ホーム/コラム/IPO(株式上場)/J-SOX(内部統制報告制度)対応とは?仕組み・進め方・実務のポイントを内部統制担当者向けに徹底解説
J-SOX(内部統制報告制度)対応とは?仕組み・進め方・実務のポイントを内部統制担当者向けに徹底解説

J-SOX(内部統制報告制度)対応とは?仕組み・進め方・実務のポイントを内部統制担当者向けに徹底解説

IPO(株式上場), リスクアドバイザリー
2026年7月1日

「内部統制報告制度(J-SOX)の担当になったが、何から手をつければよいか分からない」「毎年同じように評価作業を回しているが、本当にこのやり方で正しいのか不安だ」「監査法人から指摘を受けたが、対応の優先順位がつけられない」——上場企業の内部統制担当者の方から、こうしたお悩みをよく伺います。

J-SOX対応は、いったん仕組みができあがると毎年のルーティンになりがちです。しかし、その「ルーティン化」こそが、形骸化・属人化を招き、いざというときに評価の前提が崩れるリスクを抱える原因にもなります。制度の趣旨と全体像を正しく理解したうえで、自社の状況に合った進め方を設計することが、効率的かつ実効性のある内部統制対応の出発点です。

この記事では、内部統制報告制度(J-SOX)の仕組みから、会計監査との違い、評価の対象範囲の考え方、年間スケジュール、整備・運用評価の流れ、不備への対応、そして形骸化を防ぐ運用改善のポイントまで、内部統制担当者が押さえておくべき全体像を網羅的に解説します。「自社のJ-SOX対応をどう設計し、どこを改善すべきか」の見取り図が描けるようになることを目指します。

なお、本記事は制度の一般的な仕組みを実務目線で整理したものです。具体的な数値基準や最新の要件は改正等で変わり得るため、適用にあたっては必ず「財務報告に係る内部統制の評価及び監査の基準・実施基準」および自社の監査法人にご確認ください。

制度の概要と目的

J-SOXとは、金融商品取引法に基づく「内部統制報告制度」の通称です。米国のSOX法(Sarbanes-Oxley法)にならって導入された日本版という意味で、実務の現場では「J-SOX」と呼ばれています。

この制度の核心は、上場企業の経営者が、自社の財務報告に係る内部統制が有効に機能しているかを自ら評価し、その結果を「内部統制報告書」としてまとめて開示することにあります。そして、その経営者による評価結果について、監査法人(公認会計士)が監査を行い、意見を表明します。

なぜこのような制度が必要なのでしょうか。投資家は、企業が開示する財務諸表(決算書)を信頼して投資判断を行います。その財務諸表が正しく作成されるためには、その「作られ方」、つまり日々の業務プロセスや経理処理の仕組み自体が信頼できるものでなければなりません。J-SOXは、財務報告の信頼性を、結果としての数字だけでなく「その仕組み(作成プロセス)に組み込まれた統制が有効に機能しているか」という観点から担保しようとする制度だといえます。

「財務報告に係る内部統制」という範囲

ここで重要なのは、J-SOXが対象とするのが「財務報告に係る内部統制」に限定されている点です。

そもそも「内部統制」という言葉は非常に広い概念で、一般には次の4つの目的を達成するための仕組みを指すとされています。

  • 業務の有効性および効率性
  • 財務報告の信頼性
  • 事業活動に関わる法令等の遵守
  • 資産の保全

このうちJ-SOX(内部統制報告制度)が直接の評価対象とするのは、原則として2つ目の「財務報告の信頼性」に関わる部分です。コンプライアンス全般や業務効率の改善そのものを評価するわけではありません。まず押さえておきたいのは、「J-SOXは会社のあらゆる統制を点検する制度ではなく、財務報告の信頼性という軸で範囲が切られている」という点です。この理解が、後述する「評価対象範囲の絞り込み」の前提になります。

内部統制を構成する基本的な要素

内部統制は、一般に複数の基本的要素から成り立つと整理されています。具体的には、統制環境(組織の気風・土台)、リスクの評価と対応、統制活動(承認・照合・職務分掌などの具体的な手続)、情報と伝達、モニタリング(日常的・独立的な監視)、ITへの対応、といった要素です。

