「J-SOX(内部統制報告制度)への対応を任されたが、何から手をつければよいのか分からない」「全体像が見えないまま、文書化や評価の作業だけが先行してしまっている」——上場企業やこれから上場を目指す企業の経営管理・内部監査・経理の現場では、こうした悩みが繰り返し聞かれます。J-SOX対応は、単発の作業ではなく、計画から評価、報告までが一連の流れとしてつながった「年間サイクル」で動く業務です。この全体像を最初に押さえておかないと、個々のタスクが断片的になり、評価範囲の漏れや手戻り、監査法人との認識ズレといった問題につながりやすくなります。
この記事では、J-SOX対応の進め方を「計画→評価→報告」という大きな流れで捉えたうえで、実務を5つのステップに分解して整理します。評価範囲の決定、3点セットによる文書化、整備状況評価、運用状況評価とサンプリング、不備の評価と内部統制報告書の作成——それぞれのステップで「何を」「いつ」「どこまで」やるのかを、年間スケジュールのイメージとともに解説します。あわせて、監査法人との連携タイミング、社内体制づくりと外部活用をどう判断するかについても触れます。初めて担当する方が全体の地図を持てるよう、できるだけ平易にまとめました。
なお、内部統制報告制度の具体的な要件(評価範囲の判定指標や評価対象の考え方など)は実務指針や運用の見直しによって変わり得ます。本記事は一般的な仕組みの解説を目的としており、最新かつ正確な要件は「財務報告に係る内部統制の評価及び監査の基準・実施基準」および自社の監査法人にご確認ください。
J-SOX対応の全体プロセス(計画→評価→報告)
J-SOX(内部統制報告制度)は、上場企業の経営者に対して、自社の「財務報告に係る内部統制」が有効に機能しているかどうかを自ら評価し、その結果を内部統制報告書として開示することを求める制度です。さらに、その報告書は監査法人による監査(内部統制監査)の対象となります。つまりJ-SOX対応とは、経営者自身による「自己評価」のプロセスであり、その質と証跡が監査法人のチェックを受ける、という構造になっています。
3つの局面で捉える
J-SOX対応の1年は、大きく次の3つの局面に分けて考えると整理しやすくなります。
- 計画(Plan):評価範囲を決め、評価のスケジュールや体制を組み立てる局面。期初〜上半期前半に重心があります。
- 評価(Do/Check):文書化を整え、整備状況・運用状況を実際に評価する局面。年間を通じて進みますが、運用評価は期末に近づくほど重みを増します。
- 報告(Report):評価結果を取りまとめ、不備を評価し、内部統制報告書を作成する局面。期末〜決算・有価証券報告書の提出に向けて集中します。
この流れの中で、後述する5つのステップが進行します。重要なのは、運用状況評価を期末にまとめてやろうとしないことです。運用状況評価は一定期間の運用実績(証跡)を確認するものであり、期末に一括して進めると、作業が決算繁忙期に集中するだけでなく、証跡の欠落や統制の不備に気づくのが遅れ、是正が間に合わないという事態に陥りやすくなります。計画段階で1年の作業配分を設計しておくことが、J-SOX対応の進め方の出発点になります。
評価対象となる内部統制の3つの範囲
評価の対象となる内部統制には、一般に次の3つの種類があります。
- 全社的な内部統制:企業集団全体に関わる統制環境やリスク評価、モニタリングなど、組織の土台となる統制。
- 決算・財務報告プロセスに係る内部統制:決算整理や財務諸表の作成、開示に関わるプロセスの統制。全社的な観点を持つものとして重視されます。
- 業務プロセスに係る内部統制:売上、仕入、在庫、固定資産といった個別の業務プロセスに組み込まれた統制。
