J-SOX業務にAIを使う場合の注意点

J-SOX（内部統制報告制度）の実務担当者にとって、生成AIは業務効率化の道具として魅力的に映る。しかし、J-SOX業務は財務報告の信頼性確保を目的とした制度であり、AIの使い方によっては統制の有効性・評価の信頼性・監査法人との関係に影響が生じる。本記事では、J-SOX実務担当者・内部監査担当者が知っておくべき注意点を整理する。

1. J-SOX業務でAIが活用されている場面

J-SOX業務においてAIが実際に活用・検討されている場面には以下がある。

• リスクコントロールマトリクス（RCM）の草稿作成
• 業務プロセスフローの文書化補助
• 評価手続きの文書整理・サマリー作成
• 統制記述書・ナレッジ文書の更新補助
• 評価結果の集計・進捗管理
• 過去指摘事項の整理・対応状況の追跡

2. J-SOXにおける2種類のAIリスク

J-SOX業務においてAIリスクは大きく2種類に分けて考える必要がある。

（A）J-SOX評価業務にAIを使う場合のリスク
評価業務（RCM作成・統制テスト・評価報告書）にAIを使用することのリスク。

（B）業務プロセスにAIが組み込まれた場合のリスク
被評価部門の業務プロセス自体にAIが使われており、それが統制設計・評価スコープに影響するリスク。

区分	リスクの内容	主な対応者
A: 評価業務のAI活用	評価の信頼性・調書の完全性・機密情報管理	J-SOX担当者・内部監査
B: 業務プロセスへのAI組込み	統制設計の変更・評価スコープの見直し	経営管理・情シス・内部監査

どちらも見落とすと、監査法人から評価の妥当性について説明を求められる場面が生じうる。

3. （A）評価業務にAIを使う場合の留意点

RCM・統制記述書の草稿作成
AIを使ってRCMや統制記述書の草稿を作成すること自体は効率化の観点から理解できる。しかし、草稿はあくまで出発点であり、実際の業務プロセス・統制手続きと照合して事実確認・修正を行う必要がある。事実と異なる内容が混入した状態で評価書を確定すると、評価の信頼性が損なわれる。

機密情報の管理
J-SOX評価書・RCM・統制テスト結果等には、業務プロセスの詳細・承認権限・勘定科目・未公表情報が含まれる場合がある。これらを外部の生成AIサービスに入力する前に、自社の情報管理ポリシー・AIツールのデータポリシーとの整合性を確認すること。

監査調書への記録
AI生成の草稿を使用した場合、どのツールをどのように使ったかを記録として残しておくことが、監査法人への説明責任の観点から重要だ。

4. （B）業務プロセスへのAI組込みの影響

業務部門（経理・購買・販売等）の業務プロセスにAIが組み込まれた場合、J-SOX評価に以下の影響が生じる可能性がある。

統制設計の見直し
例えば、仕訳自動化AIが導入された場合、「仕訳承認の統制」はAI処理前のデータ確認統制とAI処理後の例外処理統制の両方を評価する設計が必要になりうる。AI組込み前の統制設計をそのまま適用できない場合がある。

IT全般統制の範囲拡大
AIツールがシステムとして業務に組み込まれた場合、IT全般統制の評価対象にそのシステムが含まれるかどうかを検討する必要がある。

評価スコープの見直し
AIが重要な業務判断（勘定科目の決定・例外承認等）に関与している場合、そのAIの処理の信頼性評価が必要になりうる。

詳細は生成AI規制と内部統制への影響も参照されたい。

5. 監査法人との事前確認

AI関連の統制設計変更・評価スコープの見直しは、監査法人と事前に方向性を確認しておくことが望ましい。評価完了後に「その評価方法では不十分」となるよりも、早期に相談する方が双方にとって効率的だ。

確認すべき事項は以下のとおりだ。

• AI組込みプロセスの統制設計方針
• AIアウトプットをレビューする統制の位置付け
• IT全般統制の評価対象範囲
• 評価調書へのAI活用の記録方法

詳細な管理実務についてはAI管理部門実務ナレッジも参考にされたい。

FAQ

Q1. AIが作成したRCMは監査法人に提出できますか？

AIが草稿を作成したRCMでも、担当者が事実確認・修正を行い、内容の正確性に責任を持てる状態であれば提出できます。重要なのはAIが「作った」かどうかではなく、内容が事実と一致しているかどうかです。

Q2. AIによる異常検知を「統制」として評価できますか？

AIによる異常検知を統制として位置付けるには、そのAIの設計・動作の信頼性評価・誤検知時の対応フロー・定期的なテスト・変更管理が必要です。監査法人と事前に評価方針を確認することを推奨します。

Q3. J-SOX評価にAIを使っていることを開示する必要はありますか？

現時点で法定開示の義務はありませんが、内部統制報告書の作成プロセスの透明性の観点から、監査法人への説明と評価調書への記録は行うべきです。

おすすめ関連記事

• AI規制と内部統制への影響が気になる方はこちら →
• 内部監査でのAI活用が気になる方はこちら →
• 経理業務でのAIリスクが気になる方はこちら →
• 自社のAI管理体制を点検したい方はこちら →

---

企業管理部門AIライブラリ

管理部門向けのAI実務ナレッジを無料公開しています。
企業管理部門AIライブラリを見る →

CFOs LLC 管理部門向けリソース：
- AIガバナンス実務キット（近日公開）
- AI利用規程テンプレート（近日公開）
- AIガバナンス簡易診断（近日公開）

---

本記事は一般的な情報提供を目的としたものであり、個別企業の法務・会計・税務・監査上の判断を示すものではありません。実際の導入・運用にあたっては、最新の公式情報および専門家の確認を行ってください。

本ページには広告・アフィリエイトリンクを含む場合があります。