「毎期、同じようにサンプルを抜き出して証憑を確認しているが、これで本当にリスクを捉えられているのか、手法の網羅性に確信が持てない」「評価作業の量に押されて、肝心の分析や改善に充てる時間が確保しにくい」——内部統制報告制度(いわゆるJ-SOX)の評価を担当されている方から、こうしたお声をよくいただきます。
評価業務は、毎期決まった手続きを着実に積み上げていく、正確性と継続性が問われる業務です。だからこそ、サンプリングと手作業の証憑確認を中心とした従来型の進め方では、対象が増えるほど工数が膨らみ、「確認したという記録を残すこと」自体が目的化しているように感じられる場面も出てきます。一方で、近年は会計・基幹システムに蓄積されたデータを活用し、BI(Business Intelligence)ツールなどでデータドリブンに例外を抽出したり、対象を全件モニタリングしたりする取り組みが広がりつつあります。これは単なる作業の置き換えではなく、評価工数の削減と、評価の実効性向上(形骸化の防止)を両立させる手段として注目されています。
この記事では、会計・監査・内部統制の実務に携わる立場から、従来型評価の限界がどこにあるのか、Power BIに代表されるデータ活用がなぜ効率化と高度化を同時に実現しうるのか、そして導入をどのようなステップで進め、どう定着させていくかを整理します。ツールの操作方法ではなく、内部統制の実務に「データ活用をどう組み込むか」という考え方の地図としてお読みいただければ幸いです。
※本記事はJ-SOX(金融商品取引法に基づく内部統制報告制度)の一般的な仕組みを前提とした解説です。評価手法の採否や評価範囲・サンプル件数の考え方などは、制度の枠組みと会社の状況により異なります。具体的な運用や監査対応については、「財務報告に係る内部統制の評価及び監査の基準・実施基準」および自社の監査法人にご確認ください。
なぜ今、内部統制のDX・効率化が求められているのか
J-SOXの目的は、財務報告の信頼性を確保することにあります。その手段として、財務報告に関わる作成プロセスに組み込まれた内部統制が有効に機能しているか——すなわち整備状況と運用状況の両面——を経営者が評価し、報告します。この目的と手段の関係そのものは、制度の導入以来変わっていません。
変わってきたのは、評価を取り巻く環境です。事業のグローバル化やグループ再編により評価対象は広がり、会計・基幹システムの高度化によって扱うデータ量は増え続けています。一方で、評価を担う人員は潤沢とはいえないことが多く、決算業務との繁忙期の重なりもあって、限られたリソースで評価の質を保ち続けることが共通の課題になっています。
ここで効率化が必要なのは、単に「楽をするため」ではありません。評価に費やす工数を適正化できれば、その分のリソースを、不備の是正や業務プロセスそのものの改善、リスクの高い領域の深掘りといった、より付加価値の高い活動に振り向けられます。DX・効率化は、評価を縮小するための手段ではなく、評価の実効性を高めるための投資として位置づけると、取り組みの意義が明確になります。
J-SOX対応の全体像(目的・仕組み・進め方)については、ハブ記事で体系的に整理していますので、制度の前提から確認したい場合はあわせてご覧ください(J-SOX(内部統制報告制度)対応とは?仕組み・進め方・実務のポイントを内部統制担当者向けに徹底解説)。
従来型評価(手作業・サンプリング中心)の限界
データ活用の意義を理解するうえで、まず従来型の評価が抱える構造的な特性を整理しておきます。ここで述べるのは、担当者の取り組み方の問題ではなく、手法そのものに内在する制約です。
サンプリングは「一部」しか見られない
運用状況の評価では、対象とする統制(キーコントロール)について、母集団からサンプルを抽出し、証憑を確認して統制が機能していた証拠を残していくのが一般的な手続きです。これは合理的かつ確立された手法ですが、性質上、母集団の一部を確認するものであり、抽出されなかった取引の中に潜む例外を直接捉えるものではありません。
