J-SOX、会社法、コーポレートガバナンス、内部監査、IT統制をつなぎ、評価方針から証跡、不備判定、是正、報告までを実務の順番で整理します。
J-SOX、会社法、コーポレートガバナンス、内部監査、IT統制をつなぎ、評価方針から証跡、不備判定、是正、報告までを実務の順番で整理します。
会社全体の統制環境、リスク評価、証跡、是正、報告を一連の実務として整理します。
全社的内部統制評価とは、会社全体の統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応について、整備状況と運用状況を確認し、報告の信頼性を支える基盤が機能しているかを判断する手続です。個別の請求書処理や売上計上だけでなく、取締役会の監督、経営者の姿勢、責任分担、子会社管理、内部通報、監査連携、IT統制までを含めて見ます。
このページは、上場会社、上場準備会社、企業グループ、法務、内部監査、経理財務、コンプライアンス、リスクマネジメント、取締役、監査役等の実務関係者に向けた一般的な情報です。法律上、会計上、監査上の具体的判断は、会社の規模、上場市場、組織構造、会計方針、業種規制、海外子会社、不祥事の有無、監査人との協議状況によって変わります。個別の方針は、資料を整理したうえで弁護士、公認会計士、税理士、内部監査専門家、情報セキュリティ専門家等に確認する必要があります。
次の重要ポイントは、評価で何を見落としやすいかを整理したものです。会社全体の仕組みを見る理由は、個別手続が整っていても、経営者の例外承認、子会社管理の弱さ、IT権限の不備などで統制が迂回されることがあるためです。読み取るべき点は、評価対象が会計部門だけに閉じず、法務、経理、内部監査、IT、取締役会にまたがることです。
経営者が法令遵守と不正防止を重視し、取締役会や監査役等が重要リスクを把握しているかを確認します。
議事録、承認記録、ログ、評価調書、是正報告などから、実施したことと判断理由を確認します。
全社的内部統制が弱い場合、業務プロセス統制やIT統制の評価範囲を広げる必要が生じることがあります。
J-SOX、会社法、コーポレートガバナンスを分けて理解します。
内部統制は、金融商品取引法上の内部統制報告制度だけで完結するものではありません。上場会社等のJ-SOXは財務報告に係る内部統制を直接対象としますが、会社法上の内部統制システムやコーポレートガバナンス上の監督体制とも密接に関係します。
次の比較表は、全社的内部統制評価に関係する制度を横断して示したものです。制度ごとに直接の目的や主な確認対象が異なるため、評価の抜け漏れを防ぐうえで重要です。左から制度、主な目的、確認する観点、実務上の注意点を読み、J-SOXだけでなく会社法とガバナンスの視点も同時に確認してください。
| 制度 | 主な目的 | 確認する観点 | 実務上の注意点 |
|---|---|---|---|
| 金融商品取引法上のJ-SOX | 財務報告に係る内部統制の評価と報告 | 評価範囲、統制の整備と運用、不備判定、内部統制報告書 | 2023年改訂後は、機械的な範囲設定ではなくリスクに応じた根拠が重要です。 |
| 会社法上の内部統制システム | 取締役の職務執行の適正、損失危険管理、企業集団管理 | 取締役会決議、規程、監査役等との連携、子会社管理 | 財務報告だけでなく、法令遵守、情報保存、監査実効性も含めて確認します。 |
| コーポレートガバナンス | 透明、公正、迅速、果断な意思決定 | 取締役会監督、情報開示、リスク管理、内部監査 | 統制評価は、投資家やステークホルダーへの説明力にも関わります。 |
2023年改訂では、内部統制が固定的な仕組みではなく、組織の内外環境の変化に応じて見直されるプロセスであることが強調されました。報告の信頼性、不正リスク、マネジメント・オーバーライド、サイバーリスク、IT委託先管理、三線モデルの役割整理も実務上の焦点です。
次の時系列は、評価範囲を検討するときに意識すべき近年の変化を整理したものです。時期の順番に沿って読むことで、従来型の量的基準から、リスクに応じた説明可能な範囲設定へ重点が移っていることを把握できます。
