目次1.内部統制基準(改訂)はガバナンスの再設計の要求
2023年の内部統制基準・実施基準の改訂(2024年4月1日以後開始事業年度から適用)(以下、改訂J-SOX)は、単なる用語修正や評価手続きの微調整ではありません。
金融庁・企業会計審議会の議論や、監査法人・内部監査協会などの解説を総合すると、次の3点が明確になっています。
1.「財務報告の信頼性」から「報告の信頼性」へ
非財務情報も含め、組織内外への報告全体の信頼性が内部統制の目的として再定義された(法制度上のJ-SOXは引き続き財務報告が対象)
2.評価範囲の甘さ・形式化への強い問題意識
評価範囲外の拠点・プロセスから「重要な不備」が繰り返し発生してきた現実を前提に
- 長年評価対象外としてきた拠点の再点検
- 評価範囲の決定根拠の明示
- 評価範囲外から不備が出た場合、当該会計期間以降は評価範囲に含めることが「適切」と明記
などが求められています。
3.不正リスクとITリスク対応の比重が大きくなった
不正リスク(動機・機会・正当化)やサイバーリスク、IT委託・システム変更への対応が、内部統制の核心的テーマとして位置づけ直されています。
つまり、改訂J-SOXでは
この要求事項を「経理・内部統制部門の実務の話」として矮小化してしまうか、
それとも「経営・取締役会のガバナンスの話」として正面から受け止めるかで、その後の信頼性と競争力に大きな差が出ると考えられます。
2. Excel依存は、もはや「安上がり」ではなく経営リスクである
以前から、IT業界では「脱Excel」「Excel依存の危険性」という言葉が提唱されてきました。多くの方々は、ITベンダーが自社のIT製品を売るためのPR文句として聞き流していました。そうした目的のITベンダーもゼロではありませんが、社会的な価値を真剣に考えているITベンダーは、社会の変化を察知し、脱Excelが経営の重要課題であることを認識し、真剣に提唱しています。
その理由は、Excelを表計算ソフトではなく業務システムとして利用することによる生産性・効率性の問題や、国際的にも証跡として説明できない問題など、ビジネス環境がExcel管理ではなく証跡管理が可能なシステムへの移行を求めているためです。
多くの日本企業では、内部統制の評価・チェック・不備管理・是正フォローまで、いまだにExcelとメールが中心です。これは一見、追加投資のいらない「合理的な選択」に見えますが、改訂J-SOXや近年の不正事例を踏まえると、経営目線では明確なリスクとなっています。 これは改訂J-SOXに限ったことではなく、電子帳簿保存法などの法的要求やISOなどの国際標準規格の要求など、ビジネスの周辺環境が証跡管理できるシステムを求めています。要は、Excelの本質である表計算ソフトとして活用し、業務は証跡管理可能なシステムを利用するというだけのことです。
● 証跡が残らない=「やったことを証明できない」
内部統制は「やっているかどうか」以上に、「いつ、誰が、何をし、どう承認されたか」を後から説明できるかどうかが問われます。
経営側には株主や顧客も含めた利害関係者(ステークホルダー)と社会に対する説明責任が問われることは承知の通りです。
本質的にExcel管理には次のような限界があります。
- 編集履歴は容易に消せる
- 版管理がバラバラになりやすい
- 誰がどのタイミングで修正したか、システム的に保証できない
改訂実施基準は、「大量の情報を扱う状況で、システムが情報の信頼性確保に有効に機能していること」が重要であると明記しています。
Excel単体で内部統制の証跡を完結させようとする運用は、証跡性・再現性の観点から、経営として擁護しづらい状態(説明責任を果たせない状態)になっています。
● 不正リスクに弱く、経営陣の説明責任を弱める
改訂J-SOXでは、不正リスクへの対応が内部統制の中心テーマとして位置づけられました。
Excel単体では、
- アクセス権限が人的な管理ベースであり、ミスを起こしやすい
- ファイルのコピーや改ざんが容易である。
- ログが残らない/追跡が難しい
という弱点があります。
不正が発生した際、投資家・監督当局・監査役会に対して、
「統制は適切に設計・運用していた」
と説明するには、Excelではあまりに心許ないと言わざるを得ません。
● グループ全体のガバナンスを弱体化させる
大手監査法人などが公開する実務レポートでは、今回の改訂対応を、グループ・ガバナンス強化とセットで捉えるべきだと指摘しています。
ところが、各社・各拠点が独自のExcelで内部統制を管理している状態では、
- どの子会社・拠点が高リスクなのか
- 不備の是正状況がどうなっているのか
- 重大な環境変化がどこで起きているのか
といった情報が、経営の目線で“見えない”ままになります。
これは、ガバナンスコードや、自社のサステナビリティ方針で掲げている「グループ全体のガバナンス強化」にも反します。
● 「安上がり」に見えて、じつは高くつく
Excelは「無料」に見えますが、実際には、
- シート作成・修正にかかる時間
- 監査のたびに行う資料作成・再提出
- 転記ミス・集計ミスの修正
- システム障害や人事異動時の引き継ぎコスト
など、目に見えない人件費とリスクコストが膨らんでいます。そのことに気がついている方々が多いのですが、過去から続くオペレーションや、一旦業務プロセスに組み入れてしまうと変えるのが難しいという結果に陥りがちです。
