「内部監査の現場で『重大不備』という言葉を耳にするけれど、J-SOXでいう『開示すべき重要な不備』と何が違うのかよくわからない」。こうした疑問は、内部統制実務に関わる方からよく寄せられます。実は「重大不備」は法令で明確に定義された用語ではなく、現場で慣用的に使われる呼び方です。そのため、正式な制度用語との関係を整理しないまま会話を進めると、認識のずれが生まれやすい領域でもあります。

しかし、呼び方の問題で済む話ではありません。重大不備に該当するかどうかは、上場会社にとって極めて重要な判断であり、間違えれば内部統制報告書の訂正、株価への影響、対外的な信用失墜といった重い結果を招きます。実際に近年も、大手企業による重大不備の開示と訂正内部統制報告書の提出が後を絶ちません。

本記事では、内部監査の現場で語られる「重大不備」の意味を、J-SOX上の正式用語と対比しながら丁寧に整理します。さらに、判定基準、典型的な発生パターン、内部監査部門の役割、発見後の対応プロセス、2024年改正J-SOXによる実務への影響まで、内部監査担当者が押さえるべき実務知識を体系的に解説していきます。読み終えるころには、自社の内部監査において重大不備をどう扱えばよいか、明確な判断軸を持っていただけるはずです。

内部監査で語られる「重大不備」とは何か

最初に、用語の整理から始めましょう。ここを丁寧に押さえておかないと、後の議論で齟齬が生じやすくなります。

「重大不備」「重要な不備」「開示すべき重要な不備」の関係

まず結論からお伝えすると、日本の制度上、内部統制の不備の正式分類は「不備」と「開示すべき重要な不備」の2つです。「重大不備」「重要な不備」といった呼び方は法令上の用語ではなく、現場や報道で慣用的に使われる表現になります。

正式名称である「開示すべき重要な不備」とは、財務報告に重要な影響を及ぼす可能性が高い内部統制の不備を指します。財務報告に係る内部統制の評価および監査の基準において、こうした不備が存在する場合は内部統制報告書でその内容を開示し、財務報告に係る内部統制が有効でない旨を表明することが求められています。

つまり、「重大不備」と現場で呼ばれているものは、ほぼ「開示すべき重要な不備」を指していると考えて差し支えありません。一方で、「重要な不備」という言い方は、米国SOX法における中間段階の分類との混同を招きやすいため、注意が必要です。社内文書や経営層への報告では、できるだけ正式名称を使うことをおすすめします。

なお、内部監査の現場でいう「重大な指摘」と「開示すべき重要な不備」は必ずしも同義ではありません。内部監査の指摘事項のうち、財務報告の信頼性に重要な影響を及ぼすものだけがJ-SOX上の不備として扱われ、そのなかでさらに重要性の基準を超えるものが「開示すべき重要な不備」になります。業務改善上の重大な指摘であっても、財務報告に影響しないなら、J-SOXの枠組みでは不備とすら判定されないこともあるのです。

米SOX法とJ-SOXの分類の違い

参考までに、米国SOX法と日本のJ-SOXで内部統制の不備分類が異なる点も押さえておきましょう。

米国SOX法では、内部統制の不備を「Material Weakness(重大な欠陥)」「Significant Deficiency(重大な不備)」「Control Deficiency(軽微な不備)」の3段階に分類しています。これに対してJ-SOXでは、中間段階を設けず「開示すべき重要な不備」と「不備」の2段階に簡素化しているのが特徴です。

この分類の違いは、運用負担の軽減を狙ったものですが、実務上は「中間段階がない」ことによる難しさもあります。米国であれば「重大な不備」というクッションがあるため、開示前段階で社内的に警戒を強める基準として機能するのですが、J-SOXでは「開示すべき重要な不備」に該当するかしないかという二択になりがちで、グレーゾーンの取り扱いに悩むことが多くなります。だからこそ、内部監査の現場では、外部監査人と早い段階から協議を行い、認識を擦り合わせる姿勢が重要になるのです。

整備上の不備と運用上の不備という分け方

不備をもうひとつの軸で分類する考え方が、「整備上の不備」と「運用上の不備」という区分です。これは内部統制の有効性を多面的に捉えるうえで欠かせない視点です。

整備上の不備とは、財務報告における虚偽記載の発生リスクを合理的なレベルまで低減する内部統制が存在しない、あるいは現状の内部統制では目的を十分に果たせない状態を指します。簡単に言えば、「そもそも仕組みが足りていない」という状態です。たとえば、購買プロセスで承認手続きそのものが設計されていない、決算プロセスで連結調整のチェック体制がない、といったケースが該当します。