J-SOX対応では、これらの要素が、全社的なレベルと個々の業務プロセスのレベルの双方で機能しているかを評価していくことになります。「承認印を押す」「ダブルチェックする」といった個々の手続だけでなく、それを支える組織の風土や情報伝達の仕組みまでを含めて「内部統制」として捉える、という視点が出発点です。

実務で混同されやすいのが、「J-SOX(内部統制監査)」と「会計監査(財務諸表監査)」の関係です。どちらも監査法人が関与し、決算の時期に並行して進むため、現場では一体のものとして感じられがちですが、目的と対象が異なります。

何を対象にするかが違う

  • 財務諸表監査:できあがった財務諸表(数字そのもの)が、適正に表示されているかについて意見を表明するための監査です。いわば「結果」を見ます。
  • 内部統制監査(J-SOX):その財務諸表を作り出す内部統制(仕組み・プロセス)が有効かどうかについて、経営者の評価を前提に意見を表明する監査です。いわば「作られ方」を見ます。

たとえるなら、財務諸表監査が「出てきた料理が注文どおりか」を確かめるものだとすれば、内部統制監査は「その料理を作るための仕込みから盛り付けまでの手順とチェック体制」を確かめるもの、というイメージです。

「経営者評価が先」という関係性

J-SOXのもう一つの特徴は、まず経営者が自ら内部統制を評価し、その評価結果に対して監査人が監査するという二段構えになっている点です。財務諸表監査が監査人による直接の検証であるのに対し、内部統制監査は「経営者の自己評価をチェックする」構造をもっています。

このため、内部統制担当者の実務は、経営者評価のための一連の作業を会社側として遂行することが中心になります。評価範囲の決定、文書化、整備状況・運用状況の評価、不備の集計と是正——これらは原則として会社(経営者)側の責任で行う作業であり、監査法人がやってくれるものではありません。この役割分担を押さえておくことが重要です。「監査法人が評価してくれるはず」という前提で進めると、会社側の準備が後ろ倒しになりかねません。

両者は密接に連携する

とはいえ、両者は完全に独立して動くわけではありません。内部統制が有効であれば、財務諸表監査における実証手続の範囲に影響することもあり、監査全体が効率的に進むという関係があります。逆に、内部統制に重要な不備があれば、財務諸表監査の手続もより慎重になります。会社にとっては、内部統制を実効的に整備・運用しておくことが、監査対応全体の負担軽減にもつながる、という視点を持っておくとよいでしょう。

なお、内部統制と並んで語られることの多い「内部監査」との役割分担については、別記事で詳しく整理しています(J-SOXと内部監査の違い・関係|役割分担と体制構築のポイント)。

3点セットとは

J-SOX対応の文書化の中心となるのが、いわゆる「3点セット」と呼ばれる文書です。業務プロセスに係る内部統制を可視化するために作成されるもので、一般的に次の3種類を指します。

  • 業務記述書:対象プロセスの一連の業務の流れを、誰が・いつ・何を・どのように行うかを文章で記述したもの。
  • フローチャート:業務の流れと情報・帳票の流れを図で表したもの。承認・照合・記録などの統制がどこに組み込まれているかを視覚的に把握できます。
  • リスク・コントロール・マトリックス(RCM):各プロセスに潜むリスクと、それに対応する統制(コントロール)を一覧化し、リスクと統制の対応関係を整理したもの。

特にRCMは、「どのリスクに対して、どのコントロールが、どのアサーション(財務情報の正確性・網羅性・実在性などの観点)を満たすために存在しているか」を整理する役割を担います。評価作業は、このRCMに記載されたコントロール(キーコントロール)が、設計どおりに整備され、期間を通じて運用されているかを確かめていく流れになります。

評価対象範囲は「重要なところに絞る」

J-SOXでよく誤解されるのが、「会社のすべての業務プロセスを文書化し、評価しなければならない」という思い込みです。実際には、内部統制報告制度はリスク・アプローチに基づいており、財務報告に重要な影響を及ぼす範囲に評価対象を絞り込むことが想定されています。すべてを完璧に評価するのではなく、メリハリをつけることが制度の趣旨に沿った対応です。

