更
  • ERP、会計システム、販売管理システム等の変更
  • クラウド、外部委託、シェアードサービスの利用拡大
  • 不正・不祥事・内部通報・サイバーインシデント
  • 重要な契約スキーム、収益認識、代理店取引
  • 海外子会社、持分法会社、ジョイントベンチャーの統制
  • 前年度不備、監査上の指摘、是正未了事項
重要監査法人に統制設計そのものを代行させること、会社の経営判断を実質的に決定させること、テスト結果や不備評価の結論を事前に保証させることは、独立性の観点から問題になり得ます。
Section 05

J-SOX対応と監査法人との連携を年間で設計する

期初から提出後まで、会社側作業、監査法人連携、法務関与をつなげます。

J-SOX対応は、証跡が過去に蓄積されて初めて評価できます。年度末にルールを作っても、過去の運用証跡は作れません。監査法人への資料提出日だけではなく、統制設計、証跡保存、暫定テスト、是正確認の時期を年度計画に組み込みます。

次の年間表は、J-SOX対応と監査法人との連携を時期別に整理したものです。各行で、会社側作業、監査法人との確認、法務・コンプライアンスの関与を横並びで読み、期中に前倒しできる事項を特定します。

時期会社側の主な作業監査法人との連携法務・コンプライアンスの関与
期初前年度不備の振り返り、評価方針、評価範囲案、体制整備キックオフ、評価範囲案の説明、監査上の重点領域の確認重要契約、紛争、不祥事、通報、規制変更を共有
第1四半期全社的統制・IT統制・業務プロセスの更新、RCM改訂変更点の確認、資料依頼、ウォークスルー準備契約スキーム、規程改訂、権限規程、稟議統制を確認
第2四半期デザイン評価、ウォークスルー、暫定テスト統制設計の説明、証跡の妥当性確認法的リスクが財務報告に与える影響を分析
第3四半期運用評価、中間不備の是正、海外子会社評価例外事項の共有、追加サンプル、補完統制協議不祥事・内部通報・訴訟・当局調査の影響を共有
期末前是正完了確認、未了事項の評価、決算統制準備重要不備候補の協議、監査証拠の不足確認開示、訂正リスク、取締役会報告の文案を検討
期末後最終評価、内部統制報告書、監査対応経営者評価の最終説明、監査意見形成への対応取締役会・監査役等・開示資料との整合性を確認
提出後改善計画、次年度方針、教育監査結果の振り返り規程・契約・通報制度・研修に反映
Section 06

J-SOX評価範囲を監査法人と協議する実務

評価範囲メモ、対象外不備、リスクベース判断の要点を整理します。

J-SOX対応で監査法人との議論になりやすいのが評価範囲です。どの会社、拠点、業務プロセス、勘定科目、システム、統制を評価対象にするかは、会社のリスク評価から始まります。

次の一覧は、評価範囲を決める際に最低限検討すべきリスク観点を示します。各項目を確認すると、単なる売上規模だけではなく、質的重要性や変更点を監査法人へ説明するための材料を整理できます。

量的重要性

売上高、利益、資産、負債、キャッシュフロー等による拠点・事業の分析を行います。

質的重要性

不正リスク、法規制、複雑取引、会計見積り、IT依存、外部委託を確認します。

変化点

M&A、海外子会社、新規事業、撤退事業、システム変更、人員変更を反映します。

過年度情報

前年度不備、内部監査指摘、監査法人指摘、是正未了事項を評価範囲に接続します。

法務情報

訴訟、当局調査、不祥事、内部通報、関連当事者取引、重要契約を確認します。

次の比較表は、評価範囲メモに記載すべき項目を示します。左列を目次として使い、右列に会社の判断理由を記録すると、後日その範囲を選んだ理由を説明しやすくなります。

項目記載内容
会社グループの概要事業、拠点、子会社、海外展開、組織変更
量的重要性売上、利益、資産等による拠点・事業の分析
質的重要性不正リスク、法規制、複雑取引、会計見積り、IT依存
評価対象拠点対象とした理由、対象外とした理由
評価対象プロセス売上、購買、在庫、固定資産、決算、IT等
評価対象システムERP、販売管理、在庫管理、電子承認、周辺システム
除外範囲除外理由、代替的モニタリング、重要性判断
変更点前年度からの変更、M&A、システム変更、不備対応
監査法人との論点相談事項、監査上の懸念、未確定事項
評価範囲外の不備評価対象外の小規模海外子会社で架空売上などが見つかった場合、金額が小さくても、評価範囲の妥当性、グループ統制、内部通報、内部監査、子会社管理への影響を検討します。
Section 07