このうち全社的な内部統制の評価結果は、業務プロセスの評価範囲や評価の深さの判断にも影響します。全社的な内部統制が良好であれば、業務プロセスの評価を効率化できる場合があり、逆に弱い部分があればより慎重な評価が求められます。全体最適の視点で、どこに評価リソースを割くかを設計することが、効率的な進め方のカギになります。
J-SOX対応をこれから立ち上げる、あるいは担当に着任したばかりという方は、まず着手手順を整理したチェックリストから確認すると迷いにくくなります(J-SOX対応を何から始める?初年度・担当着任時のはじめ方チェックリスト)。
ステップ1:評価範囲(重要な事業拠点・勘定科目)の決定
J-SOX対応の進め方の第一歩は、「どこまでを評価対象とするか」という評価範囲の決定です。すべての事業拠点・すべての勘定科目・すべての業務プロセスを評価対象にするわけではありません。財務報告に対する影響度の大きさを踏まえ、評価範囲を合理的に絞り込んでいきます。この絞り込みの考え方が、その後の作業量と監査法人との議論の前提を決めるため、最初の局面で最も慎重さが求められるところです。
重要な事業拠点の選定
企業集団に複数の拠点(子会社・事業部門など)がある場合、まず財務報告への影響が大きい「重要な事業拠点」を選びます。一般的には、連結ベースの売上高などの一定割合をカバーするように、金額的に重要性の高い拠点から積み上げて選定していく考え方が用いられます。本社・主要子会社が対象になりやすい一方、規模の小さい拠点は対象外とできる場合があります。
ここでの判断指標(どの割合を目安にするか等)は実務指針の改訂や運用の見直しによって変わり得る論点であり、画一的な数値で機械的に決めるべきものではありません。自社の事業構造に即して合理的な根拠を持って範囲を設定し、その考え方を監査法人と早期にすり合わせておくことが重要です。
重要な勘定科目・業務プロセスの特定
重要な事業拠点を選んだら、その中で財務報告に重要な影響を及ぼす勘定科目を特定します。一般に、企業の事業目的に大きく関わる売上・売掛金・棚卸資産といった科目が重視されることが多く、それらに関連する業務プロセス(販売プロセス、購買・在庫プロセスなど)が評価対象として浮かび上がってきます。
加えて、虚偽記載のリスクが相対的に高いと考えられる項目——たとえばリスクが大きい取引や見積りや経営者の予測を伴う重要な勘定科目、非定型・不規則な取引等、不正リスクが懸念される領域——については、金額の大小だけでなくリスクの観点から個別に評価範囲へ含めるかを検討します。
評価範囲は「決めて終わり」ではない
評価範囲は期初に一度決めたら固定、というものではありません。年度の途中で大きな組織再編、M&A、新規事業の立ち上げ、システム刷新などがあれば、範囲の見直しが必要になります。範囲決定の根拠と、その後の変更履歴を文書として残しておくことが、監査対応上も社内の引き継ぎ上も役立ちます。範囲設定の妥当性は監査法人が最初に確認するポイントの一つでもあるため、計画局面のうちに合意形成を済ませておくと、後工程がスムーズになります。
ステップ2:3点セット等による文書化
評価範囲が固まったら、対象となる業務プロセスの内部統制を「見える化」する文書化のステップに移ります。J-SOX実務で広く使われるのが、いわゆる「3点セット」と呼ばれる3種類の文書です。
3点セットとは
- 業務記述書:対象プロセスの一連の業務の流れを、誰が・いつ・何を・どのように行うかを文章で記述したもの。
- フローチャート:業務の流れと情報・帳票の流れを図で表したもの。承認・照合・記録などの統制がどこに組み込まれているかを視覚的に把握できます。
- リスク・コントロール・マトリックス(RCM):各プロセスに潜むリスクと、それに対応する統制(コントロール)を一覧化し、リスクと統制の対応関係を整理したもの。
このうち実務上の核となるのがRCMです。RCMでは、「どのようなリスクがあるか」「そのリスクを低減する統制は何か」「その統制がどの財務報告上の要件(実在性、網羅性、評価の妥当性、期間帰属など)をカバーするか」を対応づけます。RCMの精度が、後続の整備状況評価・運用状況評価の質をそのまま左右します。