一方、運用上の不備とは、整備された内部統制が意図したとおりに運用されていない状態を指します。仕組みは作られているのに、現場で守られていない、あるいは形骸化しているという状態です。たとえば、承認権限規程は存在するけれど、実際の現場では権限なき者が承認している、月次の照合手続が定められているけれど、忙しさを理由に飛ばしている、といった状況が該当します。

整備上の不備と運用上の不備のどちらも、財務報告への影響が大きいと判断されれば、開示すべき重要な不備に発展する可能性があります。内部監査の役割は、両方の側面から内部統制の有効性を検証し、不備の芽を早期に摘み取ることにあるのです。

重大不備の判定基準を理解する

不備が発見されたとき、それが「開示すべき重要な不備」に該当するかどうかを判定するには、明確な基準があります。ここを正しく理解しておかないと、過剰な開示や見落としにつながります。

金額的重要性による判定

最初の判定軸が金額的重要性です。発見された不備が、財務報告に与える影響額が一定の閾値を超えるかどうかで判断します。

一般的には、連結税引前利益の5%程度を金額的重要性の目安とすることが多いとされています。ただしこれはあくまで目安であり、会社の規模、事業特性、業績の安定性などを踏まえて、個別に基準を設定するのが実務です。たとえば、利益水準が低く赤字に近い会社では、税引前利益の5%という基準ではあまりに少額になってしまうため、売上高や総資産の一定割合を補助基準とするケースもあります。

金額的重要性の判定で重要なのは、単一の不備の影響額だけでなく、複数の不備の影響額を集計して評価する点です。個別には小さく見える不備でも、同じ性質のリスクが複数の業務プロセスに広がっていれば、合算した影響額が重要性の基準を超えることがあります。内部監査担当者は、不備を発見した時点で「これは単独事象なのか、より広範な統制環境の問題なのか」を見極める視点を持つ必要があります。

質的重要性による判定

金額的重要性だけでなく、質的重要性による判定も同等に重要です。これは、影響額が小さくても、性質的に重要な意味を持つ不備を見逃さないための仕組みです。

質的重要性の代表的な例としては、経営者が関与する不正、関連当事者取引の不適切な処理、法令違反を伴う取引、開示すべき情報の意図的な隠蔽、コンプライアンス意識の欠如を示す事象などが挙げられます。これらは金額の大小にかかわらず、投資家の意思決定に重要な影響を与える可能性があるため、開示すべき重要な不備として扱われるのが一般的です。

質的重要性の判定は、金額的重要性の判定よりも主観が入りやすく、判断が難しい領域です。だからこそ、内部監査担当者が独断で結論を出すのではなく、経営層、監査役、外部監査人とよく協議しながら判断していく姿勢が求められます。とくに不正が疑われるケースでは、内部監査だけで結論を出さず、独立した調査委員会の設置を提案するなどの慎重な対応が必要です。

期末日までの是正状況が結果を分ける

判定の結果として極めて重要なのが、期末日(評価時点)までに不備が是正されたかどうかという視点です。

J-SOXの基本的な考え方として、評価時点までに是正されていれば、財務報告に係る内部統制は有効であると判断できるとされています。つまり、期中に発見された重大な不備でも、期末日までにきちんと是正措置が完了していれば、内部統制報告書では「有効である」と表明できるのです。これは、不備の発見そのものを否定的に捉えるのではなく、是正のサイクルが回っているかを評価するという制度設計を反映しています。

逆に言えば、期末日時点で不備が残っていれば、それが重要性の基準を超える限り「開示すべき重要な不備」として開示せざるをえません。そのため、内部監査として重大な不備を発見した場合は、いかに早期に是正サイクルを回し、期末日までに完了させられるかが勝負どころになります。

実務的には、内部監査が指摘した重大な不備について、是正計画を策定し、是正措置を実施し、有効性を再評価するという一連のプロセスには、最低でも数ヶ月の期間が必要です。期末まで時間がない時期に重大不備が発見されると、是正が間に合わずに開示に至るケースが多くなります。だからこそ、期初から監査を計画的に進め、重大な論点が後手に回らないよう準備しておくことが、内部監査の重要な役割なのです。