J-SOX文書化と証跡を監査法人に説明する方法

RCM、業務手順図、証跡、PBC管理の前提になる資料品質を確認します。

RCMは、リスクと統制を対応付ける表です。監査法人との連携では、抽象的に「承認する」「確認する」と書くだけでは足りません。誰が、何を、いつ、どの資料で、どの基準により、何を証跡として残すのかが第三者にも分かる必要があります。

次の比較表は、RCMに含めるべき情報と、監査法人が確認しやすい記載のポイントを示します。左列の項目を埋めるだけでなく、右列のように再現可能性と証跡の内容まで確認します。

RCM項目説明すべき内容不足しやすい点
リスクどの虚偽表示や不正を防止・発見する統制かリスクが一般論にとどまり、勘定科目や取引と結び付かない
統制内容実施者、頻度、対象資料、確認基準、差異対応「確認する」とだけ書かれ、具体的手順が不明
証跡承認ログ、照合表、レビューコメント、議事録、システムログ等押印やチェックだけで、レビューの実質が分からない
評価方法サンプル数、対象期間、例外処理、不備判定の基準テスト結果と不備評価メモがつながらない
関連システムマスタ、インターフェース、自動計算、承認経路手作業とシステム処理の境界が不明

証跡は存在だけでなく内容が重要

次の一覧は、統制証跡の種類と読み方を整理したものです。各項目では、証跡が「ある」だけではなく、日付、実施者、確認内容、差異対応、改ざんリスクの低さまで確認できるかが重要です。

01

承認・稟議

承認者、承認日、承認対象、例外承認の理由が分かる状態にします。

権限例外管理
02

照合・レビュー

何と何を照合し、差異にどう対応したかがコメントや再計算結果から分かるようにします。

証跡差異対応
03

システムログ

アクセス、変更、本番反映、エラー処理、退職者権限削除を追跡できるようにします。

IT統制ログ
04

会議体記録

論点、会社見解、監査法人の懸念、担当、期限、結論、残リスクを残します。

記録論点管理
Section 09

J-SOX不備評価と是正を監査法人と協議する実務

不備の分類、評価メモ、是正完了、開示すべき重要な不備を整理します。

内部統制の不備は、統制が設計されていない、設計されていても有効に運用されていない、証跡が残っていない、または統制が虚偽表示を防止・発見するのに十分でない場合に発生します。不備評価では、量的重要性だけでなく、不正、経営者関与、法令違反、広範性、補完統制、再発可能性、過年度影響も考慮します。

次の比較表は、不備評価メモに含めるべき項目を示します。各行の観点を埋めることで、監査法人との協議に必要な事実、会社見解、是正方針を一つの資料にまとめられます。

項目内容
事象何が発生したか。いつ、どの部門、どの取引、どのシステムか。
関連統制RCM上のどの統制に関係するか。設計不備か運用不備か。
原因人員不足、教育不足、規程不備、システム設定、権限集中、監督不足等。
影響財務諸表のどの勘定・開示に影響し得るか。金額影響はあるか。
発見経緯自己点検、内部監査、監査法人、通報、事故、当局調査等。
補完統制他の統制により虚偽表示を防止・発見できたか。
広範性他部門、他拠点、他システム、他期間にも同様の問題があるか。
不正可能性意図的行為、管理者関与、証跡隠し、利益調整の可能性。
是正策誰が、いつまでに、何を変更し、どう運用証跡を残すか。
結論不備、重要な不備、開示すべき重要な不備のいずれか。

次の判断の流れは、監査法人から指摘を受けた後の対応順序を示します。上から下へ事実確認、分類、影響評価、補完統制、広がり調査、会社見解、是正、報告要否の順に確認すると、感情的な反論ではなく改善につながる対応になります。

