内部統制実施基準のポイントとJ-SOX対応：2024年改訂版

内部統制監査基準は、企業が健全な成長を遂げる上で不可欠な要素です。特にJ-SOX法への対応は、財務報告の信頼性を確保し、投資家やステークホルダーからの信頼を得るために重要となります。

本記事では、2024年の内部統制実施基準改訂を踏まえ、監査基準のポイントと実務対応のほか、不正リスク対応やIT統制についても掘り下げていきます。

内部統制実施基準の改訂の背景と概要

J-SOX法と内部統制の重要性

J-SOX法（金融商品取引法）は、企業の財務報告の信頼性を確保するために、内部統制の整備と運用を義務付けています。この法律は、企業の経営者自身が財務報告に係る内部統制の有効性を評価し、その結果を報告することを求めています。

内部統制は、業務の有効性と効率性、財務報告の信頼性、関連法規の遵守を達成するために、組織内で構築されるプロセスや仕組みのことです。 J-SOX法への対応は、企業が健全な経営を行い、投資家やステークホルダーからの信頼を得る上で不可欠です。

内部統制が有効に機能することで、不正や誤謬を防止し、財務情報の透明性と正確性を高めることができます。このことは企業の持続的な成長を支える基盤となります。

また、内部統制は、リスク管理の観点からも重要であり、企業が直面する様々なリスクを適切に管理し、事業目標の達成を支援します。そのため、J-SOX法への対応は、単なる法規制遵守にとどまらず、企業価値の向上に貢献するものとして捉えるべきです。

2024年改訂のポイント

2024年の内部統制実施基準の改訂では、企業を取り巻く環境変化への対応が重視されています。 具体的には、デジタル技術の活用、サプライチェーンの複雑化、地政学的なリスクの高まりなどが考慮されています。

今回の改訂では、これらの変化に対応するために、リスク評価の範囲を拡大し、より高度なリスク管理体制を構築することが求められています。また、IT統制の重要性が一層強調され、サイバーセキュリティ対策やデータ管理の強化が求められています。

さらに、不正リスクへの対応も強化され、内部通報制度の充実や、不正調査体制の整備などが重要視されています。 これらの改訂ポイントを踏まえ、企業は自社の内部統制体制を見直し、必要に応じて改善を行う必要があります。

特に、中小企業においては、リソースの制約がある中で、効率的かつ効果的な内部統制体制を構築することが課題となります。そのため、リスクアセスメントに基づき、重要なリスクに焦点を当てた内部統制を構築することが重要です。

監査基準における変更点

監査基準においても、内部統制の評価に関する変更点があります。 監査人は、企業の内部統制が有効に機能しているかどうかを評価する際に、より詳細な証拠を収集し、評価の範囲を拡大することが求められています。

特に、IT統制の評価においては、データ分析技術を活用し、より高度な監査手続を実施することが推奨されています。 また、不正リスク対応に関する監査手続も強化され、不正の兆候を早期に発見し、適切な対応を促すことが求められています。

監査人は、企業の内部統制の不備を発見した場合、経営者や監査委員会に報告し、改善を促す責任があります。 監査基準の変更点は、企業の内部統制体制の改善を促すとともに、監査の品質向上にも貢献することが期待されています。

企業は、監査基準の変更点を理解し、監査人との連携を密にすることで、より効果的な内部統制体制を構築することができます。

あわせて読みたい

2025年6月27日 内部統制評価と監査：効率的な実施と効果的な活用

不正リスクへの対応強化

不正リスクの種類と評価

不正リスクは、企業の財務報告の信頼性を損なう可能性のあるリスクであり、経営者による不正、従業員による不正、第三者による不正など、様々な種類があります。 経営者による不正は、財務諸表の粉飾や資産の不正流用など、企業全体に影響を与える可能性が高く、特に注意が必要です。

従業員による不正は、横領や着服、情報漏洩など、日常的な業務の中で発生する可能性があり、内部統制の不備が原因となることが多いです。 第三者による不正は、取引先との癒着や、サイバー攻撃など、外部からの脅威であり、企業はこれらのリスクを適切に評価し、対応する必要があります。

不正リスクの評価においては、過去の不正事例や業界の動向、企業の特性などを考慮し、リスクの発生可能性と影響度を分析することが重要です。 リスク評価の結果に基づき、優先順位の高いリスクから対策を講じる必要があります。