売上高等のおおむね三分の二や主要三勘定を目安にする運用が広く見られました。
不正リスク、IT、委託先、子会社、非財務情報を含む報告の信頼性を意識します。
監査人が納得できる客観的根拠、判断過程、証跡を残すことが必要です。
評価方針から内部統制報告書と監査対応まで、循環する手続として進めます。
全社的内部統制評価は、評価方針、範囲、リスク、評価項目、証跡、整備状況、運用状況、不備、是正、経営者評価、報告という順番で進めます。途中で重大なリスクや不備が見つかれば、評価範囲、手続、証跡、是正計画を見直します。
次の判断の流れは、12段階を実務で追いやすい順番に整理したものです。上から下へ進む順番に意味があり、後半で不備や是正が見つかると前半の範囲やリスク評価へ戻ることがあります。読み取るべき点は、評価が一方向の作業ではなく、リスク認識と是正を循環させる管理プロセスであることです。
経営者評価であること、責任分担、承認または報告経路を明確にします。
親会社だけでなく子会社、海外拠点、委託先、重要システムを検討します。
前年踏襲を避け、6つの基本的要素と会社固有リスクを結び付けます。
規程の存在だけでなく、設計の妥当性と継続的な運用を確認します。
影響範囲、根本原因、是正期限、運用確認を文書化します。
判断根拠を整理し、内部統制報告書と監査人対応につなげます。
12段階を実務に落とす際は、段階ごとの成果物を明確にします。評価計画、評価範囲決定資料、リスク評価表、評価チェックリスト、証跡一覧、不備一覧、是正計画、経営者評価資料、監査人協議メモを残すと、後から判断過程を説明しやすくなります。
経営者評価、三線モデル、連結範囲、不正リスクをまとめて設計します。
J-SOXにおける内部統制評価は、最終的には経営者による評価です。J-SOX事務局や内部監査部門が実務を担う場合でも、評価方針、評価結果、内部統制報告書の責任は経営者にあります。評価開始時には、代表取締役、CFO、経理財務責任者、法務・コンプライアンス責任者、内部監査責任者、情報システム責任者、主要子会社責任者、監査役等が評価方針を共有します。
次の比較一覧は、評価に関与する部門ごとの役割を示します。役割を明確にする理由は、法務、経理、内部監査、ITが分断されると、不適切会計や法令違反の兆候を見落としやすくなるためです。読み取るべき点は、第一線、第二線、第三線、監督機関、監査人の役割を重ねて確認することです。
評価方針、重要リスク、評価範囲、評価結果、内部統制報告書の最終責任を担います。
規程、会計方針、契約統制、通報制度、アクセス管理、委託先管理を設計し、継続的に監視します。
独立的評価、指摘、フォローアップ、取締役職務執行監査、経営者評価を前提とした内部統制監査を担います。
評価範囲は、親会社単体ではなく連結ベースで検討します。売上高、利益、資産、負債、キャッシュフローの規模が大きい会社、過去に不備や不正があった会社、M&Aやシステム更新があった会社、海外子会社、経理人員が少ない会社、親会社からのモニタリングが弱い会社は、範囲に含める必要性が高くなります。
次の表は、評価範囲を決める根拠を整理したものです。列ごとに量的な重要性、質的なリスク、変化の有無を分けることで、範囲外とする会社についても説明できるようになります。読み取るべき点は、「前年と同じ」では足りず、範囲に含める理由と外す理由の双方を文書化することです。
| 観点 | 確認事項 | 評価範囲への影響 |
|---|---|---|
| 量的重要性 | 売上、利益、資産、負債、キャッシュフロー、連結財務諸表への影響 | 規模が大きい会社や事業は優先的に検討します。 |
| 質的重要性 | 不正リスク、法令違反リスク、情報システムリスク、監査指摘、内部通報 | 金額が小さくても、質的リスクが高ければ評価対象になり得ます。 |
| 変化 | M&A、事業譲渡、組織再編、経営者交代、システム変更、海外規制 | 前年からの変更が大きい領域は、評価手続の追加を検討します。 |
