>
>
最終更新日
監査対応とは何か、その基礎知識から2024年J-SOX改訂の変更ポイント、証跡管理を自動化・効率化する具体的な準備手順まで、情シスや管理部門が押さえるべきノウハウを解説します。
この記事でわかること
監査対応とは何か(内部監査・外部監査の違いを含む)
2024年4月に改訂・適用済みのJ-SOXで情シスに求められる対応
証跡管理を自動化・効率化する具体的な手法
企業規模別(50名未満・50〜300名・300名超)の対応フロー
IT監査で頻出の指摘事項と事前チェックリスト
ツール選定のポイントとスモールスタートの進め方
監査対応とは
監査対応とは、内部監査や外部監査人に対し、自社の業務プロセスが適正であることを証跡をもって証明する一連の活動です。
監査には、自社で実施する「内部監査」と、監査法人などが行う「外部監査(法定監査や任意監査)」があります。特に近年のビジネス環境ではIT統制の重要性が高まっており、システムの操作ログやアクセス権限の管理状況を証明する「IT監査への対応」が、情シスやDX推進部門にとって中核業務のひとつとなっています。
内部監査と外部監査の違い
監査はその目的や実施主体によって大きく2つの種類に分類されます。それぞれの特徴を理解することで、準備すべき資料の優先順位が明確になります。
区分 | 内部監査 | 外部監査 |
|---|---|---|
実施主体 | 社内の監査部門・担当者 | 監査法人、公認会計士、公的機関 |
主な目的 | 業務改善、不正防止、ガバナンス強化 | 財務諸表の信頼性確保、法令遵守の証明 |
法的拘束力 | 任意(社内規程による) | 高い(金融商品取引法や会社法など) |
主な対象 | 業務プロセス全般、リスク管理 | 財務会計、内部統制(J-SOXなど) |
【2024年改訂済み】J-SOX(内部統制報告制度)の変更ポイント
現在の監査を取り巻く環境は、相次ぐ企業不祥事やデジタル化を背景に厳格化しています。2024年4月1日以降開始の事業年度から、約15年ぶりにJ-SOX(内部統制報告制度)が大幅に改訂され、現在は既に適用中です。
この改訂では、従来の「売上高の3分の2」をカバーすればよいという機械的な基準からの脱却が求められ、不正リスクの評価範囲への組み込みが義務付けられました。さらに、クラウドサービス利用に係る外部委託のIT統制やサイバーセキュリティ確保の重要性が明記されたため、情シス部門は従来の財務的インパクトだけでなく、ITリスクマネジメント体制の可視化と説明責任を強く求められるようになっています。なお、2026年現在において追加の監査指針や運用細則が公表されている可能性があるため、金融庁の公式情報を定期的に確認することを推奨します。
▲ 内部監査と外部監査の特徴と役割の違い
監査対応が形骸化・負担増になる原因と課題
監査対応の最大のボトルネックは、証跡の分散と手作業による非効率なデータ収集です。
多くの企業では、監査期間が近づくと通常業務を止めて過去のメールや申請書、操作ログを検索・整理する作業に追われます。このような「その場しのぎ」の対応は、担当者の心理的ストレスを高めるだけでなく、証跡の不備や漏れによる指摘事項の増加を招き、結果としてさらなる再確認作業が発生するという悪循環を生み出します。
スプレッドシート(Excel)による属人化と限界
監査に必要なデータが特定の担当者のPC内や個別のスプレッドシート(Excelなど)に保管されている場合、情報の集約に多大な時間がかかります。
特に情シス部門では、SaaS(Software as a Service)の普及により、アカウントの発行・削除記録や権限変更の履歴が各サービスに分散してしまい、横断的な証跡確認が困難になっているケースが散見されます。関数やマクロを駆使したExcel管理は処理フローがブラックボックス化しやすく、ガバナンスの欠如やデータ改ざんのリスクを招く「よくある失敗パターン」の典型です。
監査報酬の高騰と対応工数増加の悪循環
デジタル税務コンプライアンスの義務化や規制更新により、企業が扱う監査データ量は増加傾向にあります。これに伴い監査業務の複雑化が進み、大手監査法人を中心に監査報酬も上昇しています。(具体的な数値については最新のリポートをご確認ください)
部門間で解釈が異なり資料の出し直しが頻発するような組織では、監査に要する工数が肥大化し、自社のリソースと外部への支払コストの双方が圧迫される深刻な事態を引き起こします。
証跡管理・監査証跡を効率化する具体的な手法
監査証跡の収集にシステム連携や自動化ツールを導入することで、手動の確認ミスをゼロに近づけられます。