重大不備が発生する典型的なパターン

実際に開示すべき重要な不備として開示されている事例を見ると、いくつかの典型的なパターンが浮かび上がってきます。事前に押さえておけば、自社の監査で重点的に見るべき領域が見えてきます。

全社的な内部統制の不備による広範な影響

最も影響範囲が大きいのが、全社的な内部統制の不備です。全社的な内部統制は、企業集団全体に関わり、連結ベースでの財務報告全体に影響を及ぼすため、ここに不備があると個別の業務プロセスにも波及していきます。

典型例としては、経営者によるコミットメントの欠如、取締役会の監督機能の不全、内部監査部門の独立性の喪失、コンプライアンス意識の組織的な低下といったものが挙げられます。これらは表面的には目に見えにくいのですが、現場でのコントロール意識を蝕み、結果として複数の業務プロセスで不備を生む土壌になります。

近年公表された開示すべき重要な不備の事例分析を見ると、「コンプライアンス意識の欠如」「モニタリング体制の不備」「牽制機能の無効化」が原因として頻繁に挙げられています。これらはすべて全社的な内部統制の領域に属するものであり、トップマネジメントの姿勢が組織全体に与える影響の大きさを物語っています。内部監査としては、年間計画のなかで全社的な内部統制の評価を厚めに位置づけ、経営層の姿勢や統制環境を継続的にモニタリングする視点が必要です。

決算・財務報告プロセスの不備

二つ目のパターンが、決算・財務報告プロセスにおける不備です。決算プロセスは財務報告の信頼性に直結するため、ここで不備が発生すると即座に開示すべき重要な不備に該当する可能性が高くなります。

実際の開示事例を見てみましょう。2024年5月にニデック株式会社が公表した開示すべき重要な不備に関するお知らせでは、連結子会社における連結決算手続で売上高の連結調整に誤りがあり、過年度決算の訂正に至った経緯が説明されています。背景として、組織間のコミュニケーション不足により、調整対象案件を特定する際の情報把握が不十分だったこと、決算処理に関するモニタリング体制が機能していなかったことが指摘されました。

このような事例から見えてくるのは、決算プロセスの不備は技術的なミスというより、組織横断的なコミュニケーションとモニタリング体制の問題に起因することが多いという事実です。決算は経理部門だけで完結する作業ではなく、各事業部からの情報収集、子会社との連携、外部監査人とのやりとりを含む複雑なプロセスです。内部監査としては、技術的な統制活動だけでなく、関係部門間の情報フローと牽制機能を重点的に検証する必要があります。

業務プロセスの統制不全

三つ目のパターンが、販売、購買、在庫管理、固定資産管理といった主要業務プロセスの統制不全です。

これらのプロセスでは、職務分掌の不徹底、承認手続きの形骸化、システム入力の不正確、関連書類の保管不備といった、ある意味でわかりやすい不備が発生します。一見、技術的な問題に見えますが、根本には「忙しさの中で統制が後回しになる」「人手不足で兼任が増え、本来分けるべき職務が一人に集中する」といった組織的な背景があることが多いのです。

業務プロセスの不備が単独で開示すべき重要な不備に該当することは比較的少ないのですが、複数のプロセスで同じ性質の不備が見つかると、影響額が積み重なって重要性の基準を超えることがあります。内部監査の視点としては、個別の指摘事項を集計し、組織横断的なパターンを発見する分析力が求められます。

子会社管理の不備による海外取引の不正

四つ目の典型パターンとして、子会社管理、特に海外子会社管理の不備が挙げられます。証券取引等監視委員会の事例集でも、子会社における不備の原因として最も多いのが「子会社の管理体制の不備」とされています。

海外子会社では、現地法令、商慣習、言語、時差といった要因が重なり、本社からの監視が届きにくくなります。さらに、海外現地の経営者に強い裁量権が与えられていると、本社の統制を逸脱した取引が行われやすくなる傾向があります。実際の開示事例でも、海外子会社における融資取引、売上計上、関連当事者取引、不正送金などが原因となって、開示すべき重要な不備として公表されるケースが続いています。

内部監査としては、海外子会社の往査を定期的に実施することはもちろん、現地経営層へのインタビュー、内部通報制度の活用、現地監査人や外部専門家との連携といった重層的なアプローチが必要です。リモート監査だけでは見えてこない実態があるため、コストはかかっても定期的な現地往査を組み込む価値は大きいでしょう。

