J-SOX（日本版SOX法）の実施基準は、企業が内部統制をどのように整備・運用・評価すべきかを示した、実務対応のガイドラインです。

評価範囲の設定、IT統制への対応、文書化や証跡の残し方など、日々の実務では判断が難しいポイントが多々あり、「何から手をつければいいのか分からない」とお悩みの方も多いのではないでしょうか。

この記事では、J-SOX実施基準の基本から、内部統制の6要素、評価の流れ、ITやクラウド対応のポイント、報告書作成の実務まで、現場目線でわかりやすく整理しました。

「いまのJ-SOX運用を見直したい」という担当者の方は、ぜひ参考にしてみてください。

J-SOX実施基準とは？

J-SOX（日本版SOX法）は、金融商品取引法に基づき、企業が財務報告の信頼性を確保するために内部統制の整備・運用状況を評価・開示する制度です。「実施基準」は、評価をどう進めるかという具体的な手順を定めた実務ガイドであり、2023〜2024年にかけて、約15年ぶりの大幅改訂が行われました。

J-SOXに関する主要な文書には、「基準（制度の基本方針）」「実施基準（評価の手順を示す実務ガイド）」「府令（法的ルール）」「Q&A（補足解説）」などがあります。なかでも、日々の実務で最もよく参照されるのが「実施基準」と「Q&A」です。評価対象の選定方法や統制の文書化、不備の判断基準など、評価業務の多くはこれらをもとに進められます。

※J-SOXの基本や目的については、こちらの記事をあわせてご覧ください。
J-SOX法（内部統制報告制度）とは？内部統制報告制度の目的や罰則まで詳しく解説

J-SOX実施基準の改訂ポイント

2023年から2024年にかけて、J-SOXの実施基準は約15年ぶりに大きく見直されました。

ここでは、実務担当者が押さえておくべき主要な改訂ポイントを整理してみましょう。

※J-SOXの改正について、詳しくはこちらの記事もご覧ください。
J-SOX改正の要点を整理！上場・IPO企業が押さえたい実務ガイド

不正リスクの明確化と評価範囲の考え方

2024年の改訂では、不正リスクを独立した評価対象として扱うべきという姿勢が明確になりました。たとえば、横領や虚偽記載などの不正が財務報告に与える影響を個別に評価する必要があります。

また、評価範囲の設定においても、単に金額の大きさだけでなく、リスクの質的側面や外部委託・拠点ごとの実態まで考慮することが求められるようになりました。

これにより、これまで評価対象外としていた部門やプロセスが、新たに対象となるケースも出てきています。

IT統制・外部委託・クラウドの取扱い

ITに関する内部統制、いわゆる「IT統制」の位置づけが、今回の改訂でより明確かつ重視されるようになりました。

中でも注目すべきは、クラウドサービスや外部委託の統制評価に関する実務指針が追記された点です。SaaS、RPA、外部の業務委託先などを活用している企業は、評価範囲や証拠の整備に関する実務負担が増します。

さらに、IT統制に含まれる「IT全般統制」「IT業務処理統制」の区別と、それぞれの有効性の判断基準も、実施基準内で補強されています。

内部監査で重視される論点のアップデート

内部監査人との連携においても、改訂後は視点が変わってきています。特に、整備状況評価（デザイン評価）に加えて、運用状況評価（実際に機能しているかどうか）をより重視する方向に変化しています。

また、内部統制の有効性を示す証拠として、「経営者の関与の証跡」や「統制活動の文書化」が、より明確に求められるようになりました。

これは、形だけの評価ではなく、実質的に統制が働いているかという観点を持つことが重要であるというメッセージともいえます。

6つの基本的要素でつかむ要点

J-SOX実施基準では、内部統制の整備・運用状況を評価する際の基本的な枠組みとして、「6つの基本的要素」が明示されています。これは米国COSO（内部統制のフレームワーク）をベースにした考え方で、組織として内部統制が有効に機能しているかを構造的に捉えるものです。

ここでは、各要素が何を意味し、実務ではどう扱うべきかを順に確認していきましょう。

①統制環境

経営者がコンプライアンスを重視しているか、役職員に対してどのような方針や価値観を示しているかが問われます。経営トップの姿勢（いわゆる「トーン・アット・ザ・トップ」）は、統制の有効性に大きく影響します。

②リスクの評価と対応

会社に損失をもたらす可能性のある様々な要因（例：天災、市場競争の激化、情報システムの不具合、会計処理の間違い、不正行為など）を洗い出し、それに対して適切な対策（統制）を設計できているかを確認します。