評価対象範囲は、一般的に次の3つの層で考えられます。

  • 全社的な内部統制:会社全体に関わる統制(経営方針、組織体制、規程、モニタリングの仕組みなど)。原則として全社・全拠点を対象に評価します。
  • 決算・財務報告プロセス:決算整理や連結・開示にかかわるプロセス。財務報告の信頼性に直結するため、重要性が高い領域として扱われます。
  • 業務プロセスに係る内部統制:販売、購買、棚卸資産、固定資産といった、勘定科目に結びつく日常業務の統制。ここで、金額的・質的な重要性に基づいて評価対象とする事業拠点や勘定科目を選定します。

範囲決定は監査法人との協議が前提

評価対象範囲の決め方には、一定の判断基準(事業拠点の重要性や勘定科目の重要性など)が用いられますが、その具体的な閾値や考え方は、自社のリスク評価と監査法人との協議を踏まえて決定するのが実務です。本記事では断定的な数値基準は示しません。最新の要件や自社に適した範囲の考え方は、「財務報告に係る内部統制の評価及び監査の基準・実施基準」および監査法人にご確認ください。範囲設定は評価工数を大きく左右する論点なので、毎年「前年踏襲」で済ませず、事業環境の変化を踏まえて見直す姿勢が重要です。

J-SOX対応は、決算期末に向けて一年を通じて計画的に進める業務です。締め直前に慌てて着手すると、大量の証憑チェックが期末の繁忙期に集中して終わらない、不備の是正が間に合わないといった問題が起きます。ここでは年間の大きな流れを整理します。詳細なステップ分解は別記事(J-SOX対応の進め方|年間スケジュールと評価プロセスを5ステップで整理)で扱います。

期初〜上期:計画と整備状況評価

年度の初めには、その期の評価計画を立てます。評価対象範囲の見直し、前年からの業務やシステムの変更点の洗い出し、評価スケジュールと担当の割り当てを行います。

続いて、整備状況評価に着手します。3点セットを最新の業務実態に合わせて更新し、コントロールが「設計上、リスクを適切に低減できる形になっているか」を確かめます。組織変更や新規事業、システム入替えがあった場合は、この段階で文書を改訂しておくことが後工程の精度を左右します。さらに踏み込めば、こうした変更を事後に把握して文書へ反映するのではなく、内部統制担当部門が関連部門の定例会議や稟議のプロセスに早い段階から関与し、変更の発生を即時にキャッチできる体制を築いておくのが理想です。

下期〜期末:運用状況評価

整備状況に問題がないと確認できたコントロールについて、運用状況評価を行います。これは「設計どおりに実際に運用されているか」を、証憑のサンプルなどを使って確かめる作業です。運用評価は一定期間の運用実績を必要とするため、計画的にサンプル抽出のタイミングを設計しておく必要があります。

期末後:評価結果の取りまとめと報告

期末を迎えたら、決算・財務報告プロセスの評価を行い、ここまでの評価結果を取りまとめます。識別された不備があれば、その重要性を判断し、必要に応じて是正状況を確認します。最終的に、経営者は評価結果を内部統制報告書としてまとめ、監査法人の内部統制監査を経て開示します。

着任直後・初年度は特に計画が重要

担当に着任したばかりの方や、新規上場直後の初年度対応では、引き継ぎ資料の理解と現状把握に想定以上の時間がかかります。何から着手すべきかの具体的な手順は、別記事のチェックリスト(J-SOX対応を何から始める?初年度・担当着任時のはじめ方チェックリスト)も参考にしてください。

J-SOX評価の中核となる「整備状況評価」と「運用状況評価」について、もう少し具体的に流れを見ていきます。この2つは段階が異なり、順序にも意味があります。

整備状況評価:「設計」を確かめる

整備状況評価は、コントロールが「リスクを低減できるように適切に設計され、業務に組み込まれているか」を確かめるステップです。

具体的には、3点セット(特にフローチャートとRCM)が実際の業務と一致しているかを、業務担当者へのヒアリングや、実際の処理を1件程度たどってみる「ウォークスルー」によって確認します。ここで、文書と実態がずれていれば文書を更新し、リスクに対してコントロールが不足していれば、コントロールの追加や見直しを検討します。