これらを総計すると、
- 専用の内部統制支援ツールを利用
- バグトラッキングツールを利用
(例:ONES ProjectやNotionなど)
これらのツールを利用するためのコストよりも潜在的なコストの方がはるかに高額になっているケースは少なくありません。
3. 改訂対応を「コスト」で終わらせないための、3つの経営判断
改訂J-SOXへの対応は、「どのツールを入れるか」というIT選定の前に、経営としての方針を明確にすることが重要です。ここでは、経営層が意思決定すべき3つのポイントを整理します。
● 「脱Excel」をガバナンス方針として明文化する
まず必要なのは、現場任せの“なんとなく脱Excel”ではなく、ボードレベルの方針として位置づけることです。
たとえば、
- 内部統制基本方針
- コーポレートガバナンスに関する基本方針
- グループIT・DX戦略
- 情報セキュリティポリシー
のいずれかに、次のような文言を明示的に盛り込むことが考えられます。
「財務報告に係る内部統制および重要な業務プロセス管理について、
属人的に運用されるExcelファイルへの依存を最小化し、証跡性・再現性の確保された仕組みへの移行を推進する。」
これにより、現場は初めて「Excelから離れてもよい」心理的安全性を得られます。
● グループ共通の「内部統制・リスクトラッキング基盤」を整える
次に、グループ全体で統一的に利用できるプラットフォームを定めることが重要です。
- 統制項目・評価結果・不備・是正状況を一元管理
- 拠点ごとのリスク状況をダッシュボードで可視化
- 不正リスクやITリスクに関する情報を蓄積・分析
といった仕組みを、Excelではなくシステムで対応することで、「見える化」と「継続的モニタリング」が可能になります。
そして、すべてを自分たちで内製する必要はありません。
既存のプロジェクト管理/タスク管理ツール・内部統制専用ツールなどを組み合わせた現実的な選択肢はいくつもあります。
重要なのは、「ツールを単体で導入する」のではなく、「ガバナンス基盤としての位置づけ」で導入することです。
● KPIとモニタリングを「取締役会のアジェンダ」に載せる
脱Excelを進めても、「部門や担当に指示のみ」で終われば元に戻ります。
本当に目的を達成するためには、取締役会・監査等委員会レベルでモニタリングすべきKPIを設定します。
例として
- 内部統制関連の主要プロセスにおけるExcel依存比率
- 不備の発見から是正完了までの平均リードタイム(シュミレーション、有事訓練など)
- 評価範囲の見直し件数と、その理由(組織再編・新規事業・IT変更など)
- 子会社・拠点別の不備発生件数と是正状況
これらを年1回の「報告会」で終わらせるのではなく、
半期ごと・四半期ごとにモニタリングし、必要に応じてリソース配分や方針の見直しを行うことが、改訂J-SOXの精神に合致します。
つまり、マネジメントシステムとして組織機能として定着をさせることが望ましい姿です。
4. 脱Excelがもたらすリターンはコスト削減だけではない
経営視点で見ると、脱Excelは「内部統制コストの増加」ではなく、複数のリターンをもたらす投資と考えてください。
● 監査対応コスト・手戻りの削減
- エビデンスがシステムに一元化される
- ログや承認履歴が自動で残る
ことで、監査人とのやり取りは大幅に簡素化されます。
監査法人側も、Excel・メール運用に比べ、合理的な検証手続きが取りやすくなるため、追加要求や手戻りが減少します。
● 不正・不祥事対応における説明責任の強化
万が一、不正や重大な不備が発生したとしても、
- 統制設計と運用状況
- 不備発見後の対応プロセス
- 経営層への報告と意思決定の記録
がシステム上に残っていれば、投資家・監督当局・社会に対して、「なすべきことはしていたのか」を説明できる余地は格段に広がります。
● グループ・ガバナンスとDXの“共通土台”になる
内部統制の仕組みをExcelから解放し、プラットフォーム化することは、そのまま
- グループ経営管理
- リスクマネジメント
- 事業ポートフォリオ管理
- DX推進
の“共通土台”になります。
国際的な大手監査法人などが指摘する「数値基準撤廃」「非財務情報の内部統制」「グループガバナンス強化」といった中長期的課題への対応も、同じ土台の上で進めることが可能になります。
5.おわりに 〜脱Excelは目的ではない〜
これまでの説明は、脱Excel=Excelを否定しているということではありません。 社会的な要求事項の変化に対して、過去のやり方では不十分になっていることに気づき、適切に対応することが経営責任として求められていることを説明しています。 現在では、電子帳簿保存法などの法的要求や、国際標準規格(ISO関連)の要求事項など、同様の証跡管理が求められていることは言うまでもありません。
真の経営リスクを考慮せず、「見えるコスト」を徹底的に削減するという、経営戦略なきIT戦略は、潜在的な経営リスクや多大な潜在コストを支払っていることを忘れてはなりません。
イノベーションに関するさまざまな組織の課題を解決する資料を無料公開
株式会社システムコンシェルジュでは、編集履歴が自動的に記録されるプロジェクト管理ツール「ONES Project(ワンズプロジェクト)」など、組織の持続的な成長に必要なITツールを紹介する資料を無料公開しています。
資料ダウンロード