③統制活動

実際の業務プロセスの中でリスクをコントロールする仕組みのことです。たとえば、職務分掌、承認・確認、アクセス制限などが代表的です。

④情報と伝達

内部統制に関する情報が必要な人に、正確かつタイムリーに届いているかを評価する要素です。経営層から現場、あるいは現場から経営層への情報共有の流れが確立されていることが求められます。

⑤モニタリング

モニタリングは、内部統制が適切に機能しているかを継続的に見直す仕組みのことです。上司による領収書と精算申請内容の確認や、出納担当者とは別の社員による現金カウント、定期的な自己点検や内部監査などです。

⑥ITへの対応

ITシステムに依存する内部統制が適切に設計・運用されているかが問われます。IT全般統制（アクセス管理、変更管理、運用管理）や、業務処理における自動統制の精度などは、近年の改訂でも特に注目されている項目です。

次のセクションでは、この6要素を前提とした年間評価スケジュールと、評価の流れを具体的に見ていきましょう。

J-SOX実施基準に沿った内部統制評価の年間スケジュールと手順

J-SOXの実施基準では、内部統制の整備・運用状況を評価するにあたり、年間を通じた計画的な手順と体制づくりが重要であるとされています。内部統制の評価は一時的な作業ではなく、期首から期末にかけて段階的に進める業務プロセスであり、その進め方を誤ると評価の遅れや不備の見逃しにつながるおそれもあります。

ここでは、年間スケジュールの基本的な流れに沿って、評価の進め方と押さえるべきポイントを整理していきます。

①計画立案と評価範囲の策定

まず最初のステップは、評価計画の立案と評価対象の策定です。

評価範囲の策定では、金額の大きさだけでなく、リスクの大きさや業務の重要性も考慮して判断します。たとえば、売上高が小さい部門であっても、将来的に重要性が増すことが見込まれている事業や新規事業、複雑な取引を行っている事業が該当します。

また、以下のような視点で評価範囲を定めるのが一般的です。

・財務的な重要性（売上高、資産、利益など）
・リスクの質的要因（業務の複雑さ、不正リスク、属人性など）
・連結グループ全体のカバー率（売上や利益の○％以上を評価対象にする）

②整備状況評価・運用状況評価

評価範囲が定まったら、次のステップでは内部統制の有効性を実際に確認していきます。ここでは、「整備状況評価（デザイン評価）」と「運用状況評価」の2段階で進めるのが基本です。

整備状況評価では、業務に対応する統制がきちんと設計されているかを確認します。文書化された業務記述書やフローチャート、RCMなどをもとに、統制の設計が妥当かを判断します。

運用状況評価では、コントロールの実施者への質問、観察、関連文書の閲覧といった手続きを組み合わせて実施し、内部統制がデザインどおりに日々の仕事で機能しているか、不正やミスが起きないように役立っているかを実際に確認します。

整備と運用の両面を通じて「この統制は有効である」と判断できてはじめて、内部統制が「有効」と評価されます。

③不備の評価・是正・期末アップデート

評価の結果、統制が想定どおりに機能していないケースが見つかることもあります。その場合には、不備の内容を分析し、必要に応じて是正対応を行います。

不備にはレベルの違いがあり、財務報告に重大な影響を与えるものは「重要な不備」として区分されます。これは内部統制報告書にも明記する必要があり、経営者評価にも影響を与える重大な判断です。

また、決算期に近づくにつれて業務や体制に変化が生じる場合があります。たとえば、担当者の交代やシステム変更などがあった場合は、期末アップデートとして再評価が必要です。ここを見逃すと、せっかく整備した統制が「最新ではない」と判断されるリスクもあるため、注意が必要です。

J-SOX実施基準で強化されたIT統制の押さえどころ

J-SOX実施基準では、ITシステムに依存した業務プロセスの統制をどう評価するかが重要な論点となっています。2024年の実施基準の見直しにより、クラウドや外部委託を含めたIT環境全体をどう把握し、どのように証跡を残すかといった実務的な対応が、これまで以上に明確化されました。

ここでは、IT統制について実務で押さえておきたいポイントを3つ解説します。

IT全般統制（アクセス権・変更・運用）

IT全般統制（General Controls）は、企業内のIT基盤全体に関する内部統制です。システムが安全かつ信頼性を保って運用されているかどうかが重要な論点となります。

アクセス権	・特権ユーザーや業務担当者のID権限が適切に設定・管理されているか ・退職者や異動者のアカウントは速やかに削除・変更されているか
変更管理	会計システムや販売管理システムに変更を加える際、承認・テスト・記録が確実に行われているか
運用管理	バックアップ取得、障害対応、パッチ適用といった日常的な運用業務が計画的に実施されているか

