LASSIC Media らしくメディア

2026.07.16 らしくコラム

内部統制(J-SOX)システム|評価と不備管理を仕組み化

LASSIC IT事業部|元請(プライムベンダー)として業務システムの開発・運用を受託

内部統制のイメージ

内部監査や内部統制(J-SOX)の対応では、統制の文書化から評価、不備の是正、監査調書の作成まで、扱う情報が年々増えていきます。Excelや共有フォルダーでの管理に限界を感じ、専用システムの新規開発や刷新を検討する企業が増加傾向です。本稿では、内部統制(J-SOX)管理システムが担う範囲、類似システムとの違い、そして外注先を選ぶ際の確認点を、金融庁の一次情報をもとに整理します。

この記事のポイント

  • 内部統制(J-SOX)管理システムは、3点セットなどの統制文書・整備/運用評価の記録・不備の是正・監査調書を一元管理する仕組みです。
  • 2023年4月に評価・監査の基準と実施基準が改訂され、2024年4月1日以後に開始する事業年度から適用されました。ITへの対応や委託業務の把握が強調されています。
  • パッケージ(GRC/内部統制SaaS)とスクラッチの選択、既存の基幹システムや権限管理との連携が、外注時の主な判断軸になります。

内部統制(J-SOX)管理システムとは——統制文書と評価の記録を束ねる仕組み

コンプライアンス文書のイメージ

内部統制(J-SOX)管理システムとは、財務報告に係る内部統制の文書化・評価・是正・報告という一連の作業を、一つの基盤で扱えるようにするシステムを指します。J-SOX(金融商品取引法に基づく内部統制報告制度)では、上場企業の経営者が自社の内部統制を評価し、その結果を内部統制報告書として開示することが求められています*1。この評価で扱う文書と記録は多岐にわたり、管理の巧拙が対応工数を大きく左右する点が実務の悩みどころです。

図
図:内部統制(J-SOX)評価の基本サイクル(範囲決定→文書化→整備・運用評価→不備是正→報告)

内部統制には4つの目的があり、業務の有効性および効率性、報告の信頼性、法令等の遵守、資産の保全が示されています*4。これらを支える基本的要素は、統制環境・リスクの評価と対応・統制活動・情報と伝達・モニタリング・ITへの対応の6つです*4。管理システムは、この枠組みのうち文書化と評価の実務を効率化する道具にあたると考えると位置づけが明確になります。

具体的に扱う情報を挙げると、統制の設計を示す文書(業務記述書・業務の流れ図・リスクコントロールマトリックス)、整備状況と運用状況の評価結果、発見された不備とその是正の記録、内部監査の計画と調書などがあります*2。なお、こうしたシステムは監査法人が担う財務諸表監査そのものを代替するわけではありません。あくまで企業側が内部統制を文書化し、自ら評価する作業を支える立場にとどまります。

Excel運用の限界と2024年4月改訂という背景

多くの企業は、当初これらの文書をExcelやWord、共有フォルダーで管理してきました。運用を始めた直後は手軽ですが、統制の数が増え、期をまたいで更新を重ねるうちに、版の食い違いや証跡の所在不明が起こりやすくなります。誰がいつどの手続で評価したのかという記録が残りにくい点も、後から振り返るときの弱点になりがちです。

制度面の変化も、対応負担を押し上げる要因になっています。企業会計審議会は2023年4月7日、財務報告に係る内部統制の評価および監査の基準と、その実施基準の改訂に関する意見書を公表しました*1。改訂後の基準は、2024年4月1日以後に開始する事業年度における評価・監査から適用されています*1。おおよそ15年ぶりの大きな見直しとして受け止められました。

改訂では、内部統制の目的の一つだった「財務報告の信頼性」が「報告の信頼性」へと見直されています*4。サステナビリティなど非財務情報の開示が広がったことが、この変更の背景にあります*4。あわせて、ITを利用した内部統制や委託業務に関する記述が拡充され、クラウドサービスや外部委託先を利用する場合はその管理状況まで把握する方向が示されました*3*4。手作業を前提とした運用では、こうした改訂への追随がしだいに重荷になってきています。

管理システムがカバーする範囲——文書・評価・不備・調書・証跡

内部統制(J-SOX)管理システムがカバーする範囲は、評価の対象区分に沿って整理すると把握しやすくなります。J-SOXの評価は一般に、全社的な内部統制、決算・財務報告プロセスに係る内部統制、業務プロセスに係る内部統制、そしてITに係る統制という区分で進めます*2。以下では、システムが主に担う機能を領域ごとに見ていきましょう。

統制文書(3点セット)の整備と版管理

業務プロセスの統制では、業務の流れ図(フローチャート)、業務記述書、リスクコントロールマトリックス(RCM。リスクと統制を対応づけた一覧)のいわゆる3点セットを整備します*2。管理システムはこれらを構造化して保持し、リスクと統制の対応づけや、改訂時の版管理を担います。文書間の整合、たとえば流れ図とRCMの統制番号がずれていないかを機械的に照合できる点が、手作業との大きな違いです。

