ブログ料金FAQ
資料ダウンロードデモを体験するデモ動画を見る無料デモを予約ログイン

お電話: 03-6629-3846(平日 10:00–18:00)

活用事例経営管理内部監査J-SOX

J-SOX の3点セット(業務記述書・フローチャート・RCM)が財務報告内部統制の要求を満たしているか AI にチェックさせてみた

販売プロセスの業務記述書・フローチャート・RCM(リスクコントロールマトリクス)を、財務報告内部統制の評価及び監査に関する実施基準と照合。キーコントロールの識別漏れや文書間のリスクID不整合を、根拠つきで事前に発見しました。

ININDX 編集部プロダクトチーム8分で読めます
内部統制のフロー図、監査バインダー、リスク管理資料が並ぶ監査準備テーブル

「3点セット(業務記述書・フローチャート・RCM)を作ったけれど、財務報告内部統制の整備・運用評価の観点でちゃんと網羅できているか、監査人に指摘される前に自分たちで確認したい——」。 J-SOX の整備評価期に毎年直面するこの悩みを、INDX Compliance で実際に解いてみました。本物の操作画面とともにご紹介します。

背景

「3点セットの整合チェック」は、なぜこんなに大変なのか

ある上場企業の経営管理部門が、J-SOX(金融商品取引法に基づく内部統制報告制度)の整備評価に取り組んでいました。毎年のことではあるものの、担当者を悩ませるのが「3点セットの網羅性と整合性の確認」です。

業務記述書・フローチャート・RCM(リスクコントロールマトリクス)の3文書は、それぞれが独立して作られていることが多く、リスクIDの名称が文書間でズレていたり、キーコントロール(KC)のフラグが漏れていたりすることが少なくありません。財務報告内部統制の評価及び監査に関する実施基準を何十ページも読みながら、担当者が目視で突き合わせるのが実態でした。

問題は整備評価だけではありません。経営者評価・監査人レビューのたびに指摘が来て、その根拠となる評価基準の原文を都度探して説明する手間も重なります。「なぜこの統制でよいのか」「どの評価基準を根拠にしているのか」を後から示せる仕組みが、ずっと欲しかったと言います。

ぶつかっていた課題

  • 3点セットの整合確認に1プロセスあたり2〜3日かかり、全社分では整備評価期に丸2週間を費やしていた
  • キーコントロールの識別漏れや、RCMとフローチャートの統制ポイントの不整合を見落とし、監査人から指摘されるリスクがあった
  • 財務報告内部統制の実施基準・評価ガイドラインとの対応箇所を目視で探すため、担当者の経験・知識に依存していた
  • 監査人への説明のたびに根拠条文を再収集する必要があり、説明コストが高かった
  • 担当者の異動で確認観点がぶれ、年度によって品質が変わってしまっていた
01やってみた

3点セットをアップロードして、確認したいことを日本語で伝えるだけ

まず、難しい設定は一切しません。「販売プロセスの3点セットが、財務報告内部統制の整備・運用評価の要求を満たしているか確認したい」と、日常の言葉で入力しました。業務記述書・フローチャート・RCMの3ファイルをドラッグ&ドロップでアップロードすると、AIが確認すべき手順(チェックの観点)を自動で組み立ててくれます。

app.indx-compliance.com/start/draft

あなたが入力した指示(自然文でOK)

「販売プロセスの3点セット(業務記述書・フローチャート・RCM)が、財務報告に係る内部統制の整備・運用評価の要求を満たしているか確認したい。リスクと統制の対応、キーコントロールの記載漏れを根拠つきで洗い出して。」

AI がチェック手順を自動生成draft · 4 ステップ

対象文書(3点セット)

  • 販売プロセス 業務記述書 v2.xlsx業務記述書
  • 販売プロセス フローチャート.pdfフローチャート
  • 販売プロセス RCM 2026年度.xlsxRCM

  1. 013点セットをアップロード・取り込み

    業務記述書・フローチャート・RCM(リスクコントロールマトリクス)を対象文書として取り込み

  2. 02財務報告内部統制の要求と照合

    金融商品取引法・評価基準・経営者評価ガイドラインとの整合・網羅性をAIが判定

  3. 03判定根拠と整合箇所の検証

    RCM上のリスクIDと業務記述書・フローチャートの記載が連動しているかを実在チェック

  4. 04内部監査担当による最終確認

    要確認・不適合の指摘だけを内部監査担当にルーティング、承認/差戻しを記録

画面①アップロードした3点セットと、入力した自然文の指示から、AIが「文書取り込み → 実施基準との照合 → 判定根拠の検証 → 内部監査担当の最終確認」という4ステップの手順を自動生成。対象文書と手順を確認して保存するだけ。