これらの内部統制が弱い場合、業務処理統制（取引内容そのものの正確性）に不具合があっても検知できず、重大な不備につながるおそれがあります。

業務処理統制（自動統制／レポートの信頼性）

業務処理統制（Application Controls）は、システムを利用した個別業務プロセスの中で機能する統制です。

自動統制は、一度正しく設計・設定すれば、高い信頼性をもって継続的に処理が実行される点が特長です。ただし、前提として「システム設定が正しいこと」「マスタ情報が信頼できること」が必要になります。

また、帳票出力やレポート機能による統制（いわゆるレポーティング統制）も評価対象となります。レポートが加工されず、正確な元データから出力されていることを確認できなければ、統制の有効性は認められません。

クラウド・外部委託と第三者報告書の活用

近年では、クラウドサービスや外部委託先を利用するケースが急増しています。たとえば、SaaS型の会計システム、アウトソーシング先による経理業務の代行などが該当します。

これらの委託先がシステムを管理している場合でも、最終的な内部統制の責任は委託元企業にあるという点は変わりません。そこで重要になるのが、第三者保証報告書（SOCレポート）などを活用した証拠の確保です。

これを通じて、委託先の統制が適切に機能していることを自社としても確認し、監査人へ説明できるようにしておく必要があります。

文書化と内部統制報告書の実務

内部統制の文書化と報告書の作成は、J-SOX実施基準の中でも実務上の中核的な工程です。

評価の設計や結果の妥当性を明確に示すためには、整備状況・運用状況の根拠を第三者にも伝わる形で残しておく必要があります。

さらに、評価結果をまとめる内部統制報告書は、金融商品取引法に基づいて開示される正式な書類であり、実施基準でも構成要素や記載内容が定められています。

ここでは、J-SOX対応において実務でよく使われる「3点セット」の文書、証跡の残し方、そして内部統制報告書の作成ポイントを整理して解説します。

J-SOX対応における「3点セット」

業務記述書	業務の流れや手順、関係者の役割、使っているシステムなどを文章で整理したもの
フローチャート	業務プロセスを図式化し、処理の流れ・承認のポイント・例外処理などを視覚的に表現したもの
RCM（リスク・コントロール・マトリクス）	業務ごとのリスクと、それに対する統制手段、評価手法を表形式でまとめたもの

これらの文書は、整備状況評価の根拠資料になるだけでなく、運用評価や監査人とのコミュニケーションにも活用されます。整合性のとれた内容になっているか、定期的にアップデートを行いましょう。

証跡の残し方（電子取引・システムログ・承認履歴）

内部統制の有効性を証明するには、「やったこと」がわかる記録、すなわち証跡（エビデンス）が必要です。口頭説明やExcelメモだけでは監査対応はできません。

システム化された業務では、以下のような証跡が求められます。

・電子取引の承認記録
・システムログ
・承認履歴

証跡は単に保存するだけでなく、誰でも追える形で整理されていること（検索性・保管ルールなど）も評価されます。

内部統制報告書の書き方：評価範囲・手続・結果・特記事項

J-SOX評価の最終成果物が「内部統制報告書」です。これは、企業が自らの内部統制の有効性について経営者として責任をもって開示する、公式な書面となります。

内部統制報告書には、以下の項目を記載します。

・提出日・会社名・代表者氏名・会社の所在地などの基本情報
・財務報告に係る内部統制の基本的枠組みに関する事項
・評価の範囲、基準日及び評価手続に関する事項
・評価結果に関する事項
・付記事項
・特記事項

この報告書は、有価証券報告書とともに財務局もしくはEDINETというシステムで提出します。つまり、株主や投資家、金融機関も閲覧する公式な情報開示文書です。

そのため、評価内容に曖昧な点が残っていないか、記述に事実誤認や過小評価がないか、経営者と管理部門がしっかりとすり合わせておくことが重要です。

まとめ：改訂実施基準を自社流に落とし込み、早めに動こう

J-SOX実施基準の改訂は、不正リスクへの対応強化やIT統制の明確化など、企業の内部統制に求められる要件をより高度かつ実務的なものへと進化させました。評価の精度を高めるには、単なるチェックリスト対応ではなく、自社の業務フローや組織体制に即した「自社流のJ-SOX運用」が鍵を握ります。

OAGビジコムでは、J-SOXに関する業務支援サービスを提供しています。内部統制の構築支援はもちろん、RCM作成、業務記述書・フローチャートの整備、監査法人対応のアドバイスまで、貴社の体制やフェーズに合わせて柔軟にご支援いたします。

「改訂対応が不安」「IPOに向けた統制構築をどこから始めればいいかわからない」といったお悩みをお持ちの方は、ぜひお気軽にOAGビジコムまでご相談ください。