監査法人指摘への対応順序

事実を確認

対象取引、部門、システム、期間、証跡の有無を確認します。

不備の種類を分類

設計不備、運用不備、証跡不足、統制目的の不足を分けます。

影響と広がりを評価

財務報告への影響、補完統制、他部門・他拠点・他期間への広がりを確認します。

会社見解と是正策を記録

不備評価メモ、是正計画、取締役会・監査役等への報告要否を整理します。

是正完了「規程を改訂した」「研修を実施した」「システム改修を予定している」だけでは足りません。統制が設計され、実際に運用され、証跡が残り、一定期間の運用で有効性を確認できることが重要です。
Section 10

三様監査・取締役会とJ-SOX対応を接続する

監査役等、内部監査、監査法人、取締役会の情報共有を設計します。

三様監査とは、監査役等、内部監査部門、監査法人の三者による監査の連携を指します。J-SOX対応では、内部監査が発見した統制不備、監査法人が発見した監査上の論点、監査役等が把握した取締役の職務執行上の問題が相互に関連します。

次の一覧は、三様監査と取締役会の役割を整理したものです。それぞれの責任と独立性を保ちながら、どのリスク情報を共有するかを読み取るために使えます。

Internal Audit

内部監査

会社内部の独立的評価として、不備発見、是正フォロー、翌年度監査計画への反映を行います。

Audit & Supervisory

監査役等

取締役の職務執行、内部統制システム、重要不備、監査法人との連携状況を監視します。

External Auditor

監査法人

財務諸表と内部統制報告書を監査し、監査証拠に基づき意見形成を行います。

Board

取締役会

重要リスク、不備、是正状況、監査法人指摘、経営判断事項を把握し、改善指示を記録します。

取締役会が理解すべき事項

  • 内部統制評価の対象範囲と重要な変更
  • 重要な不備・開示すべき重要な不備の有無
  • 前年度不備の是正状況
  • 重要なシステム変更・外部委託・サイバーリスク
  • 不正・不祥事・内部通報と財務報告への影響
  • 子会社・海外拠点の統制状況
  • 監査法人の重要な指摘事項
  • 監査役等・内部監査の評価結果
議事録取締役会の議事録には、単に報告を受けたという記載だけでなく、重要な論点について質問・確認・改善指示が行われたことが分かる記録が望ましいとされています。
Section 11

監査法人会議・PBC管理・指摘対応の実務

キックオフ、四半期会議、年度末会議、資料提出、論点表を運用します。

期初のキックオフ会議では、前年度監査結果、当年度の事業・組織・システム変更、評価範囲案、重要な業務プロセス、IT統制、不正リスク、会社側体制、提出期限、未確定論点を議題にします。法務が参加しない場合、契約・不祥事・規制変更・訴訟等の重要情報が抜け落ちることがあります。

次の比較表は、月次または四半期会議で運用する論点表の例です。左から右へ、論点、会社見解、監査法人の懸念、必要資料、担当、期限、状況を追うことで、年度末に未了論点が集中するリスクを下げられます。

論点会社見解監査法人の懸念必要資料担当期限状況
A子会社の除外売上・利益が僅少で質的重要性も低い新規取引が急増しているため追加分析が必要月次推移、契約一覧、内部監査結果内部統制部6/30対応中
SaaS販売管理SOC報告書と補完統制で対応権限レビュー証跡が不足権限一覧、レビュー記録、退職者削除ログIT部7/15未了
返品リベート処理契約上の条件に基づき月次引当法務レビューとの連携証跡が不足主要契約、会計メモ、承認記録法務・経理7/31対応中

次の比較表は、PBC管理表に含めるべき項目を示します。資料提出の期限だけでなく、目的、品質確認者、機密区分、関連論点まで管理することで、監査法人対応を単なる資料授受で終わらせず、統制改善につなげられます。

項目内容
依頼番号監査法人の依頼を一意に管理する番号
依頼内容何の資料か、対象期間、対象会社、対象プロセス
目的どの監査手続・論点に関係するか
担当部署経理、法務、IT、内部監査、事業部門等
提出期限監査法人との合意期限
提出状況未着手、作成中、提出済、差戻し、完了
品質確認者提出前に内容を確認する責任者
機密区分個人情報、営業秘密、弁護士関与資料等
関連論点不備、評価範囲、IT、契約、調査等
Section 12

典型論点と海外子会社・成長企業のJ-SOX対応

売上、在庫、決算、人件費、税務、サイバー、海外子会社、IPO準備企業を整理します。

J-SOX対応と監査法人との連携では、売上、在庫、決算、労務、税務、個人情報・サイバー事故など、財務報告へ影響しやすい典型論点をあらかじめ整理しておくことが有効です。海外子会社や成長企業では、現地統制や権限集中の問題も加わります。