プログラミングの知識も、複雑なルール設定も不要です。生成された手順は中身を確認して修正でき、一度作れば翌年度以降の整備評価でも同じ観点で繰り返し使えます。プロセスが変わったときは対象文書を差し替えるだけで、同じワークフローが走ります。

02やってみた

実行すると、観点ごとに「根拠つき」で適合・要確認・不適合が並ぶ

手順を保存して実行すると、AIが実施基準・評価ガイドラインの要求事項と3点セットを1観点ずつ照合します。結果はこの1画面に集約されます。ポイントは、すべての判定に「どの評価基準の・どの条項が根拠か」が必ず添うこと。AIの言い分を鵜呑みにせず、人が原文で確かめられます。

app.indx-compliance.com/runs/run_jsox-2026-04
J-SOX 内部統制文書点検販売プロセス(3点セット)

財務報告内部統制 実施基準 / 経営者評価ガイドライン と照合

3点セット 網羅性・整合性チェック

2026-04-25 実行 | 8 観点

根拠つき

4

適合

2

要確認

2

不適合

適合 50%
  • 判定の根拠財務報告に係る内部統制の評価及び監査に関する実施基準 p.14

    評価対象とした統制活動のうち、財務報告の信頼性に重要な影響を与えるキーコントロールを識別し、記載することが求められる。キーコントロールのない統制プロセスは整備状況の評価対象として不十分と判断される。

    照合した評価基準
    財務報告に係る内部統制の評価及び監査に関する実施基準
    原文との照合
    実施基準と不整合の疑い
    AIの自信度
    91%

    RCM上の「承認統制」行に KC フラグ列が存在せず、キーコントロールの識別が未記載。評価基準との不整合。

画面②適合4 / 要確認2 / 不適合2 を一覧で。行をタップすると、判定の根拠となった財務報告内部統制 実施基準の原文(ハイライト箇所)と、3点セットの不整合理由がその場で開きます。実際に行をタップして試せます。

今回AIが見つけたのは、「キーコントロール(KC)がRCM上で識別されていない」「業務記述書とRCMのリスクIDが不整合」の2件の不適合。どちらも監査人から指摘されやすい典型的な整備不備です。人手では見落としていた可能性が高い箇所を、根拠つきで事前に拾えました。

03やってみた

人は「要確認・不適合」だけを見て、差戻しと最終承認を判断する

AIが適合と判定した4観点は、根拠つきなので素通しで確認できます。人が頭を使うのは、要確認2件と不適合2件の、合わせて4件だけ。担当者は不適合だった2件を文書担当者に差戻し、修正・再提出されたRCMをもとにAIを再実行して、最終的に全観点を承認・確定しました。

app.indx-compliance.com/runs/run_jsox-2026-04/review

最終レビュー(人が確定)

不適合キーコントロール(KC)がRCMに未識別

実施基準は「財務報告の信頼性に重要な影響を与えるKCを識別・記載」することを要求。RCMに KC フラグ列がなく、整備状況評価の要件を満たさない。文書担当へ修正を依頼。

人が見るのは要確認・不適合の4件だけ。適合4件は根拠つきで素通しでき、判断に集中できます。

監査ログ(改ざん不可)

  1. 09:42AI

    8観点を判定(適合4 / 要確認2 / 不適合2)

    hash d4c1…7e

  2. 10:05内部監査部 統制評価担当 渡辺

    「KCがRCM上で未記載」「リスクIDの不整合」の2件を差戻し(文書担当へ修正依頼)

    hash a8f2…3b

  3. 13:30経営管理部 内部統制担当 佐々木

    RCMにKCフラグ列を追加・リスクID体系を統一して再提出。AI再実行、適合に変更

    hash e1b9…4f

  4. 13:32内部監査部 統制評価担当 渡辺

    全8観点を承認・確定(2026年度 販売プロセス 整備評価 完了)

    hash c3a7…d2

画面③左:内部監査担当が確認するのは要対応の項目のみ。差戻し理由を直接入力して通知できます。右:AIの判定から人の承認・差戻しまで、すべての操作が改ざん不可のログに自動で残ります。