リスク評価は毎期更新します。次の一覧は、前年評価をそのまま使うと見落としやすい変化を示します。読者にとって重要なのは、変化が内部統制リスクを変える出発点になるためです。各項目から、評価開始時に確認すべき質問を読み取ってください。
新規事業、撤退、M&A、PMI、経営者、CFO、経理責任者、内部監査責任者の交代を確認します。
基幹システム、会計システム、電子契約、ワークフロー、クラウド、生成AI利用の拡大を確認します。
業績悪化、資金繰り、上場維持基準、期末売上、例外承認、経理部門への不自然な指示を確認します。
評価項目を6つの基本的要素で整理し、証跡の質まで確認します。
評価項目は、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応という6つの基本的要素を軸に設計します。ただし、見出しだけを並べたチェックリストでは不十分です。会社固有のリスクに応じて、評価項目、証跡、評価者、評価頻度、判定基準を定めます。
次の表は、6つの基本的要素ごとに確認事項を整理したものです。各行は評価対象の違いを示しており、列は何を確認するかを示しています。読み取るべき点は、倫理文化からIT委託先管理まで、全社的内部統制が会社全体の基盤を扱うことです。
| 基本的要素 | 主な確認事項 | 証跡例 |
|---|---|---|
| 統制環境 | 誠実性、倫理観、行動規範、職務分掌、取締役会、監査役等、人材 | 行動規範、規程、組織図、議事録、教育記録 |
| リスクの評価と対応 | 財務報告、不正、法令違反、IT、M&A、組織再編などの評価 | リスク評価表、リスクマップ、対応計画 |
| 統制活動 | 承認、照合、職務分掌、例外処理、契約審査、取引先審査 | 稟議、承認ログ、契約レビュー記録、反社チェック記録 |
| 情報と伝達 | 重要情報の報告、内部通報、子会社報告、監査人への情報提供 | 通報規程、調査記録、月次報告、会議資料 |
| モニタリング | 内部監査、フォローアップ、三様監査連携、自己点検 | 内部監査計画、監査報告書、是正状況表 |
| ITへの対応 | アクセス、特権ID、変更、障害、バックアップ、ログ、クラウド、サイバー | 権限一覧、変更管理記録、障害記録、SOCレポート |
証跡は量だけでなく質が重要です。次の一覧は、全社的内部統制でよく使う証跡を領域別に示します。証跡が重要なのは、「実施した」という説明だけでは運用状況を確認できないためです。各領域で、日付、作成者、承認者、対象範囲、判断理由、指摘事項、対応期限、フォローアップ結果が残っているかを読み取ってください。
組織図、職務権限規程、稟議規程、業務分掌規程、経理規程、決算・開示マニュアルを確認します。
整備内部監査計画、内部監査報告書、監査役等と会計監査人の連携記録、是正報告書を確認します。
運用IT権限一覧、アクセスレビュー、変更管理、障害管理、委託先評価、SOCレポート、セキュリティチェックを確認します。
IT規程の有無で終わらせず、設計と運用の両方を検証します。
整備状況とは、統制が適切に設計され、必要な規程、体制、責任分担、手続が存在しているかを確認する評価です。運用状況とは、設計された統制が評価期間中に継続的かつ適切に運用されていたかを確認する評価です。
次の比較表は、整備状況と運用状況で見るポイントの違いを整理したものです。2つを分ける理由は、規程が存在しても、現場で使われていなければ有効な統制とは評価できないためです。読み取るべき点は、設計の妥当性と、実際に行われた記録の双方を確認することです。
| 評価区分 | 中心となる問い | 確認例 |
|---|---|---|
| 整備状況 | リスクに対応する統制が存在し、責任者、頻度、方法、証跡が明確か | 規程、手続書、職務分掌、権限設定、統制設計書を確認します。 |
| 運用状況 | 評価期間中、統制が定められた頻度で実施され、例外が是正されているか | 議事録、レビュー記録、承認ログ、サンプル、フォローアップを確認します。 |