リスクコントロールマトリクスの作成

リスクコントロールマトリクスは、不正リスクに対するコントロールを明確化し、その有効性を評価するためのツールです。 マトリクスには、リスクの種類、発生原因、影響度、コントロールの種類、コントロールの実施主体、コントロールの有効性評価などが記載されます。

リスクコントロールマトリクスを作成することで、リスクとコントロールの関係性を可視化し、コントロールの不備や重複を特定することができます。また、マトリクスは、内部統制の運用状況をモニタリングするための基盤としても活用できます。

リスクコントロールマトリクスを作成する際には、経営者、内部監査人、各部門の担当者などが協力し、多角的な視点からリスクとコントロールを評価することが重要です。

定期的にマトリクスを見直し、リスク環境の変化や内部統制の運用状況に合わせて更新する必要があります。

不正リスク対応の具体的な対策

不正リスクに対応するための具体的な対策としては、職務分掌の明確化、牽制機能の強化、内部監査の実施、内部通報制度の導入、不正調査体制の整備などが挙げられます。

職務分掌の明確化は、一人の担当者に重要な業務を集中させず、複数の担当者で分担することで、不正の発生を抑制する効果があります。

牽制機能の強化は、相互チェックや承認プロセスの導入により、不正を早期に発見し、抑止する効果があります。 内部監査の実施は、内部統制の運用状況を定期的に評価し、不備を是正するための重要な手段です。

内部通報制度の導入は、従業員が不正行為を発見した場合に、安心して通報できる環境を整備することで、不正の早期発見に繋がります。

不正調査体制の整備は、不正が発生した場合に、迅速かつ適切に調査を行い、再発防止策を講じるために必要です。これらの対策を総合的に実施することで、不正リスクを効果的に管理することができます。

IT統制の重要性と対応

IT統制の目的と範囲

IT統制は、企業のITシステムが適切に管理され、情報セキュリティが確保されていることを保証するためのものです。 IT統制の目的は、ITシステムの信頼性、安全性、効率性を高め、企業の事業目標の達成を支援することです。

IT統制の範囲は、ITインフラ、アプリケーション、データ、運用プロセスなど、ITに関連する全ての要素を対象とします。 IT統制は、企業の規模や業種、ITシステムの複雑さなどに応じて、適切なレベルで実施する必要があります。

特に、クラウドサービスやモバイルデバイスの利用が増加している現代においては、これらの新しい技術に対応したIT統制を構築することが重要です。

IT統制の実施においては、経営者、IT部門、各部門の担当者などが協力し、ITリスクを適切に評価し、対応する必要があります。

IT全般統制と業務処理統制

IT統制は、IT全般統制と業務処理統制の2つの種類に分けられます。 IT全般統制は、ITシステムの開発、運用、保守に関する基本的なコントロールであり、ITシステムの安定稼働を確保するためのものです。 具体的には、プログラムの変更管理、アクセス管理、バックアップ管理、システム障害対応などが含まれます。

業務処理統制は、個々の業務プロセスにおけるITシステムの利用に関するコントロールであり、業務の正確性、完全性、正当性を確保するためのものです。 具体的には、入力データのチェック、承認プロセスの設定、ログの記録などが含まれます。

IT全般統制と業務処理統制は、相互に補完し合い、ITシステム全体の信頼性を高めるために重要です。企業は、これらの統制を適切に設計し、運用することで、ITリスクを効果的に管理することができます。

IT統制の評価と改善

IT統制の評価は、IT統制が有効に機能しているかどうかを定期的に確認するプロセスです。 評価の結果に基づき、必要に応じてIT統制を改善する必要があります。 IT統制の評価は、内部監査人や外部の専門家によって実施されることが一般的です。

評価においては、IT統制の設計、運用、モニタリングの状況を総合的に評価し、不備や改善点を特定します。 改善においては、ITリスクの変化やビジネスニーズの変化に対応し、IT統制を常に最新の状態に保つことが重要です。

IT統制の評価と改善を継続的に行うことで、ITシステムの信頼性を高め、企業全体の内部統制体制を強化することができます。また、IT統制の評価結果は、経営者や監査委員会に報告し、適切な管理体制を確保する必要があります。

内部統制3点セットの作成と活用

内部統制3点セットとは

内部統制3点セットとは、業務記述書、フローチャート、リスクコントロールマトリクスの3つの文書を指します。 これらの文書は、内部統制の設計と運用状況を明確化し、評価するための基礎となるものです。