文書化で陥りやすい落とし穴
文書化の段階でよくあるのが、「現場の実態とずれた文書を作ってしまう」ことです。担当者へのヒアリングが不十分なまま既存資料や前年の文書を踏襲すると、紙の上ではそれらしい統制が描かれているのに、実際の運用と乖離している、という状態になりかねません。これは運用状況評価の段階で露呈し、手戻りや不備の指摘につながります。
また、統制(キーコントロール)を絞り込みきれず、評価対象が膨らみすぎるのも非効率の典型です。リスクを実質的に低減する重要な統制(キーコントロール)に評価を集中させ、すべての作業を網羅的にやろうとしないことが、限られた工数で制度対応を回すうえで大切です。
文書化は一度作れば終わりではなく、業務やシステムの変更に合わせて都度メンテナンスしていく対象です。担当者の異動で文書の背景が分からなくなる「属人化」を避けるためにも、更新ルールを定めて運用することをおすすめします。
ステップ3:整備状況評価
文書化したRCMをもとに、いよいよ評価の局面に入ります。最初に行うのが整備状況評価(デザインの評価)です。これは、「リスクを低減するための統制が適切に設計され、どのように業務に組み込まれているか」を確認する作業です。
整備状況評価で確認すること
整備状況評価では、主に次の点を確かめます。
- RCMに記載された統制が、対象とするリスクを十分にカバーする設計になっているか。
- その統制が、実際に業務の中に組み込まれ、機能し得る状態にあるか。
- 統制の証跡(承認の記録、照合の記録、システムのログなど)が残る仕組みになっているか。
確認の方法としては、担当者へのヒアリングや関連資料の閲覧に加え、ウォークスルー(1件の取引を業務の始まりから終わりまで追いかけて、文書どおりに統制が動いているかを実地で確かめる手法)などが用いられます。
「設計はあるが証跡が残らない」を見つける
整備状況評価で見つかることがあるのが、「統制自体は存在するが、それを後から確認できる証跡が残っていない」というケースです。特に初めて文書化に取り組む企業や、新たに評価対象に加えたプロセスでは、こうした状態が見られることがあります。たとえば、上長が内容を確認しているものの確認した記録(押印・署名・システム上の承認操作など)が残らない、という状態です。この場合、運用状況評価の段階でサンプルを抽出しても「統制が運用された証拠」を示せず、不備と判断されかねません。
整備状況評価は、運用状況評価に進む前の「設計のチェックポイント」です。ここで設計上の弱点や証跡不足を洗い出し、必要なら統制やその記録方法を改善しておくことで、後工程での不備指摘を未然に防げます。整備の不備は運用の不備より早期に・低コストで直せるため、この段階を丁寧に行うことが結果的に全体の効率化につながります。
整備状況評価の結果は、業務プロセスの管掌部門(プロセスオーナー)にフィードバックし、改善が必要な点は運用状況評価までに是正できるよう、早めのスケジュールで進めることが望ましいといえます。
ステップ4:運用状況評価とサンプリング
整備状況評価で「統制が適切に設計されている」ことを確かめたら、次は運用状況評価(オペレーションの評価)です。これは、「設計された統制が、評価対象期間を通じて継続的に、想定どおりに実行されていたか」を検証するステップです。J-SOX対応の中でも最も工数がかかり、年間スケジュールの組み方が問われる局面です。
サンプリングの考え方
運用状況評価では、対象期間に発生した取引の中から一定数を抽出(サンプリング)し、各サンプルについて統制が確かに実行されていたか(証跡があるか)を確かめます。サンプル件数は、統制の実行頻度に応じて考えるのが一般的です。日次や取引のたびに行われるような高頻度の統制ほど確認すべき件数が多くなり、月次・四半期・年次といった低頻度の統制では確認件数は少なくなります。具体的なサンプル件数の目安は監査・実務上の慣行や統制の性質によって異なるため、抽出方法と件数の考え方は監査法人と事前にすり合わせておくとよいでしょう。