次の一覧は、典型論点ごとに監査法人との協議で確認されやすい事項をまとめたものです。各項目を読むことで、どの部門を巻き込み、どの証跡を集めるべきかを把握できます。

売上計上

押込み販売、架空売上、循環取引、検収前計上、返品・値引き・リベート、代理店取引、複数履行義務を確認します。

在庫

数量、評価、滞留、廃棄、棚卸、外部倉庫、委託在庫、輸送中在庫を確認します。

決算・開示

会計見積り、税効果、減損、引当金、連結調整、注記、開示チェック、経営者レビューを確認します。

人件費・労務

給与、賞与引当、退職給付、未払残業、労働時間、出向・転籍、役員報酬を確認します。

税務

法人税、消費税、移転価格、組織再編税制、税効果、不確実な税務ポジションを確認します。

サイバー事故

システム停止、売上データ喪失、請求遅延、引当、偶発債務、開示、統制有効性への影響を確認します。

海外子会社・グループ監査

海外子会社は、現地法制、会計基準、言語、文化、ERP、人材、権限集中、親会社からの距離、内部監査頻度の違いにより、統制水準がばらつきやすい領域です。グループ監査の範囲、コンポーネント監査人、現地監査人、親会社監査人、内部統制評価チームの役割分担を整理します。

中小・成長企業、IPO準備企業

成長企業では、事業成長が内部統制整備に先行し、少人数で権限が集中しやすくなります。権限規程・稟議規程・職務分掌、決算レビュー、収益認識の契約レビュー、購買・経費承認、マスタ変更、ITアクセス権限、取締役会報告、内部通報、独立的モニタリングから優先して整備します。

Section 13

J-SOX対応と監査法人との連携で使えるチェックリスト

期初、IT統制、法務・コンプライアンス、監査法人連携の確認事項をまとめます。

次の一覧は、J-SOX対応を期中で進めるための実務チェック項目です。上から順に、期初、IT統制、法務・コンプライアンス、監査法人連携を確認すると、部門横断で抜けやすい論点を点検できます。

01

期初チェック

前年度評価結果、監査法人指摘、重要不備候補、事業・組織・システム変更、M&A、重要契約、内部通報、評価範囲メモ、キックオフ会議を確認します。

期初
02

IT統制チェック

重要システム一覧、SaaS・外部委託、権限一覧、退職者削除、特権ID、変更申請、エラー監視、SOC報告書、スプレッドシート台帳を確認します。

IT
03

法務・コンプライアンスチェック

重要契約の会計影響、収益認識、引当、稟議規程、内部通報、関連当事者、訴訟・当局調査、個人情報・サイバー事故、共有資料の機密管理を確認します。

法務
04

監査法人連携チェック

会社側責任者、監査法人窓口、年間日程、PBC期限、論点表、評価範囲、RCM、業務手順図、不備評価メモ、是正計画、監査役等・内部監査との共有を確認します。

連携

チェック項目は、単なる確認リストとして終わらせず、証跡、担当、期限、未了事項、監査法人との協議状況に結び付けることが重要です。特に、法務情報とIT情報は年度末に後追いで集めると、追加評価や是正期間不足につながりやすくなります。

Section 14

J-SOX対応と監査法人との連携のテンプレート例とFAQ

監査法人への照会文、不備評価メモ見出し、一般情報型FAQを掲載します。

監査法人への論点照会メール例

次の文例は、評価範囲について会社方針案を示したうえで、監査法人に監査上の懸念を確認する形式です。会社が判断のたたき台を作り、追加検討点を確認する形にすることが、独立性を保つうえで重要です。

文例件名 ― J-SOX評価範囲に関する当社方針案のご確認依頼
当社では、当年度のJ-SOX評価範囲について、評価範囲メモのとおり検討しております。前年度からの主な変更点は、A事業の新設、B子会社の買収、Cシステムのクラウド移行です。当社見解としては、A事業は売上規模が小さいものの新規性が高いため売上プロセスを評価対象に追加し、B子会社は買収初年度で統制整備途上であるため決算プロセスと主要販売プロセスを限定的に評価します。Cシステムについては、SOC報告書とユーザー補完統制によりIT全般統制を評価する方針です。監査上、追加で検討すべきリスク、必要資料、協議事項があればご教示ください。