整備状況に問題があるまま運用評価に進んでも意味がないため、整備が固まってから運用評価に移るのが基本的な順序です。

運用状況評価:「実際の運用」を確かめる

運用状況評価は、整備状況評価で「設計上問題なし」とされたコントロールが、評価対象期間を通じて実際に設計どおり運用されていたかを確かめるステップです。

ここでは、コントロールが実施された証跡(承認記録、照合資料、システムログなど)をサンプルとして抽出し、それぞれが要件を満たしているかを検証します。サンプルの件数は、コントロールの実施頻度(日次・週次・月次など)に応じて考え方が変わります。具体的なサンプル件数の目安は監査法人とのすり合わせが前提となるため、本記事では割愛します。

評価結果のエビデンスを残す

整備・運用いずれの評価でも、「いつ、誰が、何を、どのように確かめ、結論はどうだったか」をエビデンスとして残すことが欠かせません。評価調書が曖昧だと、監査法人のレビューで手戻りが発生し、評価結果の信頼性が揺らぎかねません。後述する形骸化・属人化の防止という観点からも、評価プロセス自体を「再現可能な形」で文書化しておくことが重要です。

IT全般統制・IT業務処理統制への目配り

業務プロセスの統制の多くは、基幹システムや会計システムに支えられています。そのため、システムのアクセス管理、変更管理、運用管理といった「IT全般統制」が有効でなければ、その上で動く自動化されたコントロール(IT業務処理統制)の信頼性も揺らぎます。IT領域の評価は専門性が高く、見落とされやすい論点でもあるため、IT部門や外部の知見を活用しながら計画的に組み込む必要があります。

不備(開示すべき重要な不備)の考え方と対応

評価を進める過程で、「不備」が見つかることがあります。不備の存在自体が問題なのではなく、重要なのはその重要性を適切に判断し、対応することです。

不備のレベル感

内部統制の不備は、一般にその影響度に応じて段階的に捉えられます。実務上は、軽微な不備から、財務報告に重要な影響を及ぼし得る深刻な不備(いわゆる「開示すべき重要な不備」)まで、重要性のグラデーションで判断します。なお、不備の区分や呼称の定義は制度上整理されており、用語・定義は「財務報告に係る内部統制の評価及び監査の基準・実施基準」または監査法人にご確認ください。

最も注意すべきは、この「開示すべき重要な不備」です。これが期末日に存在し是正されていない場合、経営者は内部統制が「有効でない」と評価し、その旨を内部統制報告書に記載しなければなりません。これは投資家の投資判断にも影響する重大な事態です。

不備の重要性をどう判断するか

不備の重要性は、単純に金額の大小だけで決まるものではありません。一般的には、金額的な影響の大きさ(量的重要性)と、質的な影響(質的重要性)の両面から判断します。

たとえば、金額的には小さくても、経営者の関与する取引や、不正につながりやすい領域、開示の根幹に関わる事項などは、質的に重要と判断される場合があります。「金額が小さいから問題ない」と機械的に処理せず、なぜそのコントロールが必要だったのかという原点に立ち返って判断することが求められます。

不備が見つかったときの対応の流れ

不備を識別したら、おおむね次のような流れで対応します。

  1. 不備の内容と原因を特定する:どのコントロールが、なぜ機能しなかったのか(設計の問題か、運用の問題か)を切り分けます。
  2. 影響範囲と重要性を評価する:他の拠点・プロセスに同じ問題がないか、量的・質的にどの程度の影響があるかを検討します。
  3. 是正措置を講じる:根本原因に対する是正策を実施します。一時的な対処(補完統制)と、恒久的な仕組みの見直しを区別して考えます。
  4. 是正の有効性を確認する:是正後のコントロールが、期末日までに一定期間有効に運用されたかを確かめます。

ここで大切なのは、早期発見・早期是正です。期末間際に重要な不備が見つかると、是正の運用実績を積む時間が足りず、是正が間に合わないという事態になりかねません。だからこそ、前述のとおり評価を計画的に前倒しで進めておく意味があります。