評価時期の偏り(期末集中)リスク
運用状況評価は「期間を通じた継続性」を見るため、評価のタイミングが重要になります。期末時点の状態だけを確認すればよいわけではなく、対象期間全体にわたって統制が運用されていたことを示す必要があります。ここで起こりがちなのが、評価を期末に寄せすぎた結果、証跡の欠落や統制の不備に気づくのが遅れ、是正の運用実績を積んだりする時間が取れないという問題です。
これを避けるには、運用状況評価を期末の一発勝負にせず、年間を通じて段階的に進める設計が有効です。たとえば、上半期に一度中間的な評価を行い、期末に向けて残りの期間を補完的に評価する、といった年間サイクルを組むことで、証跡不足や工数の期末集中を緩和できます。また、評価で発生した例外(統制が実行されていなかった事例など)に対しては、追加サンプルの抽出や原因の確認といった対応が必要になるため、その時間的余裕を見込んでおくこともポイントです。
IT統制とのつながり
業務プロセスの統制の多くは、システム(ITに依存した自動化された統制や、システムが算出した情報に依拠する手作業の統制)と密接に関わっています。これらが信頼できることを支えるのがIT全般統制(システムのアクセス管理、変更管理、運用管理など)です。IT全般統制に問題があると、その上に乗る業務統制の信頼性まで揺らぐため、業務プロセス評価とIT統制評価は連動させて計画する必要があります。システム刷新を予定している年度は、特に評価範囲やスケジュールへの影響を早めに織り込んでおくとよいでしょう。
運用状況評価の工数負荷は、評価の進め方しだいで大きく変わります。証跡の収集やサンプル管理を表計算ソフトの手作業に頼ると属人化・長時間化しやすいため、データの集計・モニタリングを仕組み化して評価工数を減らすアプローチも検討に値します(内部統制のDX・効率化|Power BI活用で評価工数を削減しモニタリングを高度化する方法)。
ステップ5:不備の評価と内部統制報告書の作成
評価作業(整備・運用)の結果として検出された問題点は、「不備」として整理し、その重要度を評価します。そして最終的に、経営者として内部統制が有効か否かを結論づけ、内部統制報告書を作成・開示します。J-SOX対応の年間サイクルの締めくくりにあたる局面です。
不備の重要度を評価する
検出された不備は、財務報告に与える影響の大きさによって重要度を区分して評価します。一般に、影響が限定的な「不備」と、財務報告の信頼性に重要な影響を及ぼし得る「開示すべき重要な不備」とを区別して扱います。「開示すべき重要な不備」が期末日時点で是正されずに残っている場合、内部統制は有効でないと評価され、その旨を報告書で開示することになります。
重要度の判断は、金額的な影響の大きさといった量的重要性と、不正の関与や統制の性質といった質的重要性の両面から行います。単独では軽微な不備でも、複数が積み重なって全体として重要な影響を持つ場合があるため、不備は個別とともに総合的に評価する視点が必要です。この判断は経営者の説明責任に直結し、監査法人の見解とも擦り合わせるべき領域であるため、検出した不備は早期に共有し、期末までに是正できるものは是正を進めることが望まれます。
内部統制報告書の作成
評価結果を取りまとめ、経営者は内部統制が有効であるかどうかについての結論を内部統制報告書として記載します。報告書には、評価の範囲、評価手続の概要、評価結果(有効か、開示すべき重要な不備があるか)、付記事項などを記載します。この報告書は財務諸表とともに開示され、監査法人による内部統制監査の対象となります。