業務記述書は、業務プロセスの詳細な手順を記述したものであり、誰が、何を、どのように行うかを明確にします。 フローチャートは、業務プロセスを図式化したものであり、業務の流れを視覚的に理解することができます。

リスクコントロールマトリクスは、業務プロセスにおけるリスクと、それに対応するコントロールを一覧にしたものであり、リスク管理の状況を把握することができます。

内部統制3点セットを作成することで、内部統制の設計と運用状況を可視化し、評価を効率的に行うことができます。これらの文書は、内部統制の維持・改善に不可欠なツールとなります。

3点セットの作成手順とポイント

内部統制3点セットを作成する際には、まず、対象となる業務プロセスを特定し、その業務プロセスに関わる担当者からヒアリングを行います。 ヒアリングの結果に基づき、業務記述書を作成し、業務の手順を詳細に記述します。

次に、業務記述書を基に、フローチャートを作成し、業務の流れを図式化します。 最後に、リスクコントロールマトリクスを作成し、業務プロセスにおけるリスクとコントロールを一覧にします。

• 業務記述書：誰が見ても理解できるように、平易な言葉で記述することです。
• フローチャート：業務の流れが明確になるように、標準的な記号を用いることです。
• リスクコントロールマトリクス：リスクとコントロールの関係性が明確になるように、具体的に記述することです。

作成のポイントとしては、業務記述書は、誰が見ても理解できるように、平易な言葉で記述することです。 フローチャートは、業務の流れが明確になるように、標準的な記号を用いることです。

リスクコントロールマトリクスは、リスクとコントロールの関係性が明確になるように、具体的に記述することです。

3点セットは、作成後も定期的に見直し、最新の状態に保つ必要があります。

3点セットの活用方法

内部統制3点セットは、内部統制の評価、改善、教育など、様々な場面で活用することができます。 内部統制の評価においては、3点セットを参照することで、内部統制の設計と運用状況を効率的に評価することができます。

内部統制の改善においては、3点セットを分析することで、リスクとコントロールのギャップを特定し、改善策を検討することができます。 教育においては、3点セットを教材として活用することで、従業員に内部統制の重要性や具体的な手順を理解させることができます。

また、3点セットは、内部監査や外部監査の際に、監査人に提供することで、監査の効率化に貢献することができます。3点セットを有効に活用することで、内部統制の質を高め、企業価値の向上に繋げることができます。

J-SOX対応と継続的な改善

内部統制の継続的な改善

J-SOX対応は、一度実施すれば終わりではありません。 企業を取り巻く環境は常に変化しており、それに伴い、リスクも変化します。 そのため、内部統制体制は、定期的に見直し、継続的に改善していく必要があります。

改善においては、リスクアセスメントの結果や、内部監査の結果、外部監査の結果などを参考に、優先順位の高い課題から取り組むことが重要です。 また、改善策を実施した後は、その効果を検証し、必要に応じて修正を行う必要があります。

内部統制の継続的な改善は、企業の持続的な成長を支える基盤となります。そのため、経営者は、内部統制の重要性を認識し、積極的に関与する必要があります。

最新動向のキャッチアップ

内部統制に関する法規制や基準は、定期的に改訂されます。 企業は、これらの最新動向を常にキャッチアップし、自社の内部統制体制に反映させる必要があります。

最新動向のキャッチアップには、専門家への相談、研修への参加、業界団体の情報収集などが有効です。 また、同業他社の事例を参考にすることも有益です。

最新動向をキャッチアップすることで、法令遵守を徹底し、リスク管理の精度を高めることができます。特に、テクノロジーの進化に伴い、IT統制の重要性が増しているため、ITに関する最新動向には常に注意を払う必要があります。

内部統制体制の強化に向けて

内部統制体制の強化は、企業価値の向上に不可欠です。 内部統制体制を強化するためには、経営者のリーダーシップ、従業員の意識向上、適切な組織体制の構築、十分な資源の確保などが重要です。

経営者は、内部統制の重要性を従業員に周知し、積極的に関与することで、内部統制文化を醸成する必要があります。 従業員は、自らの業務が内部統制にどのように関わっているかを理解し、責任感を持って業務を遂行する必要があります。

適切な組織体制を構築することで、内部統制の責任と権限を明確にし、効率的な運用を可能にします。 十分な資源を確保することで、内部統制の運用に必要な人員、予算、システムなどを確保し、内部統制の質を高めることができます。

これらの要素を総合的に強化することで、内部統制体制はより強固になり、企業は持続的な成長を遂げることができます。