J-SOX対応で最も多いお悩みが、「制度導入から年数が経ち、評価が形骸化している」「特定の担当者しか中身を分かっておらず、その人が異動したら回らない」という、形骸化と属人化の問題です。ここでは運用改善の観点を整理します。

形骸化が起きるメカニズム

形骸化は、評価が「前年踏襲のコピー作業」になることで進行してしまうケースが見受けられます。RCMを前年のまま使い回し、業務実態の変化を反映しないまま「問題なし」と結論づける――こうした状態が続くと、評価は実施されているのに実態を捉えていない、という形骸化が起きます。事業やシステムが変わっているのに統制の記述が古いままなら、評価そのものの前提が崩れてしまいます。

形骸化を防ぐ視点

  • キーコントロールの棚卸し:コントロールの数が増えすぎていないかを定期的に見直します。重要でないコントロールまで評価対象に抱え込むと、工数だけがかさみ、本当に重要な統制への集中力が落ちます。
  • 業務・システム変更の反映プロセスを定着させる:組織変更や新システム導入があったときに、内部統制部門へ情報が流れる仕組みを作っておくことで、文書の陳腐化を防ぎます。
  • 評価の「なぜ」を共有する:評価担当者が「何のためにこの手続をするのか」を共有できていると、作業の機械化・形骸化を防げます。

属人化を防ぐ視点

属人化の解消には、評価プロセスの標準化と文書化が有効です。評価手順書、調書のテンプレート、判断基準を整備し、「担当者が代わっても同じ品質で評価できる」状態を目指します。引き継ぎ資料を実務に耐える形で整えておくことは、担当者の異動リスクへの備えにもなります。

DX・効率化という選択肢

近年は、評価作業そのものをデータドリブンに効率化する取り組みも広がっています。たとえばBIツールを活用して、基幹システム等の取引データから異常値や統制の例外を自動的に抽出すれば、サンプルベースの確認に加えて、母集団全体を俯瞰したモニタリングが可能になります。これは工数削減だけでなく、形骸化の防止(実態に基づく評価への回帰)という意味でも有効なアプローチです。具体的な手法は別記事(内部統制のDX・効率化|Power BI活用で評価工数を削減しモニタリングを高度化する方法)で解説しています。

J-SOX対応をどの体制で回すかは、内部統制部門の人員や専門性、繁閑の波によって変わります。「すべて内製」と「すべて外注」の二択ではなく、業務ごとに使い分けるのが現実的です。

内製・アウトソース・コソースの違い

  • 内製(インソース):自社の担当者が評価を実施する形。業務理解が深く、ノウハウが社内に蓄積される一方、専門人材の確保・育成や、繁忙期の負荷集中が課題になりがちです。
  • アウトソース:評価作業の一部または全部を外部に委託する形。専門知識を活用でき、社内負荷を平準化できますが、丸投げにすると社内にノウハウが残らないリスクがあります。
  • コソース(co-source):自社と外部専門家が協働して評価を進める形。社内が主体性を保ちつつ専門知見を取り込めるため、ノウハウの社内定着と品質確保を両立しやすい選択肢です。

使い分けの考え方

どの業務を内製し、どこを外部に委ねるかは、「専門性が必要か」「繁閑の波が大きいか」「ノウハウを社内に残したいか」といった観点で判断します。たとえば、IT全般統制の評価や、評価範囲・不備判断といった専門性の高い論点は外部知見を活用し、日常的な運用評価は内製する、といった組み合わせが考えられます。また、最新のDX事例やJ-SOX業務の高度化・効率化の進め方といった、社内に蓄積されにくい知見についても、外部の専門家を活用することが有効です。

コストの考え方

体制をどう組むかは費用にも直結しますが、J-SOX対応の費用は一律のレンジで語れるものではありません。評価対象範囲の広さ、拠点数、システムの複雑さ、現状の文書の整備度合い、求める成果物の水準など、さまざまな変動要因の組み合わせで決まります。費用を検討する際は、金額の多寡だけでなく「何にコストがかかるのか」という構成要素から考えることをおすすめします。費用の構成要素の整理は別記事(J-SOX対応の費用の考え方|内製・アウトソースのコストを構成する要素)で詳しく扱っています。また、委託範囲の決め方やメリット・選び方は別記事(内部統制のアウトソース・コソースとは?委託範囲とメリット・選び方)も参考にしてください。