監査法人からの信頼を勝ち取るためには、「正しいプロセスで業務が行われたこと」を裏付ける確固たるエビデンス(監査証跡)を、誰でも即座に提示できる状態にしておく必要があります。提示できなければ、監査人の心証は著しく悪化します。
IT監査で求められる監査証跡とは
IT監査において収集すべき代表的な証跡(エビデンス)には以下のものが含まれます。
アクセスログ・ログイン履歴: いつ、誰が、どのシステムにログインしたかの記録
権限変更履歴: アカウントの新規作成、権限昇格、削除が行われた日時と承認の痕跡
設定変更ログ: 基幹システムやインフラの重要な設定が変更された際の履歴とテスト結果
操作動画や画面キャプチャ: 特権IDを利用した重要作業の際の具体的な操作内容
これらの証跡は「改ざんが不可能であること(真正性)」と「即座に検索できること(検索性)」の両立が求められます。
脱Excelと自動化がもたらす効率化効果
属人的な手作業からテクノロジー主導のアプローチへ移行することで、証跡収集にかかる工数を大幅に削減できます。AIベースの監査ツールやデータ分析の活用事例が業界でも増えていますが、導入効果の数値は製品・環境によって大きく異なるため、ベンダー提供の実績データや自社の試算をもとに判断することを推奨します。
自動突合ソリューションやSaaS管理ツール(Adminaなど)を導入した企業では、ブラックリスト定義に基づいて「例外的な操作ログ」のみをシステムが自動抽出するため、従来の人海戦術によるログ目視チェックの工数が激減します。
監査対応をスムーズに進める準備手順と規模別フロー
監査対応の成否を分けるのは、事前のスコープ特定と日常的な自動収集の仕組みづくりです。
準備不足のまま監査に臨むと、予期せぬ指摘によって追加調査が必要になり、かえって工数が増大します。以下に読後すぐ使えるチェックリストと、規模別の対応フローを示します。
監査対応の事前準備チェックリスト
本番の監査開始前(目安として2〜3ヶ月前)に、以下の項目が満たされているかセルフチェックを実施してください。
□ 過去の監査報告書を確認し、前回の指摘事項に対する是正措置が完了しているか
□ 対象となるシステムやSaaSの一覧(インベントリ)が最新状態に更新されているか
□ 退職者や異動者のアカウントが速やかに削除・権限変更されているか(棚卸しの定期的な実施)
□ システムの設定変更やリリース作業において、承認ワークフローの記録が残っているか
□ 監査人から要求された証跡を、速やかに出力・提出できる仕組みがあるか(実務上の目安として3営業日以内を想定した準備が推奨されます。自社の監査人との合意に従ってください)
企業規模別の監査対策アプローチ
企業のフェーズや従業員数によって、求められるIT統制のレベルと最適な対応手法は異なります。以下の規模区分は実務上の目安であり、業種や監査要件に応じて適宜調整してください。
従業員50名未満(スタートアップ期):
まずは情報資産と利用中のSaaSをスプレッドシートやシンプルな台帳で可視化します。「誰が管理画面にアクセスできるか」を把握し、退職者のアカウント削除ルールを文書化して徹底することが第一歩です。従業員50〜300名(IPO準備・成長期):
ツールによる証跡収集の自動化が現実的な選択肢になるフェーズです。Excel管理は限界を迎えるため、IdP(Identity Provider)やSaaS管理ツールの導入を進め、権限の棚卸し作業をシステム化します。J-SOX対応を見据えたワークフローの整備が急務です。従業員300名超(上場企業・大企業):
複数のシステムが複雑に絡み合うため、IT全般統制ツールを用いた全社共通のプロセス統合が必要です。この段階まで来ると、監査人が直接システムを閲覧して完結できる構成が現実的な選択肢になります。透明性の高いプラットフォーム環境の構築が、監査対応コスト圧縮の鍵を握ります。
IT監査への具体的な対策:情シスが取り組むべきポイント
IT監査においては、アクセスコントロールと変更管理の客観的な証明が、監査で最も頻繁に問われるポイントです。
情シス担当者は、単にシステムを安定稼働させるだけでなく、その運用がルールに基づいていることを客観的に証明する責任があります。特に以下の2点は、監査における「頻出事項」であり重点的な対策が求められます。
アクセス権限管理とアカウント棚卸しの徹底
システムの不正利用を防ぐため、適切な権限付与が行われているか、不要なアカウントが削除されているかが厳しく問われます。