報告書の作成は決算・有価証券報告書の作成スケジュールと密接に連動するため、評価作業を決算期末付近に詰め込まないことが、ここでも重要になります。評価結果の取りまとめ、不備の最終評価、監査法人との最終的な議論にかかる時間を逆算し、期末に向けて余裕を持ったスケジュールを組むことが、報告局面を乗り切るうえで必要な所作となります。
翌期への申し送り
J-SOX対応は単年度で完結せず、毎期繰り返される業務です。当期に見つかった不備や非効率、文書化のメンテナンス課題などは、翌期の計画にフィードバックして改善サイクルを回していきます。評価範囲の判断根拠、サンプリングの記録、不備とその是正状況などを体系的に残しておくことが、翌期の効率化と担当者交代時の円滑な引き継ぎを支えます。
監査法人との連携タイミングと留意点
J-SOX対応を円滑に進めるうえで、監査法人との連携タイミングの設計は極めて重要です。経営者による評価と監査法人による監査は別の手続ですが、両者の認識がずれたまま進むと、期末になって評価範囲ややり方を問われ、大きな手戻りが発生します。
特に早めに合意しておきたいのが、評価範囲(重要な事業拠点・勘定科目・業務プロセスの選定)の考え方です。範囲は評価作業全体の大前提であり、ここで認識がずれると後続の作業がすべて影響を受けます。計画局面のうちに監査法人と方向性を共有しておくことで、無駄な作業や範囲の取り直しを避けられます。
そのほか、サンプリングの方法や件数の考え方、IT統制の評価範囲、システム変更や組織再編の評価への影響なども、事前に論点として共有しておくとよい項目です。
連携の年間イメージ
- 期初〜上半期前半:評価範囲・評価計画について方向性を共有する。
- 期中:中間的な評価の進捗や、検出された論点について情報交換する。
- 期末前:運用状況評価の状況や、検出した不備とその是正方針をすり合わせる。
- 期末〜報告:評価結果の取りまとめと、内部統制報告書・内部統制監査に向けた最終的な議論を行う。
留意点:監査法人は「自社評価の品質」を見る
監査法人が確認するのは、経営者の評価が適切な範囲・手続・証跡に基づいて行われているか、という点です。したがって、評価の「結論」だけでなく、そこに至るプロセスと証跡を整えておくことが連携をスムーズにします。大手監査法人の監査に対応するには、判断の根拠を文書として説明できる状態にしておくことが求められます。RSM汐留パートナーズは、こうした大手監査法人対応の実務知見を踏まえ、内部統制の整備・評価・改善を伴走支援しています。
社内体制づくりと外部活用の判断軸
最後に、J-SOX対応を「誰がどう回すか」という体制の論点を整理します。制度対応は一過性のプロジェクトではなく、毎期続く継続業務であるため、持続可能な体制を組めるかが外せない視点です。
社内体制づくりのポイント
- 推進主体の明確化:J-SOX対応を主導する部署(内部統制・内部監査・経営管理部門など)と責任者を明確にします。評価の独立性の観点から、業務プロセスを実際に運用する部門と、それを評価する立場を分けて考えることが必要です。
- 現場部門との連携:統制は現場の業務に組み込まれているため、各業務プロセスの管掌部門の協力が不可欠です。文書化や是正は現場と二人三脚で進めます。
- 知見の継承:担当者の異動でノウハウが失われると、毎期ゼロから立ち上げ直すような非効率が生じます。文書・記録の標準化と引き継ぎの仕組みづくりが、体制の安定に効きます。
外部活用(アウトソース・コソース)の判断軸
すべてを社内で抱え込む必要はありません。次のような軸で見たときに一つでも当てはまるなら、外部の専門家の活用を前向きに検討することをおすすめします。
- 専門知見の有無:制度の最新動向、評価手法、監査法人対応のノウハウを社内に蓄積できているか。初年度や担当交代直後は、外部の知見を借りることで立ち上がりを早められます。
- 工数・繁忙度:決算期と評価のピークが重なる中で、社内リソースだけで品質を保てるか。M&Aを繰り返し評価範囲が膨らむ中で、社内リソースだけで工数が足りているか。
