近年、内部統制報告制度（いわゆるJ-SOX）に関しては、実務負担の軽減を意識した運用見直しが議論されています。特に中堅・中小上場企業においては、過度な文書化や形式的な統制活動が課題として指摘されてきました。 金融庁の公表資料などでも、リスクベースアプローチの徹底や、重要性に応じた評価範囲の合理化が推奨されています。これにより、従来のような「網羅的にすべてを統制対象とする」考え方から、「重要リスクに集中する」方向へとシフトが進んでいます。 実務上のポイントとしては、まず自社の業務プロセスにおけるリスクの棚卸しを適切に行うことが挙げられます。その上で、統制の目的と手段を明確にし、不要な手続を削減することが重要です。 また、IT統制の高度化も重要なテーマです。クラウドサービスの利用拡大に伴い、従来のオンプレミス前提の統制設計では対応しきれないケースが増えています。ベンダー管理やアクセス権限管理など、新たな観点での統制整備が求められます。 内部統制は「コスト」ではなく「経営インフラ」として捉えることが重要です。効率性と実効性を両立させた運用設計が、今後の

内部監査においては、毎年のように繰り返し指摘される論点が一定数存在します。特に多いのが、「運用と規程の乖離」「証跡の不備」「承認プロセスの形骸化」といった領域です。 まず、規程と実務の乖離は、組織の成長スピードに内部統制が追いついていない場合に発生しやすい傾向があります。業務が変化しているにもかかわらず、規程や業務フローが更新されていないケースです。この状態では、統制が「守られていない」のではなく、「現実に合っていない」ため、結果として指摘につながります。 次に、証跡管理の不備です。承認や確認が実施されていても、その記録が残っていない場合、監査上は統制が機能しているとは評価されません。特に紙運用や口頭承認が残っている企業では、この点がボトルネックになりやすいと考えられます。 また、承認プロセスが形式化しているケースも多く見られます。承認者が内容を十分に確認せずに承認している場合、実質的な統制としては機能していません。この点は、承認者の役割認識と負荷設計の両面から見直す必要があります。 未然防止の観点では、「監査対応としての統制」ではなく、「業務の