サンプルの件数や抽出方法は、リスクや統制の頻度に応じて設計されるものであり、具体的な件数や考え方は実施基準の枠組みと監査法人との協議によります。重要なのは、サンプリングである以上、「確認した範囲では問題がなかった」という結論にとどまる、という手法上の特性を理解しておくことです。
手作業の証憑確認は工数が積み上がる
手作業による統制は、運用テストのたびに証憑を集め、一件ずつ目視で照合する必要があります。対象とするキーコントロールの数が増えれば、その分だけ確認の手間が比例して増えていきます。証憑の収集や台帳への記録、突合といった作業に多くの時間が割かれ、結果として「なぜその統制が重要なのか」を考える時間が圧迫されやすくなります。
期末への偏りと「点」の評価
運用評価は、期中の一時点や特定期間のサンプルを対象とすることが多く、期末に作業が集中しがちです。これは、年間を通じた統制の状況を連続的に把握するというより、いくつかの「点」で確認する構造になりやすいことを意味します。期中に生じた異常や一時的な統制の逸脱が、評価のタイミングと噛み合わなければ、検出が後手に回る可能性があります。
形骸化が生じやすい構造
これらが重なると、評価が「証憑を集めてチェックマークを付ける作業」に近づき、本来の目的であるリスクの把握から遠ざかっていく——いわゆる形骸化の懸念が生じます。これは担当者の姿勢の問題ではなく、手作業とサンプリングを前提とした手法が、量の増加に対してスケールしにくいために起きる構造的な現象です。だからこそ、手法そのものにデータ活用を組み込むことで、この構造を変えていく余地があります。
データドリブンな評価とは|全件モニタリングと例外抽出
従来型の限界を踏まえると、データ活用がどこに効くのかが見えてきます。鍵となるのは、「サンプルを見る」発想から「データ全体を見て、例外に集中する」発想への転換です。
全件モニタリングという考え方
会計・基幹システムには、仕訳、購買、販売、在庫の移動など、業務の記録がデータとして蓄積されています。これらのデータを直接分析できれば、サンプルではなく対象データの全件を見渡し、定義したルールから外れる取引(例外・アノマリー)を抽出することが可能になります。
たとえば、承認限度額を超えた取引、休日や深夜に計上された仕訳、業務分掌で定められた担当者以外が起票した仕訳、マスタに存在しない取引先への支払いなど、「統制が効いていれば本来起きにくいはずのパターン」を条件として定義し、全データに当てはめて該当件数を抽出する、という進め方です。これにより、確認の網羅性が高まると同時に、人の目を向けるべき対象が例外に絞り込まれます。
※ここで挙げた抽出条件はあくまで考え方の例示です。どのような分析が運用評価上の手続きとして認められるか、サンプリングの代替・補完としてどう位置づけられるかは、各社の状況によって様々であり、監査法人との協議によります。手法の採否は「財務報告に係る内部統制の評価及び監査の基準・実施基準」および自社の監査法人にご確認ください。
例外抽出が効率化と高度化を両立させる理由
全件を機械的にスクリーニングし、例外だけを人が精査する——この役割分担が、効率化と高度化を同時に成り立たせます。網羅的にデータを見ることで「全体を見ている」という実効性が高まり(高度化)、人手をかける対象が例外に限定されることで証憑確認の総量が抑えられます(効率化)。サンプリングが「一部を深く」見る手法だとすれば、データ活用は「全体を広く見て、怪しい一部を深く」見る手法といえます。
継続的モニタリングへの発展
さらに、この分析を期末の一回限りではなく、月次や日次など定期的に回す仕組みにできれば、年間を通じた継続的なモニタリングに発展します。期中に生じた異常を早期に把握できれば、是正も早く着手でき、「点」の評価から「線・面」の把握へと近づきます。これは、評価のためだけでなく、業務管理そのものの質を高める効果も期待できます。
なお、こうした取り組みは内部監査によるモニタリングと親和性が高く、J-SOX評価と内部監査の役割分担を整理することで、データ活用の効果をより広く活かせます。両者の違いと連携の考え方は別記事で整理しています(J-SOXと内部監査の違い・関係|役割分担と体制構築のポイント)。