不備評価メモの見出し例

次の一覧は、不備評価メモの見出し例です。上から順に事象、影響、広がり、原因、是正、会社結論、報告要否を追うことで、監査法人との協議記録としても使いやすくなります。

番号見出し確認する内容
1事象の概要何が、いつ、どこで発生したか
2発見経緯自己点検、内部監査、監査法人、通報、事故等
3関連する業務プロセス・統制RCM上の統制、設計不備・運用不備の分類
4財務報告への影響可能性影響する勘定・開示、金額影響、補完統制
5量的重要性・質的重要性金額、不正、経営者関与、広範性、再発可能性
6是正策と期限担当、期限、再設計内容、運用証跡
7経営者評価上の結論不備区分、監査法人との協議状況、報告要否

Q1. 監査法人が評価範囲を決めてくれるのですか。

一般的には、評価範囲を決定する主体は会社とされています。監査法人は、会社の評価範囲の妥当性を監査上検討します。ただし、事業内容、組織変更、システム変更、不正リスク、監査上の発見事項によって必要な検討は変わる可能性があります。具体的な評価方針は、資料を整理したうえで監査法人や専門家と協議する必要があります。

Q2. 前年と同じ評価範囲なら安全ですか。

一般的には、前年と同じであることだけでは十分な説明にならないとされています。事業、組織、システム、取引、子会社、不正リスク、法規制、監査上の指摘が変わっていれば、評価範囲の見直しが必要になる可能性があります。具体的には、変更点を評価範囲メモに整理し、監査法人等と確認する必要があります。

Q3. 監査法人から統制設計の助言を受けてもよいですか。

一般的には、基準の説明や監査上の懸念の共有を受けることはあり得るとされています。ただし、監査法人に統制設計を代行させたり、会社の判断を実質的に決めてもらったりすると、独立性の観点から問題になる可能性があります。具体的には、会社が案を作成し、監査上の論点を確認する形で協議する必要があります。

Q4. 法務部門はJ-SOXにどこまで関与すべきですか。

一般的には、重要契約、収益認識に影響する条項、稟議・権限規程、不祥事・内部通報、訴訟・当局調査、M&A、個人情報・サイバー事故、関連当事者取引について関与が重要とされています。ただし、会社の規模、業種、組織体制、取引内容によって関与範囲は変わります。具体的な分担は、経理、内部統制、内部監査、監査法人、弁護士等と整理する必要があります。

Q5. 証跡が残っていないが、実際には確認していた場合はどうなりますか。

一般的には、J-SOXでは統制が実際に運用されたことを監査可能な形で示す必要があるとされています。口頭説明だけでは不十分と評価される可能性があります。ただし、統制の内容、補完統制、影響額、他の証跡の有無によって結論は変わります。具体的には、確認内容、確認者、日付、差異対応を記録する仕組みを整備し、個別の評価は専門家と協議する必要があります。

Q6. 内部通報があった場合、すぐに監査法人へ伝える必要がありますか。

一般的には、すべての通報を直ちに詳細共有する必要があるとは限らないとされています。ただし、財務報告、内部統制、経営者関与、不正、法令違反、開示に影響し得る通報は、適切なタイミングと範囲で監査法人に共有する必要が生じる可能性があります。具体的な共有方法は、秘密保持、個人情報、調査保全に配慮し、弁護士、監査役等、法務、経理、内部監査と検討する必要があります。

Q7. クラウドサービスを利用している場合、SOC報告書があれば十分ですか。

一般的には、SOC報告書は重要な資料ですが、それだけで十分とは限らないとされています。対象期間、対象サービス、対象統制、除外事項、補完ユーザー企業統制を確認する必要があります。ただし、サービス内容、会社側の設定管理、権限レビュー、データ連携、例外処理によって必要な対応は変わります。具体的には、IT部門、内部統制担当、監査法人等と整理する必要があります。

Q8. 開示すべき重要な不備があると、必ず財務諸表も誤っているのですか。

一般的には、開示すべき重要な不備は、重要な虚偽表示が防止・発見されない可能性に関する評価であり、実際に財務諸表に重要な虚偽表示が存在することと同義ではないとされています。ただし、財務諸表監査への影響、追加手続、投資者への説明は重要になります。具体的な影響評価は、事実関係と証跡を整理し、監査法人や専門家と協議する必要があります。