| 全社影響 | 全社的内部統制の結果が業務プロセスやIT統制の評価範囲に影響するか | 例外承認、経営者関与、子会社管理、IT権限不備の波及を検討します。 |
ウォークスルーは、全社規程が現場業務に落ちているかを確認する有効な方法です。次の判断の流れは、重要契約の例で、案件発生から売上計上までの順番を示します。順番に意味があるため、どこで法務、経理、税務、承認、システム登録が関与するかを読み取ってください。
取引先、契約条件、与信、反社確認の必要性を把握します。
権限規程に沿って承認し、収益認識や税務への影響を確認します。
締結権限、原本管理、取引先マスタ、単価、請求条件を確認します。
承認記録、請求記録、入金消込、例外処理の証跡を保存します。
ITへの対応は、現代の全社的内部統制評価で極めて重要です。会計、販売、在庫、購買、経費精算、人事給与、連結決算、開示、電子契約、ワークフロー、データ分析、生成AI利用など、多くの統制がITに依存します。ID管理、特権ID、変更管理、本番移行、障害管理、バックアップ、ログ、外部委託先、クラウド、セキュリティインシデント対応を評価します。
影響度、発生可能性、経営者関与、是正状況を総合して判断します。
内部統制評価では、発見事項を単に問題ありと表現するのではなく、影響度と発生可能性を踏まえて、軽微な不備、重要な不備、開示すべき重要な不備に相当するかを検討します。開示すべき重要な不備は、財務報告に重要な虚偽記載が発生する可能性が高く、金額的または質的重要性が大きいものです。
次の一覧は、不備判定で考慮する要素を示します。重要なのは、全社的内部統制の不備が複数の業務プロセスに波及し得るため、金額だけで判断しないことです。各項目から、どの不備が広範な影響を持つかを読み取ってください。
影響を受ける財務諸表項目、影響金額、発見的統制、代替的統制を確認します。
不正の可能性、経営者関与、マネジメント・オーバーライド、情報遮断を確認します。
子会社、海外拠点、複数プロセス、規制当局、株主、金融機関、取引先への影響を確認します。
是正策、責任者、期限、必要資源、運用確認期間、期末までの完了見込みを確認します。
是正計画は、計画を作っただけでは完了しません。次の時系列は、不備発見から再評価までの順番を示します。順番に沿って確認する理由は、根本原因を解消しない是正策では同じ不備が再発するためです。読み取るべき点は、責任部署、期限、完了条件、運用確認を明確にすることです。
何が起きたか、どの統制に影響するか、財務報告や法令遵守への影響を確認します。
規程改定、研修、人員配置、職務分掌、IT改修、取締役会監督強化などを検討します。
是正策が一定期間運用され、証跡が残り、例外が是正されていることを確認します。
評価結果は、経営者評価会議で確認し、内部統制報告書と監査人対応につなげます。評価結果には、内部統制が有効である、評価手続の一部を実施できなかったが有効である、開示すべき重要な不備があり有効でない、重要な評価手続を実施できず評価結果を表明できない、といった区分があります。過小評価は虚偽記載、役員責任、レピュテーションリスクにつながり得ます。
M&A、IPO、不祥事、サイバー、海外子会社では評価の焦点が変わります。
通常の年次評価に加え、M&A、IPO準備、不祥事、サイバーインシデント、海外子会社では、全社的内部統制評価の焦点が変わります。法務、会計、内部監査、IT、広報、IR、取締役会が連携し、事実調査、証拠保全、原因分析、影響額算定、適時開示、再発防止策を検討します。
次の比較一覧は、特殊局面ごとの確認事項を整理したものです。局面ごとに見るべきリスクが異なるため、通常の評価表だけでは不足しやすい点を把握することが重要です。読み取るべき点は、変化の大きい局面ほど、評価範囲と証跡を追加する必要があることです。
| 局面 | 主な確認事項 | 注意点 |
|---|---|---|
| M&A・PMI | 会計方針、権限規程、契約管理、IT、内部通報、関連当事者取引、税務 | 買収先を親会社グループ基準へ統合する過程を評価します。 |