内部監査部門が果たすべき役割

ここからは、重大不備の文脈で内部監査部門に何が期待されているのかを掘り下げていきます。J-SOX対応における内部監査の位置づけは、近年ますます重要性を増しています。

J-SOX評価における独立的評価機能

内部統制の基本的枠組みのなかで、内部監査人は独立的評価者として位置づけられています。これは、業務執行部門が自ら行う日常的モニタリングとは別に、独立した立場から内部統制の整備運用状況を検討し、評価する役割を担うことを意味します。

J-SOX評価において、内部監査部門は経営者の評価活動を支える実働部隊として機能することが一般的です。3点セット(業務記述書、業務フローチャート、リスクコントロールマトリックス)を用いた整備状況の評価、サンプリングによる運用状況の評価、不備の集計と重要性の判定といった作業を、現場で実行するのが内部監査の役割になります。

ここで重要なのは、内部監査部門がJ-SOX評価の実施者であると同時に、評価の客観性を担保する立場でもあることです。日常的に業務に関与している部門が自分自身を評価する自己評価では客観性が確保できないため、独立した内部監査がチェックすることに意味があります。だからこそ、内部監査部門の組織上の独立性、人材の専門性、リソース配分の十分性が、J-SOX対応の品質を左右するのです。

不備の発見から是正までのフォローアップ

内部監査の役割は、不備を発見して報告することだけにとどまりません。発見した不備が確実に是正されるまで、フォローアップを継続することも重要な責務です。

実務の現場では、内部監査の指摘事項が経営層や被監査部門に報告されたあと、「対応します」という回答だけで終わってしまい、実際の改善が進まないケースがしばしば見られます。これを防ぐには、指摘事項ごとに改善責任者と改善期限を明確化し、その進捗を内部監査側で継続的にモニタリングする仕組みが必要です。

是正フォローのなかで重要なのが、「是正されたと報告された案件を、本当に是正されているか改めて検証する」という再評価のプロセスです。改善対応の文書化や教育研修の実施といった形式的な対応が完了しても、実際に統制が機能しているかは、別途サンプリングや現場観察で確認する必要があります。形式的なフォローで満足してしまうと、是正されたはずの不備が翌期にも再発するという事態を招きかねません。

取締役会・監査役会への報告

内部監査部門の役割として軽視されがちなのが、上位ガバナンス機関への報告の質です。

J-SOXの枠組みでは、内部統制の評価結果は最終的に経営者が責任を持つ事項ですが、その判断を支えるためには取締役会や監査役会への適切な報告が欠かせません。内部監査部門は、自らが発見した不備を技術的に正確に伝えるだけでなく、ガバナンス上の意味、組織としての対応方針、リスクの全体像といった経営判断に資する情報まで整理して報告する必要があります。

報告の頻度としては、年に1回の総括報告だけでなく、四半期ごとの定例報告、重大な発見事項についての臨時報告といった重層的なコミュニケーションが望ましいでしょう。特に、開示すべき重要な不備に該当する可能性のある事象が発見された場合は、速やかに経営層と監査役会に第一報を入れ、対応方針を協議する場を設けることが重要です。報告が遅れると、是正期間が短くなり、結果として開示に追い込まれるリスクが高まります。

監査人・監査役との連携

最後に、三様監査の連携における内部監査の役割を強調しておきます。

内部監査、監査役監査、会計監査人による監査は、それぞれ独立した存在ですが、相互に情報を共有し連携することで、ガバナンス全体の実効性が高まる設計になっています。J-SOX上も、監査人と監査役・内部監査人との連携は、制度の特徴として明示的に位置づけられています。

実務的には、三様監査連絡会の定期開催、年間監査計画の相互共有、発見事項の情報交換、重要論点の協議といった連携活動が行われます。内部監査としては、自らの監査結果を伝えるだけでなく、外部監査人や監査役からの情報も積極的に取り入れることで、自部門だけでは見えなかったリスクを把握できる利点があります。とくに、開示すべき重要な不備の判定では、外部監査人の意見が決定的に重要なため、平時から良好な関係を構築しておくことが、いざという時の対応力に直結するのです。

重大不備が発見された後の対応プロセス

万が一、内部監査によって開示すべき重要な不備に該当する可能性が高い事象が発見されたとき、どのような対応プロセスを取ることになるのでしょうか。実務の流れを整理しておきましょう。