Section 15

専門職の関与と失敗予防・高度化モデル

部門別の関与、失敗パターン、統合的な運用モデルをまとめます。

J-SOX対応を高度化するには、経理財務だけでなく、法務、コンプライアンス、内部監査、IT、事業部門、監査役等、社外取締役、外部専門家が、それぞれの専門性を接続する必要があります。特に法務部門は、契約、不祥事、規程、権限、紛争、開示、役員責任を通じて、J-SOXの質を大きく左右します。

次の比較表は、専門職・部門ごとの関与ポイントを整理したものです。誰がどの情報を持ち、どの統制や証跡へ接続するかを確認することで、部門間の抜け漏れを減らせます。

専門職・部門関与ポイント
企業内弁護士・法務担当契約、規程、権限、紛争、不祥事、開示、取締役会対応をJ-SOXと接続します。
外部弁護士不正調査、訂正報告、役員責任、当局対応、訴訟、第三者委員会を支援します。
公認会計士・監査法人内部統制報告書を監査し、財務諸表監査との一体的観点から証拠を評価します。
税理士税務論点、税効果、組織再編税制、税務調査対応の財務報告影響を支援します。
社会保険労務士労務債務、未払残業、退職給付、労務コンプライアンスを支援します。
内部統制担当RCM、評価範囲、テスト、証跡、不備評価を統括します。
内部監査担当独立的なモニタリング、不備発見、是正フォローを行います。
コンプライアンス担当内部通報、不祥事、研修、法令遵守、反社・贈収賄を統制に反映します。
IT・情報セキュリティ担当IT全般統制、サイバー、クラウド、ID管理、システム変更を管理します。
監査役等・社外取締役取締役の職務執行、内部統制システム、監査法人との連携を監督します。

次の一覧は、実務上の失敗パターンと予防策を対応させたものです。各項目では、属人化、証跡不足、前年踏襲、不祥事情報の分断、IT部門の参加遅れを早期に見つけることが重要です。

監査法人対応の属人化

論点表とPBC管理表を共有し、重要論点には法務、IT、事業部門、内部監査を参加させます。

証跡の年度末作成

月次・四半期の通常業務に証跡作成を組み込み、システムログや電子承認を活用します。

評価範囲の前年踏襲

期初に評価範囲メモを作成し、事業変更やシステム変更を明示します。

不祥事情報の分断

内部通報・不祥事対応の手順に、財務報告影響の判定とJ-SOX担当への共有要否を組み込みます。

IT部門の参加遅れ

IT変更管理会議とJ-SOX会議を接続し、重要システム変更を期中で共有します。

高度化モデル

  1. 内部監査指摘、監査法人指摘、内部通報、法務案件、訴訟、システム障害、情報漏えい、当局調査、M&A、規制改正を一つのリスク台帳で管理します。
  2. 各統制について、業務実施者、レビュー者、統制オーナー、評価者、是正責任者を定義します。
  3. J-SOXと内部監査計画を連動させ、双方の不備情報を翌年度計画へ反映します。
  4. 監査法人との論点をデータベース化し、過年度の指摘、会社見解、懸念、解決策、再発防止策を蓄積します。
  5. 取締役会・監査役等への報告を、重要リスク、未了不備、是正状況、監査法人指摘、経営判断事項として定型化します。
まとめJ-SOX対応と監査法人との連携は、会計監査対応の一部にとどまらず、企業の説明責任、内部統制、法務リスク管理、ITガバナンス、グループ経営、取締役会監督を結び付ける中核的な実務です。
Reference

この記事の参考情報源

制度資料名と法令名を確認しやすい形で整理します。

公的・制度資料

  • 金融庁・企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに実施基準の改訂について」
  • 金融庁「内部統制報告制度に関するQ&A」
  • 金融庁「内部統制報告制度に関する事例集」
  • 金融庁「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令等の改正資料」

監査実務・法令資料

  • 日本公認会計士協会「監査基準報告書第1号 財務報告に係る内部統制の監査」
  • 日本公認会計士協会「グループ監査に関する監査基準報告書第600号関連資料」
  • e-Gov法令検索「金融商品取引法」
  • e-Gov法令検索「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令」
  • e-Gov法令検索「会社法」
  • e-Gov法令検索「会社法施行規則」