| IPO準備 | 取締役会運営、決算早期化、内部監査、規程、稟議、証跡管理、開示 | 上場直前に形式だけ整えるのではなく運用実績を積みます。 |
| 不祥事発覚時 | 事実調査、証拠保全、原因分析、影響額、第三者委員会、再発防止 | 内部統制報告書への影響と適時開示を検討します。 |
| サイバーインシデント | 財務報告への影響、決算遅延、データ完全性、復旧、個人情報、委託先責任 | IT統制と法務対応が強く結び付きます。 |
| 海外子会社 | 言語、会計基準、税制、商慣習、贈収賄、制裁、移転価格、監査品質 | 現地任せにせず、リスクベースで管理水準を設定します。 |
専門職の連携も重要です。次の一覧は、各専門職が評価に持ち込む視点を示します。読者にとって重要なのは、全社的内部統制評価が会計監査だけでなく、取締役責任、開示規制、通報制度、ITセキュリティ、訴訟リスクと結び付くためです。各役割の違いを読み取り、会議体や報告経路に反映してください。
法令遵守、取締役責任、開示、内部通報、反社、個人情報、当局対応、訴訟リスクを確認します。
財務報告リスク、会計処理、内部統制監査、不備判定、見積り、連結、税務リスクを確認します。
リスクベースの評価計画、証跡確認、是正フォロー、アクセス権限、変更管理、ログ、委託先を確認します。
法務上は、取締役の善管注意義務や監督義務、内部統制報告書、有価証券報告書、適時開示、訂正報告書、内部通報、証拠保全が重要です。通報が放置される、通報者が不利益を受ける、調査が恣意的である場合、内部統制上の重大な不備となり得ます。
評価開始前から翌期改善計画まで、説明力を残すための資料を整えます。
全社的内部統制評価を実務に落とすには、開始前、リスク評価、整備状況、運用状況、不備と是正、報告の各段階で確認事項を分けると管理しやすくなります。中小企業や上場準備会社では、大企業と同じ規模の統制を導入できない場合でも、経営者レビュー、外部専門家レビュー、二重確認、会計システム権限管理、月次決算レビュー、取締役会報告など、規模に応じた代替的統制を設計できます。
次の表は、評価段階ごとのチェック項目を整理したものです。段階を分ける理由は、開始前の範囲設定、実施中の証跡確認、終了時の報告を混同すると、判断根拠が残りにくくなるためです。読み取るべき点は、各段階で経営者、監査役等、監査人に説明できる資料を残すことです。
| 段階 | 確認事項 | 残す資料 |
|---|---|---|
| 評価開始前 | 評価方針、連結範囲、前年変更点、監査人協議、役割分担、スケジュール | 評価計画書、評価範囲決定資料 |
| リスク評価 | 不正、マネジメント・オーバーライド、IT、サイバー、委託先、子会社、M&A | リスク評価表、リスクマップ |
| 整備と運用 | 規程の最新性、実態との一致、責任者、証跡、頻度、レビュー、例外是正 | 評価チェックリスト、証跡一覧、評価調書 |
| 不備と是正 | 影響範囲、根本原因、責任者、期限、再評価、監査役等と監査人への報告 | 不備一覧、是正計画、是正完了報告 |
| 報告 | 経営者評価、内部統制報告書、翌期改善計画、監査人との主要論点 | 経営者評価資料、監査人協議メモ、取締役会報告資料 |
次の強調表示は、このページの結論をまとめたものです。重要なのは、内部統制を監査法人対応の書類作成に矮小化せず、会社自身がリスクと統制を説明できる状態にすることです。ここから、全社的内部統制評価の最終成果は「会社の説明力」であると読み取れます。
財務報告の信頼性、法令遵守、資産保全、情報セキュリティ、内部通報、不正防止、子会社管理、取締役会監督を可視化し、経営者が責任を持って評価し、必要な情報を開示できる状態を整えます。
資料の標準構成としては、評価計画書、評価範囲決定資料、リスク評価表、全社的内部統制評価チェックリスト、証跡一覧、整備状況評価調書、運用状況評価調書、不備一覧、是正計画、経営者評価資料、監査人協議メモ、取締役会・監査役等報告資料、翌期改善計画を整備することが望まれます。
公的資料・監査基準・国際的な内部統制モデルを中心に整理しています。