内部統制J-SOX  経営者評価とは

内部統制(J-SOX)
2025.12.21

一番わかりやすい【J-SOXの概要】

内部統制に関して様々な書籍をみましたが、どれも複雑でクリアに理解できません。
その為、自分でまとめることにしました(笑)
J-SOXの経営者評価は、
① 全社レベルの統制(ELC:Entity Level Controls)と
② プロセスレベルの統制(PLC:Process Level Controls) に大別されます。

① 全社レベルの統制は、
経営環境・ガバナンス・リスク管理・ITに関する対応状況について、
決算・財務報告および業務プロセス全体を横断する観点から質問・評価するものである。

② プロセスレベルの統制には、

  • 決算・財務報告プロセス統制
  • 業務プロセス統制(手動の統制とITに依存する統制〔ITAC:Information Technology Application Controls〕を含む)があり、
    これらを支える共通基盤としてIT全般統制:Information Technology General Controlsが存在する。

J-SOXにおける経営者評価の全体像

1.経営者評価とは何か

J-SOXにおける経営者評価とは、
財務報告の信頼性を確保するために、内部統制が適切に整備・運用されているかを、経営者自身が評価する手続きである。

この評価は、単なるチェックリスト作業ではなく、

  • 組織全体としての統制環境
  • 各業務・決算プロセスに組み込まれた具体的な統制
  • それらを支えるITの統制
    体系的に捉えることが重要となる。

2.経営者評価の基本構造

経営者評価は、大きく次の二つに分けて整理すると理解しやすい。

  1. 全社レベルの統制
  2. プロセスレベルの統制

この区分は、

  • 「組織全体を横断して効いている統制か」
  • 「特定の業務・決算プロセスに組み込まれた統制か」
    という観点によるものである。

3.全社レベルの統制とは

(1)位置づけ

全社レベルの統制とは、
個々の業務や決算プロセスに先立ち、会社全体として財務報告の信頼性を支える基盤となる統制である。

これらは、特定の取引や勘定科目に直接対応するものではなく、
**「前提条件として機能しているか」**を評価する。

(2)全社レベル統制の評価の視点

全社レベル統制の評価は、主に質問(ヒアリング)や規程等の確認を通じて行われる。
評価の視点は、次の三つに整理できる。

① 決算・財務報告に関する全社的な対応

例:

  • 決算体制は適切に構築されているか
  • 決算スケジュール・レビュー体制は明確か
  • 会計方針の決定・変更プロセスは統制されているか

👉 決算・財務報告プロセスそのものの統制ではなく、
それを全社的に支える体制・姿勢を問う。

② 業務プロセス全体に関する全社的な対応

例:

  • 権限・職務分掌は全社的に整備されているか
  • 不正防止・コンプライアンスの意識は浸透しているか
  • リスク評価は組織横断的に行われているか

👉 各業務プロセスに共通する「統制環境」の確認である。

③ ITに関する全社的な対応

例:

  • ITに関する基本方針・責任体制は明確か
  • システム障害や不正アクセスへの対応方針はあるか
  • IT統制を軽視する風土になっていないか

👉 個別システムの統制ではなく、
ITをどう位置づけ、管理しようとしているかを評価する。

深堀1)COSOの「87の着眼点」とJSOXの全社統制の関係

✅ COSOの「着眼点(Points of Focus)」とは?
  • 各原則を実務でどう実現するかを示す具体的な視点。
  • 全体で87個あり、内部統制の設計・運用評価のチェックリスト的な役割を果たす。
✅ JSOXの「全社統制」とのリンク
  • JSOXの全社統制は、COSOの5構成要素・17原則をベースに設計されている
  • したがって、87の着眼点は、全社統制の評価項目(質問項目)と高い整合性がある
  • たとえば:
    • 統制環境 → 経営理念・倫理規範の浸透、取締役会の監督機能、職務権限の明確化など
    • リスク評価 → 目標設定とリスクの特定・分析
    • 統制活動 → 方針・手続きの整備、職務分掌、承認プロセス
    • 情報と伝達 → 情報の適時性・正確性、社内外への伝達
    • モニタリング → 内部監査、自己点検、是正措置の実施

📌 つまり、JSOXの全社統制の質問票は、COSOの着眼点をベースに設計されていることが多い。 ただし、企業によっては独自のリスクや業種特性に応じてカスタマイズされていることもある。

深堀2) 全社統制の質問数の「平均的な数」

これは企業の規模や業種、リスクの複雑性によって異なるが、実務上の目安としては:

規模・業種全社統制の質問数(目安)
中小企業(単一事業)約30~50問
中堅~大企業(複数事業・拠点あり)約60~100問
上場大企業(多拠点・海外展開あり)100問以上(150問超もあり)
  • 質問の粒度統制の成熟度によっても変わる。
  • 一般的には、COSOの17原則 × 各原則に対する複数の質問(3~7問)という構成が多い。

まとめ

  • COSOの87の着眼点は、JSOXの全社統制の質問と高い整合性がある
  • 全社統制の質問数は、企業の規模や統制の成熟度に応じて30~150問程度が一般的。
  • 実務では、COSOの原則と着眼点をベースに、自社のリスクや業務特性に合わせて質問票をカスタマイズするのが理想的!

4.プロセスレベルの統制とは

(1)位置づけ

プロセスレベルの統制とは、
特定の業務プロセスや決算・財務報告プロセスに組み込まれた具体的な統制である。

全社レベル統制が「前提条件」だとすれば、
プロセスレベル統制は実際に財務数値を正しくするための直接的な統制である。

(2)プロセスレベル統制の構成

プロセスレベルの統制は、次の二つに整理できる。

① 業務プロセス統制(PLC)
  • 売上、購買、在庫、人事、固定資産など
  • 日常業務の中で、不正や誤謬を防止・発見する統制

この中には、
**ITに依存する統制(ITAC:Information Technology Application Controls)**も含まれる。

例:

  • 入力チェック
  • 自動計算
  • マスタ参照制御
② 決算・財務報告プロセス統制
  • 仕訳起票
  • 決算整理
  • 連結処理
  • 開示資料作成

など、決算特有のプロセスに組み込まれた統制である。

5.IT全般統制の位置づけ

IT全般統制(ITGC:Information Technology General Controls)は、

  • 業務プロセス統制
  • 決算・財務報告プロセス統制

共通基盤として支える統制である。

具体的には、

  • システム開発・変更管理
  • アクセス管理
  • 運用管理

などが該当する。

ITGCは、
単独で財務数値を正しくするものではないが、
これが機能していなければ、ITACを含むプロセス統制は信頼できない

6.経営者評価の整理(まとめ)

経営者評価は、次のように整理できる。

  • 全社レベルの統制
     → 組織全体を横断する「前提条件」の評価
  • プロセスレベルの統制
     → 業務・決算プロセスに直接組み込まれた統制の評価
  • IT全般統制
     → 両者を支える共通基盤

このように捉えることで、
「何を質問で評価し、何を証跡で確認するのか」
「どこまで詳細に見るべきか」
が自然に整理される。

コメント

タイトルとURLをコピーしました