整備・運用状況の評価と不備管理

整備状況の評価では、統制がリスクを低減する設計になっているかを確認します。運用状況の評価では、その統制が実際に機能しているかをサンプリングなどで検証していきます。発見された不備については、重要な欠陥に該当するかどうかの判定と、是正の担当・期限・進捗の追跡が不可欠です。システムを使えば、不備の一覧化と是正状況の可視化を一箇所で行えるため、期末に向けた進捗管理が容易になります。

監査計画・調書とアクセス権/職務分掌のモニタリング

内部監査部門の視点では、監査計画の立案と調書の作成・保管が対象になります。加えて、アクセス権や職務分掌(SoD。相反する業務を一人に集中させない仕組み)の妥当性も重要な統制項目です。誰にどの権限が付与されているかを定期的にモニタリングし、不適切な兼務や過剰な権限を検知できる仕組みは、業務プロセス統制の実効性を裏づけます。この領域は、後述する既存システムとの連携が効いてくるところでもあります。

証跡・エビデンスの管理

評価の信頼性を担保するのは、誰がいつ何を評価・承認したのかという証跡です。管理システムは、評価記録や承認履歴、添付したエビデンス(証憑)をひも付けて保管します。証跡が網羅的に残っていれば、監査人への説明や翌期の評価も効率化できるはずです。逆に証跡が散逸すると、同じ検証を繰り返す羽目になりかねません。

ワークフロー・文書管理・GRC・品質管理との違いと連携

内部統制管理システムは、隣接する複数のシステムと機能が一部重なります。混同すると要件定義がぶれるため、目的の違いと連携のかたちを押さえておきましょう。主なシステムとの関係を整理すると次の通りです。

システム種別 主な目的 内部統制管理との関係
ワークフローシステム 申請・承認の電子化 統制活動そのものを実行し、承認証跡を供給する(連携先)
文書管理システム 文書の版管理・保管 統制文書やエビデンスの保管基盤として連携する
GRC/内部統制SaaS ガバナンス・リスク・コンプライアンスの統合管理 内部統制管理を包含する上位概念にあたる
品質管理システム 製品・サービス品質の管理 目的が異なり、財務報告統制とは範囲が重ならない

ワークフローシステムは、稟議や支払といった統制活動を電子的に実行する道具です。承認の履歴がそのまま運用状況の証跡になるため、内部統制管理システムの評価対象データを生み出す供給元になります。文書管理システムは、統制文書や証憑の保管を得意とし、内部統制管理システムの保管層として組み合わせる構成が現実的です。

GRCや内部統制SaaSは、リスク管理やコンプライアンスまでを束ねる広い概念で、J-SOX対応の内部統制管理はそのなかの一機能として提供されることが多いといえます。一方、製造業などで使われる品質管理システムは、目的が財務報告の信頼性ではなく製品品質にあり、直接の代替関係にはありません。自社が必要とするのは狭義の内部統制管理か、それともGRC全体かを見極めることが、要件定義の出発点です。

パッケージとスクラッチの判断軸——制度追随と連携の自由度

統制評価のイメージ

開発方式の選択では、パッケージ(GRC/内部統制SaaS)を導入するか、スクラッチで作り込むかが最初の分岐点になります。それぞれに向き不向きがあり、統制の規模や既存システムの状況で判断が変わってきます。

パッケージの利点は、内部統制のフレームワークがあらかじめ組み込まれており、制度改訂への追随をベンダー側が担ってくれる点にあります。3点セットのテンプレートや評価ワークフローが用意されているため、導入までの期間を短く抑えやすいのも魅力です。統制の考え方が標準的で、独自プロセスが少ない企業であれば、パッケージで十分に賄える場合が多いでしょう。

スクラッチ開発が候補になるのは、業種特有の統制プロセスが多い、あるいは既存の基幹システムや権限管理基盤との深い連携が必要な場合です。自由度が高い反面、制度改訂への追随を自社と開発ベンダーで負い続ける必要があります。現実には、パッケージを土台にしつつ連携部分だけを作り込む折衷案が選ばれることも少なくありません。判断軸を挙げるなら、統制の数、業種固有プロセスの多さ、既存システムとの連携要件、そして改訂追随を誰が担うのかという4点です。

外注先の選び方と確認点——評価のワークフロー化・証跡・既存連携

外注先を選ぶ際は、内部統制の実務を理解しているかどうかが最初の関門です。単にシステムを作れるだけでなく、3点セットや不備管理といったJ-SOXの評価手続を、業務の言葉で会話できる相手が望ましいといえます。以下の観点を確認しておくと、認識のずれを抑えられます。

第一に、評価手続をワークフロー化できるかどうかです。整備評価・運用評価・不備是正の各ステップを、担当と期限つきの流れとしてシステムに落とし込めるかを確認します。第二に、証跡の網羅性です。承認履歴やエビデンスの保存範囲が、監査人への説明に耐えるかを設計段階で詰めておく必要があります。第三に、既存の会計・人事などの基幹システムや、権限管理基盤(IAMやActive Directoryなど)との連携です。アクセス権や職務分掌のモニタリングは、権限情報を取り込めて初めて実効性を持ちます。