入社・異動・退職に伴う権限変更が申請書通りに行われているかを照合する作業(棚卸し)を定期的に実施しましょう。手動での確認はミスが起きやすいため、SaaS管理プラットフォームなどのシステムを活用し、アカウント一覧と権限状況を即座に出力できる状態にしておくのが現実的な対策です。棚卸しの証跡として認められるためには、出力データに日時スタンプと担当者の確認署名が付いていることが求められるケースがあります。
システム変更管理とドキュメントの整合性
プログラムの改修や設定変更を行う際、承認を得ずに実施することは「未承認変更」として重大な指摘事項になります。
変更作業においては、「変更要求(なぜやるか)」「承認(誰が許したか)」「テスト結果(正しく動くか)」「リリース(いつ反映したか)」の一連の流れを紐付けて記録しておく必要があります。Gitなどのバージョン管理システムや、Jiraなどのタスク管理ツールを使い、チケットとソースコードの変更履歴をリンクさせる運用が効果的です。
▲ システム変更管理において証跡が求められる4つのステップ
監査対応を効率化するツールの選び方とSaaS管理のメリット
自社の課題に合ったSaaS管理ツールやログ収集基盤を導入することが、監査工数削減の最短ルートです。
監査対応の効率化には、ログ管理ツール、ワークフローシステム、資産管理ソフトなどが有効です。これらにより証跡の改ざん防止と検索性が向上し、監査人に対しても高い透明性を示すことができます。
ログ管理・SaaS管理ツール一元化の効果
ツールを導入する最大のメリットは、散在する情報を一元管理し、必要な時に即座にレポート化できる点にあります。
例えば、数十種類のSaaSを利用している場合、各サービスの管理画面を個別に開いてCSV形式のログをダウンロードし、手作業で整形・突合するのは極めて非効率です。これらを統合管理するSaaS管理ツール(Adminaなど)を使えば、各SaaSのユーザー利用状況や権限設定をAPI経由で一括収集でき、アカウント棚卸し作業の工数を数日から数時間レベルへと劇的に減らすことができます。
ツール導入時の注意点と小さく始めるコツ
ツールの導入にはコストがかかるだけでなく、現場のオペレーション変更に伴う一時的な負荷が発生します。
「ツールを入れれば全て解決する」と考えるのではなく、まずは自社の業務フローと承認プロセスを整理することが先決です。多機能すぎるツールは運用が定着せず形骸化するリスクがあるため、まずは「直近の監査で指摘された課題(例:退職者のSaaSアカウント削除漏れ)」の解決に特化し、スモールスタートで始められるツールを選ぶことが定着への近道です。
▲ SaaS一元管理ツールによる監査証跡収集のシステム構成
よくある質問
Q:監査対応の準備はどれくらい前から始めるべきですか?
A:対象となる監査の種類によりますが、本番の監査開始の少なくとも2〜3ヶ月前には準備を始めるのが一般的です。過去の指摘事項の洗い出しや、システムのログ保存設定が正しく機能しているかの予備チェックを事前に行う必要があります。
Q:J-SOX改訂後、情シス部門が継続的に対応すべき点は何ですか?
A:2024年4月の改訂により義務化されたクラウドサービスなどの外部委託業務に係るIT統制と、サイバーセキュリティの確保は、現在も継続的な評価が必要です。不正アクセス対策や情報漏洩防止の仕組みが適切に運用・評価されているか、定期的に見直す体制を維持してください。
Q:監査証跡として保存したログの適切な保管期間はどれくらいですか?
A:法令や業界ガイドラインによって異なりますが、一般的には1年から3年程度の保存が推奨されます。会社法(第432条等)における会計帳簿およびその附属明細書に付随するデータとみなされる場合は最長10年の保存が求められるケースもあります(参考:e-Gov 会社法)。自社の法務・監査部門と要件をすり合わせることが肝要です。
まとめ
適切な証跡管理とIT統制の整備は、単に監査をパスするためだけではなく、情報漏洩の防止や業務の標準化による生産性向上に直結します。本記事で紹介した手順やチェックリストを参考に、まずは「直近の監査で指摘された事項」を1つ選び、その証跡が誰でもすぐに取り出せる状態になっているか確認することから始めてみてください。組織のガバナンス強化を通じ、監査対応にかかる時間を最小限に抑え、情シス部門が本来注力すべきコア業務に時間を割ける体制を作りましょう。
今日からできるアクション
✅ 前回監査の指摘事項を1件選び、証跡が取り出せるか確認する
✅ 利用中SaaSのアカウント一覧を棚卸しする
✅ 退職者アカウントの削除ルールを文書化する
✅ システムの設定変更ログが承認記録と紐付いているか点検する
✅ ログの保存期間設定が法令要件(最長10年)を満たしているか確認する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
