株式会社renue
AI導入・DXの悩みをプロに相談してみませんか?
AIやDXに関する悩みがありましたら、お気軽にrenueの無料相談をご利用ください。 renueのAI支援実績、コンサルティングの方針や進め方をご紹介します。
内部統制とは?企業経営の基盤を支える仕組み
内部統制とは、企業が事業目的を達成するために、業務の適正性を確保する組織的な仕組み・プロセス・ルールの総称です。日本では金融商品取引法に基づくJ-SOX(内部統制報告制度)により、上場企業に内部統制の評価・報告が義務付けられています。
2024年4月から適用された15年ぶりのJ-SOX改訂により、IT統制の重要性がより一層強調され、クラウドサービスの利用拡大やリモートワークへの対応が求められています。さらに2026年には、AI監査の実用化が急速に進んでおり、PwCの実証実験では全社的な内部統制42評価項目の一次評価を自動化でき、数百〜数千時間の業務時間削減が確認されています。
内部統制の4つの目的
| 目的 | 内容 | 2026年の重点 |
|---|---|---|
| 業務の有効性と効率性 | 経営資源の効率的な利用 | AI自動化による業務効率化 |
| 財務報告の信頼性 | 財務情報の正確性の確保 | AI生成データの信頼性担保 |
| 法令等の遵守 | 法規制への適合 | EU AI法・改正個人情報保護法対応 |
| 資産の保全 | 資産の取得・使用・処分の適正化 | デジタル資産・データ資産の保全 |
内部統制の6つの基本的要素(COSO準拠)
- 統制環境:経営者の倫理観・経営方針が組織の統制文化を形成する基盤
- リスクの評価と対応:事業目的の達成を阻害するリスクの識別・分析・対応策の策定
- 統制活動:経営者の指示が確実に実行されるための方針・手続き(承認・権限分離・照合等)
- 情報と伝達:必要な情報が適時に組織全体に伝達される仕組み
- モニタリング:内部統制の有効性を継続的に評価する活動
- ITへの対応:IT環境やITの利用・統制に関する対応(J-SOX改訂で特に強化)
J-SOX改訂(2024年適用)の重要ポイント
IT統制の強化
デジタル変革の進展とサイバーリスクの高まりを受け、以下の対応が新たに求められています:
- クラウドサービスの統制:外部クラウドサービス利用時のリスク評価と統制手法の確立
- リモートワーク対応:分散環境での承認プロセスとアクセス管理の整備
- サイバーセキュリティ:IT全般統制(ITGC)におけるセキュリティ対策の強化
内部統制の実効性強化
従来の形式的な評価から、実質的な有効性を重視する方向に転換されています。経営者による内部統制の構築・維持に加え、有効性の自己評価と報告がより厳格に求められています。
2026年のAI監査トレンド
1. 継続的統制モニタリング(CCM)の標準化
従来の「年次の時点チェック」から「24時間365日の継続的モニタリング」への移行が進んでいます。AIによる異常検知と自動アラートにより、統制責任者は四半期サイクルを待たずにリアルタイムで例外を確認できます。
2. J-SOX調書のAIレビュー
J-SOX調書(内部統制調書)のデザインファクター記載をAIが自動レビューするシステムが実用化されています。具体的には:
- Excel調書から関連セクションを自動抽出
- 参照基準(PDF等)に基づくAIレビューの実施
- 大規模PDFのチャンク分割処理による精度確保
- 個別チャンクの結果を統合した最終レポートの自動生成
3. AIエージェントがSOXリスクに
2026年の新しい課題として、AIエージェント自体がSOX統制上のリスクになっています。AIが役割・権限・アクセスポリシーを変更できる環境では、「どの自律プロセスが、どのポリシーに基づいて、何を行い、エンドツーエンドで証明できるか」が問われます。
4. 監査業務のAI自動化
監査機関の78%がAIツールを通常業務に組み込んでおり、異常取引の検出効率が420%向上した事例も報告されています。AIが自動化できる領域は:
- データ照合・突合の自動化
- 承認プロセスの自動検証
- 異常検知(不正パターンの検出)
- 統制テストの自動実行
内部統制構築の5ステップ
- リスクの識別と評価:財務報告に影響するリスクをトップダウンで洗い出す
- 統制活動の設計:各リスクに対する統制手続き(承認・照合・権限分離等)を設計
- 文書化:業務フロー、リスクコントロールマトリクス(RCM)、業務記述書を作成
- 運用テスト:統制が設計通りに運用されているかを検証
- 評価と報告:有効性を評価し、内部統制報告書を作成・提出
よくある質問(FAQ)
Q1. J-SOXとSOXの違いは?
SOXは米国のサーベンス・オクスリー法、J-SOXは日本版の内部統制報告制度です。J-SOXは「トップダウン・リスクベースアプローチ」を採用し、内部統制監査と財務諸表監査を統合して実施する点が特徴です。
Q2. J-SOX改訂で最も影響が大きい変更は?
IT統制の強化です。クラウドサービス、リモートワーク、サイバーセキュリティへの対応が新たに求められ、ITGCの評価範囲が拡大しています。
Q3. AIで内部統制をどこまで自動化できますか?
全社的な内部統制42評価項目の一次評価を自動化できることがPwCの実証で確認されています。ただし、AIは「一次評価」の効率化であり、最終判断は人間が行う「Human-in-the-loop」が必須です。
Q4. 中小企業にも内部統制は必要ですか?
J-SOXの法的義務は上場企業に限られますが、経営の健全性確保のためにあらゆる規模の企業で内部統制の基本的な仕組みは重要です。特にIPOを目指す企業は、上場審査に備えた内部統制の整備が必須です。
Q5. 監査ログの保管はどうすべきですか?
全操作の監査証跡をデータベースに記録し、改ざん不能な状態で保管します。ユーザーID、操作内容、タイムスタンプ、アクセス元IPを含む構造化されたログが基本です。保管期間はJ-SOX上は最低7年(申告期限から)です。