是正計画の策定と実行

不備が発見されたら、まず是正計画を策定するのが最初のステップです。ここでのポイントは、表面的な対症療法ではなく、根本原因に手を打つことです。

たとえば、決算プロセスで売上の二重計上が発見された場合、当面の対応として「該当案件の修正処理」と「ダブルチェックの徹底」を行うのは当然です。しかし、それだけでは再発防止になりません。「なぜ二重計上が発生したのか」を掘り下げると、システム間のデータ連携の不備、業務フローの曖昧さ、担当者の業務量過多、教育研修の不足、といった根本原因が見えてきます。これらに手を打たない限り、似たような不備が別の場所で再発する可能性が残ります。

是正計画では、責任者、期限、具体的なアクション、検証方法を明確化することが大切です。「いつ誰が何をどうチェックするか」が曖昧な計画は、実行段階で形骸化しやすくなります。内部監査としては、計画段階から関与し、実効性のある是正策が策定されるよう助言する姿勢が求められます。

経営者への報告と社内への周知

是正計画の実行と並行して、経営者への報告と社内への適切な周知を行います。重大不備に該当しうる事象は、経営判断と直結するため、内部監査だけで進めるべきではありません。

経営者への報告では、事実関係、影響額の見積もり、是正計画、開示に至る可能性の評価といった情報を整理して伝えます。経営者は、これらの情報をもとに、外部監査人との協議、取締役会への付議、社外取締役への説明、必要に応じて調査委員会の設置といった経営判断を行うことになります。

社内への周知については、関係部署の協力を得ながら是正を進めるために必要な範囲で行います。一方で、未確定の情報が早期に社内外に漏れると、株価への影響やインサイダー情報の管理上の問題が生じる可能性もあるため、情報管理は厳格にする必要があります。広報部門、IR担当、法務部門と連携しながら、適切なタイミングと範囲で情報を共有するバランス感覚が求められます。

訂正内部統制報告書の提出

期末日までに是正が間に合わず、開示すべき重要な不備として表明することが確定した場合、または過年度の内部統制報告書に遡って訂正が必要となった場合には、内部統制報告書の修正や訂正内部統制報告書の提出が必要になります。

訂正内部統制報告書には、不備の内容、是正されない理由、財務報告に係る内部統制が有効でない旨を記載します。この開示は投資家向けの重要情報であるため、記述の正確性、説明の十分性、再発防止策の具体性が問われます。曖昧な記述や形式的な対応策の列挙では、市場からの信頼回復にはつながりません。

過去に開示すべき重要な不備を表明した会社の多くは、翌年度の内部統制報告書において付記事項として是正措置の実施状況を記載し、不備が是正された旨を報告しています。重大不備の開示は終わりではなく、信頼回復のスタートライン。組織として継続的に取り組むべき課題として位置づけることが重要です。

再発防止策の継続モニタリング

最後のステップが、再発防止策の継続的なモニタリングです。是正措置を実施しただけで安心するのではなく、その効果が持続しているかを継続的に検証することが、本質的な改善につながります。

内部監査としては、是正された不備について、翌期以降の監査計画に組み込み、定期的にフォローアップを行います。「不備が再発していないか」「是正された統制が引き続き機能しているか」「類似のリスクが他の領域に存在しないか」といった視点で、複数年にわたって監視を続けることが求められます。

再発防止策の継続モニタリングを通じて、内部統制全体のレベルアップを図ることも内部監査の重要な役割です。一つの重大不備を経験することで、組織のリスク意識は高まりますが、時間が経つにつれて記憶は薄れていきます。内部監査が定期的にリマインドし、学びを組織知として定着させることが、企業の持続的な信頼性向上につながります。

2024年改正J-SOXと重大不備対応の変化

2024年4月から、J-SOX(財務報告に係る内部統制の評価および監査の基準)が15年ぶりに大きく改訂されました。重大不備の判定や内部監査の役割にも影響する内容なので、ポイントを押さえておきましょう。

評価範囲決定における重要性の考慮

改正J-SOXでは、評価範囲の決定において、数値基準を機械的に適用するのではなく、財務報告への影響の重要性を総合的に考慮することが明示的に求められるようになりました。

従来の実務では、売上高基準や利益基準といった数値的な目安に基づいて、評価対象の事業拠点や業務プロセスが機械的に決定される傾向がありました。しかし改正後は、不正リスクの存在、過去に開示すべき重要な不備が識別された領域、新規買収した子会社、ITシステムの大規模変更があった部分など、定性的な要素も含めて評価範囲を決定することが求められています。