あわせて、2024年4月に適用が始まった改訂基準への追随や、保守フェーズでの対応体制も確認しておきたい点です。制度は今後も見直される可能性があり、改修を継続的に依頼できる体制かどうかが長期の運用を左右します。開発を元請(プライムベンダー)に一括して任せられれば、要件定義から連携先の調整、保守までの責任範囲が一本化され、社内の調整コストを抑えやすくなります。

内製で進める選択肢もありますが、その場合は情報システム部門が通常業務と並行して制度知識を習得し、改訂にも追随し続ける負担が生じます。自社の体制と対象範囲を踏まえ、内製と外注の切り分けを検討することが実務的です。

まとめ:内部統制(J-SOX)管理システム外注で押さえる3つの判断軸

本稿では、内部統制(J-SOX)管理システムの役割と外注時の判断軸を、金融庁の一次情報をもとに整理しました。要点は3つに集約できます。第一に、このシステムは統制文書・整備/運用評価の記録・不備の是正・監査調書を一元管理し、内部統制の文書化と評価の実務を効率化する仕組みです*2。第二に、2023年4月に公表された改訂基準が2024年4月1日以後開始の事業年度から適用され、ITへの対応や委託業務の把握が強調された点は、Excel運用からの脱却を後押しする背景といえます*1*3。第三に、パッケージとスクラッチの選択、証跡の網羅性、既存の基幹・権限管理との連携が、外注時の主な判断軸になります。まずは自社の統制範囲と既存システムを棚卸しし、内製と外注の切り分けから検討を始めるとよいでしょう。

LASSICに相談するメリット

LASSIC IT事業部は、業務システムの開発・運用を元請(プライムベンダー)として受託しています。内部統制の評価手続のワークフロー化、証跡・エビデンスの管理設計、既存の会計・人事システムや権限管理基盤との連携まで、要件定義から保守まで一貫して対応する体制を整えています。Excel運用からの脱却やパッケージとスクラッチの比較検討でお悩みの企業様は、現状の棚卸しからご相談いただけます。

よくある質問

J-SOX対応に専用の管理システムは必須ですか。

システムの導入自体は制度上の義務ではありません。求められているのは経営者による内部統制の評価と内部統制報告書の提出であり*1、その手段は問われません。ただし統制の数が多い場合、Excelや共有フォルダーでの管理は版ずれや証跡の散逸を招きやすく、システム化が効率化の現実的な選択肢です。

パッケージとスクラッチ開発はどちらを選ぶべきですか。

統制が標準的で独自プロセスが少なければ、制度改訂への追随を任せられるパッケージが向いています。一方、業種固有の統制が多い、または既存の基幹システムや権限管理基盤との深い連携が必要な場合はスクラッチが候補です。パッケージを土台に連携部分だけ作り込む折衷案もよく採られます。

2024年4月の改訂は管理システムに影響しますか。

2023年4月に公表された改訂基準は、2024年4月1日以後に開始する事業年度から適用されています*1。ITへの対応や委託業務(クラウド・外部委託先)の管理状況の把握が強調されたため*3*4、システム側でも連携先の統制や証跡を扱えるかが論点になります。改訂への追随体制を外注先と確認しておくとよいでしょう。

既存の会計システムや人事システムと連携できますか。

連携は可能ですが、その範囲は要件定義で決まります。とくにアクセス権や職務分掌のモニタリングは、権限情報を取り込めて初めて実効性を持ちます。外注先には、どのシステムからどのデータを取得し、どの頻度で同期するのかを設計段階で明確にしてもらうとよいでしょう。

ワークフローシステムがあればJ-SOX管理システムは不要ですか。

両者は目的が異なります。ワークフローは申請・承認という統制活動を実行し証跡を生み出す仕組みで、内部統制管理システムはその証跡を評価・記録し、不備や調書まで束ねる仕組みです。ワークフローの承認履歴を評価データとして取り込む連携が現実的で、一方が他方を代替するわけではありません。

著者:テレリモ総研編集部 鈴木 亮佑


ITアウトソーシング・システム開発のご相談はLASSICへ

元請(プライムベンダー)として、貴社の課題に合わせた体制構築・開発支援をご提案します。まずはお気軽にご相談ください。

無料相談はこちら

ご不明な点はお問い合わせフォームからもご連絡いただけます。

  1. *1 出典:金融庁「『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)』の公表について」(企業会計審議会、令和5年4月7日)(https://www.fsa.go.jp/news/r4/sonota/20230407/20230407.html
  2. *2 出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」本文(令和5年4月7日)(https://www.fsa.go.jp/news/r4/sonota/20230407/1.pdf
  3. *3 出典:金融庁「『内部統制報告制度に関するQ&A』等の改訂について」(令和5年8月31日)(https://www.fsa.go.jp/news/r5/sonota/20230831-2/20230831-2.html
  4. *4 出典:EY Japan「内部統制報告制度の改訂 第1回:内部統制報告制度の改訂概要」(情報センサー2023年12月号)(https://www.ey.com/ja_jp/insights/assurance/info-sensor-2023-12-01-special-program


View