一連の操作・判断はすべて改ざんできない監査ログに記録されます。「いつ・誰が・何を・どの根拠で判断したか」が後から完全にたどれるので、外部監査人への説明もそのまま使えます。経営者評価報告書の作成時に根拠を再収集する必要がなく、証跡として即座に提示できるのが大きな安心材料でした。

できたこと

結果:整備評価が2週間から2日に。指摘ゼロで監査を通過

目視で2〜3日かかっていた1プロセスあたりの整合確認が、わずか数時間で完了しました。全プロセス分の整備評価期間も従来の2週間から2日に短縮。何より、KCの識別漏れとリスクIDの不整合を監査人に指摘される前に自分たちで拾えたことが、担当者にとって一番大きな変化でした。監査人レビューで不備の指摘ゼロで整備評価期を終えたのは初めてのことです。

2週間→2日
全社 整備評価期間

観点設定〜最終確定まで

100%
判定に根拠がついた割合

実施基準の原文を即確認

不備指摘ゼロ
外部監査人からの指摘件数

整備評価フェーズ完了

この事例のポイント

  • 3点セットのアップロードと自然な日本語の指示だけで点検が始まる。専門知識もプログラミングも不要。
  • すべての判定に財務報告内部統制 実施基準の原文という根拠が添うので、AIを鵜呑みにせず人が確かめられる。
  • 人が見るのは要確認・不適合だけ。判断に集中でき、KCの識別漏れや文書間の不整合を見落としにくくなる。
  • 操作・判断は改ざん不可のログに残り、外部監査人への説明・経営者評価報告書の根拠としてそのまま使える。
まとめ

3点セット・規程・申請——「評価基準との照合」はすべて同じ形で

今回はJ-SOX 整備評価の3点セット点検の事例でしたが、INDX Compliance の使い方はどれも同じです。「ものさしになる文書(実施基準・評価ガイドライン・上位規程)」と「確認したい文書(業務記述書・フローチャート・RCM)」を渡し、根拠つきで突き合わせる。ISO 内部監査の事前点検、社内規程の適合性確認、契約書レビュー——ルールとの照合が発生するあらゆる業務に、同じ手順がそのまま使えます。整備評価から運用評価、さらには年度をまたいだ継続的なモニタリングまで、一度作ったワークフローを使い回すことで、J-SOX 対応全体を仕組みで回せるようになります。

あなたの業務でも、まず1つの文書から試せます。

お手元の規程・契約書・申請書をお持ちいただければ、実際の判定画面でデモいたします。 閉域環境・オンプレ設置にも対応します。

資料を無料ダウンロード無料デモを予約する

ほかの活用事例

一覧を見る
活用事例
社内規程コンプライアンス部門ISO/Pマーク

新しく作った社内規程が、上位規程や法令とズレていないか AI にチェックさせてみた

改定したばかりの「情報セキュリティ管理規程」を、上位の基本規程・就業規則・個人情報保護法と突き合わせ。どの条文がどこと矛盾しているかを、根拠つきで AI に洗い出してもらいました。

規程レビュー 2週間 → 半日。見落としもゼロに
8読む
活用事例
知財部特許出願記載要件

特許出願前の明細書が、特許法の記載要件と社内ガイドラインを満たしているか AI にチェックさせてみた

出願直前の明細書を、特許法第36条の記載要件・特許庁の様式・自社の出願ガイドラインと突き合わせ。請求項のサポート要件や明確性の不備を、根拠つきで AI に洗い出してもらいました。

出願前チェック 3日 → 1時間。記載不備の差戻しを未然に防止
8読む
活用事例
製造品質保証部ISO 9001

ISO 9001 内部監査の事前点検を AI に任せてみた——品質マニュアルと手順書の抜けを先回りで

品質マニュアルと各部門の手順書が ISO 9001:2015 の箇条4〜10の要求事項を満たしているかを、内部監査の前に AI で一次点検。是正処置や内部監査の規定漏れを根拠つきで検出しました。

監査準備 1週間 → 2時間。要求事項の抜けを事前に可視化
8読む

製品資料 3 点セットを無料ダウンロード

無料DL