組織のガバナンスと監査 — 内部統制から情報セキュリティ監査まで

導入

大手企業の不正会計や情報漏洩事件が報じられるたびに、「なぜ社内で誰も気づかなかったのか」という疑問が浮かびます。その答えの多くは、組織を正しく統治する「ガバナンスの仕組み」が機能していなかった点に行き着くのではないでしょうか。

くわしく知ろう

コーポレートガバナンス（企業統治）とは、取締役会・監査役・株主といった関係者が経営を適切に監視・牽制することで、企業が健全に運営されるよう統治する仕組みを指します。経営者の暴走や不正を未然に防ぎ、中長期的な企業価値を守ることが目的です。

デジタルガバナンスコード（DGC）は、経済産業省が策定したDX推進ガイドラインに相当するもので、企業がデジタル技術を活用して持続的な成長を実現するための行動指針をまとめたものです。

内部統制とは、組織が自らを正しく律するための仕組みで、4つの目的と6つの要素で構成されています。4目的は「業務の有効性・効率性」「財務報告の信頼性」「法規制の遵守」「資産の保全」です。6要素は「統制環境」（組織風土・倫理観）、「リスク評価」（脅威の特定と分析）、「統制活動」（リスクへの対応として設けた方針や手続き）、「情報と伝達」（情報共有の仕組み）、「モニタリング」（継続的な監視）、「ITへの対応」（IT活用と管理）です。

J-SOX（金融商品取引法の内部統制報告制度）は、上場企業に対して財務報告に関わる内部統制の有効性を評価し、監査を受けることを義務づける制度です。不正会計を防ぐ財務報告の信頼性確保が主目的です。

監査には主に3種類があります。システム監査はIT環境全般（システムの安全性・信頼性・効率性）を評価するもの、情報セキュリティ監査は情報セキュリティに特化して機密性・完全性・可用性を検証するものです。AI利活用に関する監査では説明可能性・公平性・透明性の観点が重視されます。いずれも監査人の独立性が前提となっており、被監査部門との利害関係がないことが求められます。

具体例

たとえば大手製造業のJ-SOX対応では、基幹システムへの変更管理プロセスが監査対象となります。変更申請・承認・テスト・本番移行の各工程に証跡（ログや承認記録）が残っているか、また開発担当者が本番環境を操作できない職務分離が徹底されているかを、独立した監査人が評価します。

まとめ・試験ポイント

• コーポレートガバナンス＝取締役会・監査役・株主による経営の監視と牽制の仕組み。DGC（デジタルガバナンスコード）はDX推進のための行動指針（経済産業省策定）
• 内部統制の4目的＝業務の有効性・財務報告の信頼性・法規制の遵守・資産の保全
• 内部統制の6要素＝統制環境・リスク評価・統制活動・情報と伝達・モニタリング・ITへの対応
• J-SOX＝上場企業に財務報告の内部統制評価と外部監査を義務づける制度（金融商品取引法に基づく）
• システム監査＝IT環境全般が対象、情報セキュリティ監査＝機密性・完全性・可用性に特化
• AI監査の主な観点＝説明可能性・公平性・透明性

※本コンテンツは2026年3月公表の改定案 Ver.1.0 に基づく暫定版です