- 客観性・独立性:社内のパワーバランス上、内部統制の担当部署がプロセスオーナーに遠慮して指摘しづらい、というケースは少なくありません。社内の力関係に縛られず客観的に評価しきれるか不安がある場合は、第三者の目を入れることで評価の客観性を補強できます。
- 継続性とコスト:J-SOX対応は毎期続く業務です。担当者の退職で知見が途絶え、急きょアウトソースに切り替えるケースも珍しくありません。比較の際は外注費だけでなく、内製の「隠れたコスト」——人材の採用・育成・研修、キャリアプランの提示、人事評価といったマネジメントコスト——まで含めて中長期で見ます。これらを織り込むと、専門家への委託のほうが割安になることもあります。
外部活用には、業務全体を委託する「アウトソース」と、社内チームと協働しながら専門家が並走する「コソース」があります。どこまでを委託し、どこを内製で持つかは、自社の状況に応じて検討する必要があります。委託範囲の考え方やメリット・選び方は、別記事で詳しく整理しています(内部統制のアウトソース・コソースとは?委託範囲とメリット・選び方)。
費用面についても、「一律でいくら」という捉え方ではなく、評価範囲の広さ、拠点・プロセスの数、文書化の現状、システム環境、内製・外部活用の比率といった変動要因で構成されると考えると、自社にとっての費用構造を整理しやすくなります。費用の考え方を構成要素から整理した記事もあわせてご覧ください(J-SOX対応の費用の考え方|内製・アウトソースのコストを構成する要素)。具体的な見積もりについては、評価範囲や現状をうかがったうえでのご提案となりますので、お問い合わせください。
効率化・DXという選択肢
近年は、評価工数の削減と継続的モニタリングの高度化を目的に、内部統制業務のDXに取り組む企業が増えています。証跡の収集や集計、不備の管理を手作業に頼ると属人化・長時間化しやすい一方、データを仕組みで扱えるようにすれば、評価のたびに発生する負荷を平準化し、モニタリングの精度を上げられます。当社は、Power BIを活用したデータドリブンな評価・監査の知見も提供しています。
まとめ
J-SOX対応の進め方は、「計画→評価→報告」の年間サイクルとして捉え、次の5ステップで実務を進めると全体像が見えてきます。
- 評価範囲の決定:重要な事業拠点・勘定科目・業務プロセスを、財務報告への影響とリスクの観点から合理的に絞り込む。
- 3点セット等による文書化:業務記述書・フローチャート・RCMで統制を見える化し、キーコントロールを絞る。
- 整備状況評価:統制の設計と証跡の仕組みを確認し、設計上の弱点を早期に是正する。
- 運用状況評価とサンプリング:統制が期間を通じて運用されたかを検証する。期末集中を避け、年間で段階的に進める。
- 不備の評価と内部統制報告書の作成:不備の重要度を評価し、経営者として内部統制の有効性を結論づけて開示する。
成功のカギは、評価を期末にまとめないこと、監査法人と早期に論点をすり合わせること、そして継続業務として持続可能な体制を組むことです。初めて担当する場合や、立ち上げ・効率化に課題を感じている場合は、外部の専門知見を活用することで、立ち上がりを早め、品質と効率を両立できます。
なお、本記事は制度の一般的な仕組みを整理したものです。評価範囲の判定やサンプリングの具体的な要件などは、「財務報告に係る内部統制の評価及び監査の基準・実施基準」および自社の監査法人にご確認ください。
RSM汐留パートナーズは、大手監査法人出身の公認会計士が在籍しており、内部統制の整備・評価・改善を伴走支援しています。評価範囲の設計や年間スケジュールの組み立て、文書化・評価作業の効率化、監査法人対応まで、貴社の状況に合わせてご支援します。J-SOX対応の進め方にお悩みの方は、ぜひ一度ご相談ください(お問い合わせはこちら)。