Power BIを活用した内部統制DXの具体像
データドリブンな評価を実現する手段の一つが、Power BIに代表されるBIツールの活用です。ここでは、なぜBIツールが内部統制の文脈で有用なのか、どのような形で使われるのかを整理します。
BIツールが評価業務に向いている理由
BIツールは本来、社内に散在するデータを取り込み、加工・集計し、ダッシュボードとして可視化することを目的としたものです。この特性が、内部統制評価のいくつかの課題と噛み合います。
- 複数データソースの統合:会計システム、基幹システム、各種台帳など、形式の異なるデータを取り込んで一元的に扱えます。
- 加工処理の自動化・再現性:一度作り込んだデータ取り込みと集計の手順を、毎期・毎月そのまま再実行できます。手作業の集計と違い、手順が記録され、再現性が確保される点は、評価の証跡という観点でも意味があります。
- 可視化による異常の発見しやすさ:数値の羅列ではなくグラフやダッシュボードで示すことで、傾向や外れ値を直感的に捉えやすくなります。
- 明細へのドリルダウン:全体像から個別取引の明細まで掘り下げられるため、例外として抽出された取引の精査にそのまま移行できます。
内部統制での活用イメージ
内部統制の評価・モニタリングにおける活用は、たとえば次のような形が考えられます。
- 例外取引のダッシュボード化:前章で挙げたような「統制が効いていれば起きにくいパターン」を抽出する条件を組み込み、該当取引を一覧・件数で可視化する。
- 統制の運用状況の傾向把握:承認の遅延、未処理の滞留、特定部署・特定科目への偏りなどを時系列で追い、異常の兆候を捉える。
- 評価作業の進捗管理:評価対象のキーコントロールごとに、テストの実施状況や不備の検出・是正状況を可視化し、年間スケジュールの管理に役立てる。
- 証憑収集・集計の自動化:これまで手作業で集計していた数値を自動で更新し、準備工数を削減する。
内部統制DXに不可欠なIT全般統制の視点
ここで見落とせないのが、データ活用そのものが信頼できる前提を整えておく必要がある、という点です。分析の元になるデータが改ざんされうる状態であったり、ダッシュボードのロジックが管理されないまま変更されたりすれば、その分析結果自体の信頼性が揺らぎます。
具体的には、データを抽出する元システムのIT全般統制(アクセス管理、変更管理、運用管理など)が適切に機能していること、BIツール上のデータ取り込みロジックや分析定義が管理・統制されていることが、データドリブン評価の土台になります。ツールを導入するだけでなく、その分析を内部統制の手続きとして成立させるには、こうしたIT統制の整備とあわせて設計することが欠かせません。ここは内部統制とITの双方の知見が交わる領域であり、専門的な検討を要する部分です。
ダッシュボード構築でつまずきやすい点と対処
BIツールの活用は、ダッシュボードを「作る」こと自体は難しくありませんが、内部統制の手続きとして機能させる過程でいくつかのつまずきが生じやすい点に注意が必要です。あらかじめ典型的なパターンを把握しておくと、試行段階での手戻りを減らせます。
第一に、誤検知(フォールスポジティブ)の多さです。例外を抽出する条件を素直に作ると、業務上は問題のない正常な取引まで大量に「例外」として拾ってしまうことがあります。たとえば「深夜に計上された仕訳」を異常とみなす条件は、夜間バッチで自動計上される仕訳を一律に拾ってしまいがちです。こうした正常パターンを除外する条件を重ねたり、金額や頻度の閾値を組み合わせたりして、人が精査すべき件数が現実的な範囲に収まるよう調整していく作業が欠かせません。誤検知が多いまま運用を始めると、結局すべてを目視する従来型に逆戻りし、効率化の効果が失われてしまいます。