内部監査としては、年間監査計画の策定時に、これまで以上に幅広いリスク情報を収集し、評価範囲の妥当性を検証する作業が必要になります。形式的に売上規模だけで対象を決めるのではなく、なぜその範囲を選んだのかを定性的な理由とともに説明できる状態にしておくことが、改正後の実務では求められます。

不正リスクへの感度向上

改正の柱のひとつが、不正リスクへの感度を高めることです。経営者は、内部統制を整備運用するにあたって、不正リスクの存在を意識し、識別された不正リスクに対応する統制を設計運用することが、これまで以上に強く求められるようになりました。

不正リスクは、性質上、定常的な業務プロセスのなかでは表面化しにくいものです。経営者や上位管理者による統制無効化、不適切な見積もりや判断、関連当事者取引の偽装、収益認識の操作といった事象は、通常のチェックリスト型の監査では発見しにくい領域に存在します。

内部監査としては、不正の動機、機会、正当化(いわゆる不正のトライアングル)を意識した監査アプローチを取り入れることが効果的です。具体的には、業績プレッシャーが強い時期や事業の転換期、新規子会社の取り込み時など、不正の動機が高まる場面で監査の深度を増す、抜き打ちの監査を実施する、内部通報制度の運用状況を確認する、といった工夫が考えられます。

ITへの対応とサイバーリスク

改正J-SOXでは、IT統制とサイバーリスクへの対応の重要性が改めて強調されました。業務が高度に自動化されシステムに依存している昨今のビジネス環境において、システムが有効に機能しないと、財務報告全体の信頼性が損なわれかねないという認識です。

特に近年は、IT開発やサーバー管理を外部に委託するケースが増えており、ITの委託業務に係る統制(クラウドサービス、SaaS、外部ベンダーへの委託など)の重要性が増しています。委託先が適切な統制を実施しているかを確認することも、利用企業の責任として求められるようになりました。

内部監査としては、IT統制の専門性を高めることが急務です。汎用統制(ITGC)、業務処理統制、変更管理、アクセス管理、バックアップとリカバリーといった領域を理解し、必要に応じてIT監査の専門家を活用することで、システム関連の重大不備を未然に防ぐ体制を構築する必要があります。

まとめ

「重大不備」という言葉は法令上の正式用語ではなく、J-SOX上の「開示すべき重要な不備」を指す慣用的な表現として使われています。とはいえ、内部監査の現場では呼び方以上に、その判定基準、典型的な発生パターン、対応プロセスを正確に理解することが重要です。

ここまで解説してきた内容のうち、明日から動き出せる具体的なアクションをひとつ挙げるなら、自社の年間内部監査計画を見直し、過去の重大不備の事例分析で頻出する4つの領域(全社的な内部統制、決算プロセス、業務プロセスの統制、子会社管理)に十分なリソースが配分されているかを確認することです。リソース配分が偏っていたり、重要領域がカバーされていなかったりするなら、計画の見直しを検討する余地があります。

要点を改めて整理すると以下のとおりです。

• 日本の制度上、内部統制の不備は「不備」と「開示すべき重要な不備」の2区分であり、「重大不備」という法令用語は存在しない

• 不備の判定では金額的重要性と質的重要性の両面から評価し、期末日までの是正状況が結果を左右する

• 重大不備が発生する典型パターンは、全社的内部統制、決算プロセス、業務プロセス、子会社管理の4領域に集中する

• 内部監査部門は独立的評価者として、発見・是正フォロー・経営報告・三様監査連携の各場面で重要な役割を担う

• 重大不備発見後は、是正計画策定、経営者報告、必要に応じて訂正内部統制報告書の提出、再発防止のモニタリングというプロセスを踏む

• 2024年改正J-SOXでは、評価範囲決定における重要性の考慮、不正リスクへの感度向上、IT統制とサイバーリスク対応の重要性が強調されている

重大不備は、起きてしまうと企業の信用と株価に直接ダメージを与える深刻な問題です。一方で、適切に発見し、迅速に是正し、継続的に再発防止に取り組むことができれば、組織としての信頼性を向上させる契機にもなります。内部監査が果たす役割は、こうした重い責任と、組織の成長を支える貢献の両面を持ち合わせています。本記事が、その役割を担う方々の実務の一助となれば幸いです。