ここまで、J-SOX対応の全体像と実務のポイントを解説してきました。とはいえ、限られた人員と時間の中で、これらをすべて自社だけで高い品質を保ちながら回し続けるのは容易ではありません。RSM汐留パートナーズは、内部統制の整備・評価・改善の各フェーズに、お客様の主体性を尊重しながら伴走します。

整備・評価・改善を一気通貫で支援

RSM汐留パートナーズには、公認会計士をはじめとする専門家が在籍し、内部統制の文書化(3点セットの作成・更新)、評価範囲の設計、整備状況・運用状況評価、不備の是正支援まで、J-SOX対応の一連のプロセスをご支援します。「初年度で何から始めればよいか分からない」段階から、「すでに回しているが形骸化・属人化を解消したい」段階まで、お客様のフェーズに合わせた関与が可能です。

大手監査法人対応の実務知見

J-SOX対応は、最終的に監査法人の内部統制監査を通過する必要があります。RSM汐留パートナーズは、大手監査法人の監査対応に関する実務知見を有しており、監査人とのコミュニケーションを見据えた評価の設計・文書化をご支援できる点が強みです。評価範囲や不備判断といった監査人との協議が必要な論点でも、実務に即した形でサポートします。

コソースによるノウハウ定着と効率化

私たちは、作業を幅広く引き受けるアウトソース型から、お客様と協働しながら社内に評価能力を残すコソース型まで、ご状況やご要望に応じた関与の仕方をご提案できます。特に、ノウハウを社内に定着させたい・属人化を防ぎたいというニーズには、コソース型の支援が有効です。さらに、Power BIなどのダッシュボードを活用したデータドリブンな評価・モニタリングの高度化により、評価工数の削減と形骸化防止の両立もご提案できます。

なお、内部統制と関連の深い内部監査体制の構築データドリブン監査によるDX上場準備段階での内部管理体制構築まで、ガバナンス・管理体制を幅広くご支援できる体制を整えています。

J-SOX(内部統制報告制度)対応のポイントを、改めて整理します。

  • J-SOXは、財務報告の信頼性を「作成プロセスに組み込まれた内部統制の有効性」という観点から担保する制度であり、経営者が自ら評価し開示する仕組みである。
  • 会計監査(財務諸表監査)が「結果としての数字」を見るのに対し、内部統制監査は「数字の作られ方」を見る点で異なるが、両者は密接に連携している。
  • 評価は、3点セット(業務記述書・フローチャート・RCM)を軸に、重要な範囲に絞って整備状況評価→運用状況評価の順で進める。
  • 不備は重要性(量的・質的)で判断し、早期発見・早期是正が肝心である。
  • 形骸化・属人化は、キーコントロールの棚卸し、変更反映プロセス、標準化・文書化、そしてDXによって防ぐことができる。
  • 体制は内製・アウトソース・コソースを業務ごとに使い分けるのが現実的であり、費用は変動要因の構成から考える。

J-SOX対応は、制度対応として最小限の形式を満たすにとどめるのか、「自社の管理体制を強くする機会」として活かすのかで、得られる価値が大きく変わります。制度の趣旨を理解し、メリハリのある実効的な対応を設計することが、担当者にとっての出発点です。

なお、本記事で触れた制度の数値基準や最新の要件は改正等で変わり得ます。自社への適用にあたっては、必ず「財務報告に係る内部統制の評価及び監査の基準・実施基準」および自社の監査法人にご確認ください。

J-SOX対応にお困りの方へ

「評価が形骸化している」「初年度で進め方が分からない」「監査法人の指摘にどう対応すべきか相談したい」——こうしたお悩みがあれば、ぜひRSM汐留パートナーズにご相談ください。内部統制の整備・評価・改善を、大手監査法人対応の実務知見をもとに伴走支援します。

J-SOX対応に関するご相談・お問い合わせはこちらから。

お問い合わせフォーム


    ※個人のお客様の場合は、「個人」とご入力ください。