第二に、データ取得の安定性です。元システムからのデータ抽出が手作業や不定期の操作に依存していると、毎期・毎月の更新が滞ったり、抽出範囲がそのつど変わったりして、分析結果の一貫性が損なわれます。取得元・抽出条件・更新頻度を定義し、可能な範囲で自動化しておくことで、再現性のある分析基盤になります。
第三に、データの粒度や項目の不整合です。複数システムのデータを統合する際、取引先コードや勘定科目の体系がシステムごとに異なると、突合がうまくいかず分析の前提が崩れます。データの整備(クレンジング・名寄せ・コード対応表の用意)に想定以上の工数がかかることは珍しくなく、この準備をステップ3で十分に見込んでおくことが、後工程をスムーズに進める鍵になります。
これらはいずれも、ツールの操作スキルというより、「何を異常とみなすか」「どのデータをどう信頼するか」という設計判断に関わる論点です。内部統制の知見をもとに条件と前提を詰めていくことで、ダッシュボードが実務に耐える分析手段になっていきます。
導入の進め方|内部統制DXを段階的に実現するステップ
データ活用は、いきなり全社・全プロセスに広げると要件が膨らみ頓挫しがちです。小さく始めて広げる段階的なアプローチが現実的で、進め方は次の5ステップが一例です。
- 現状把握と課題の棚卸し:工数がかさむ作業や形骸化の懸念がある統制を洗い出し、効果の出やすい領域を見極める。業務部門・IT部門にも早めに共有しておく。
- 対象範囲の絞り込み(スモールスタート):効果が高くデータも取得しやすい領域(仕訳・購買データなど構造化されルール化しやすいプロセス)を最初の対象に選び、一つの統制で成果を出すことを優先する。
- データの整備と分析ルールの設計:対象データを安定的に取得できる状態に整え、「どの取引を例外とみなすか」の抽出条件を設計する。内部統制の知見が最も問われる工程で、緩すぎず厳しすぎない、リスクに見合った条件設定が要。
- ダッシュボードの構築と試行:ルールをPower BIなどに実装し、検出力と誤検知のバランスを確認しながら条件をチューニングする。
- 評価手続きへの組み込みと監査法人との協議:分析を正式な手続きに組み込む。サンプリングの代替か補完か、証跡の残し方を監査法人と早めに認識合わせしておく。
※データ分析を運用評価の手続きとして位置づける際の要件や、証跡の十分性の判断は、各社の状況や監査法人の見解によります。取り扱いは「財務報告に係る内部統制の評価及び監査の基準・実施基準」および自社の監査法人にご確認ください。
定着させるためのポイント|ツール導入で終わらせない
データ活用の取り組みは、ダッシュボードを作って終わりではありません。むしろ、作った後にどう運用し続けるかで効果が決まります。定着のためのポイントを整理します(仕組みづくりから定着までの伴走支援については、サービスページもあわせてご覧ください)。
分析ルールを継続的に見直す
事業環境やリスク、業務プロセスは変化します。一度設計した分析ルールも、組織変更やシステム更改、新たなリスクの出現にあわせて見直しが必要です。抽出される例外の傾向を定期的に振り返り、誤検知が多い条件は調整し、新たに捉えるべきリスクがあれば条件を追加する——この継続的なメンテナンスが、分析の精度・実効性を保ちます。見直しのプロセス自体も、いつ・誰が・どう変更したかを管理しておくことで、分析の信頼性が確保されます。
属人化を防ぎ、再現可能な仕組みにする
特定の担当者だけがダッシュボードの構造や分析ロジックを把握している状態だと、その方の異動・退職で取り組みが立ち行かなくなりかねません。分析の定義やデータ取り込みの手順を文書化し、複数名が扱える状態にしておくことで、データ活用そのものが将来コストを生まないようにできます。これは内製で進める場合にとくに意識したい点です。
「例外を精査する力」を組織に残す
データ活用が進むと、人の役割は「証憑を集めて照合する」ことから「抽出された例外がなぜ生じたのかを考え、リスクを評価する」ことへと移ります。例外の背景を読み解き、統制上の意味を判断する力こそが、データ活用時代の評価担当に求められる中核です。ツールに任せる部分と、人が判断すべき部分を切り分け、後者の力を組織に蓄積していくことが、形骸化を防ぐ最大の鍵になります。
経営者評価・監査対応との整合を保つ
データ活用による評価・モニタリングは、最終的に経営者による内部統制の有効性評価の一部として位置づけられ、監査法人の監査も受けます。分析結果がどのように評価結論につながるのか、証跡として何を残すのかを整理し、経営者評価および監査対応と整合させておくことで、取り組みが制度上も意味を持ち続けます。
管理業務全体の効率化とあわせて捉える
内部統制のデータ活用は、決算・管理会計といった管理業務全体のDXと地続きです。Excelによる集計の属人化や月次締めの遅延といった日常的な課題も、同じデータ活用の発想で改善できる場合があります。内部統制評価のためだけにツールを抱えるのではなく、管理業務全体の効率化の一環として設計すると、投資対効果を高めやすくなります。
ここまでの整備・設計・定着は、内部統制とデータ活用の双方の知見を要する領域です。RSM汐留パートナーズでは、Power BIを用いたデータドリブンな評価の整備・改善を伴走支援し、評価工数の適正化とモニタリングの高度化を目指しています。現状の評価業務の棚卸しから、対象範囲の絞り込み、分析設計、IT全般統制を踏まえた仕組みづくり、そして定着までの各段階で伴走支援しています(内部監査DX支援)。
まとめ
内部統制のDX・効率化は、評価を縮小するためではなく、評価の実効性を高めながら工数を適正化するための取り組みです。本記事のポイントを振り返ります。
- 背景:評価対象とデータ量が増える一方でリソースは限られ、限られた人手で評価の質を保つことが共通の課題になっている。効率化は、空いたリソースを付加価値の高い活動に振り向けるための投資と捉える。
- 従来型評価の限界:サンプリングは母集団の一部のみを確認する手法であり、手作業の証憑確認は対象の増加に比例して工数が積み上がる。期末偏重の「点」の評価になりやすく、構造的に形骸化の懸念が生じやすい。
- データドリブン評価:対象データの全件を見渡して例外を抽出する発想により、網羅性の向上(高度化)と確認対象の絞り込み(効率化)を両立させられる。定期的に回せば継続的モニタリングへ発展する。
- Power BIの活用:複数データの統合、加工の自動化・再現性、可視化、明細へのドリルダウンが評価業務と噛み合う。ただし元データのIT全般統制と分析定義の管理が信頼性の土台になる。誤検知やデータ取得の安定性など、設計段階で詰めるべき論点もある。
- 導入の進め方:現状把握→対象の絞り込み(スモールスタート)→データ整備と分析ルール設計→ダッシュボード構築と試行→評価手続きへの組み込みと監査法人との協議、という段階的なアプローチが現実的。
- 定着のポイント:分析ルールの継続的な見直し、属人化の防止、例外を精査する力の組織への蓄積、経営者評価・監査対応との整合、管理業務全体の効率化との連動。
データ活用は、ツールを入れれば自動的に成果が出るものではなく、内部統制の知見に基づいて「何をリスクとみなし、どう例外を捉えるか」を設計してこそ効果を発揮します。手法そのものにデータ活用を組み込むことで、評価の形骸化を防ぎながら工数を削減する——この両立が、内部統制DXの本質です。
評価の効率化・高度化のご相談はRSM汐留パートナーズへ
「評価工数が膨らんでいて、どこから効率化できるか診断してほしい」「Power BIを使ったデータドリブン監査を内部統制に取り入れたい」「全件モニタリングの仕組みを監査対応と整合する形で構築したい」——こうしたご検討段階に入られた方は、ぜひお気軽にご相談ください。
RSM汐留パートナーズは、内部統制の整備・評価・改善のプロセスに沿って伴走支援し、大手監査法人対応の実務知見を踏まえて、Power BIを用いたデータドリブンな評価の整備・改善を支援しています(評価工数の適正化とモニタリングの高度化を目指します)。現状の棚卸しから分析設計、IT全般統制を踏まえた仕組みづくり、定着までの各段階で伴走支援します。サービスの詳細確認・資料のダウンロード・お問い合わせは、サービスページよりご依頼ください。
