• 更新日 : 2024年7月12日

J-SOX法(内部統制報告制度)とは?目的や対応の進め方・改正のポイントをわかりやすく解説【テンプレート付き】

上場企業は、金融商品取引法に基づく内部統制報告制度への対応が必要となります。この内部統制報告制度が、いわゆるJ-SOXです。2002年7月にエネルギー大手企業のエンロンや通信大手企業のワールドコムの粉飾決算を受けてサーベンス・オクスリー法(通称SOX法)がアメリカで制定されました。日本でも同様に上場企業の粉飾決算等が問題となったことから日本版SOX法(いわゆるJ-SOX)が2006年6月7日に金融商品取引法が成立した際にJ-SOXとして導入されて、2008年4月1日以後に開始する事業年度から導入されたのです。

本記事では、J-SOX法について詳しく述べていきます。

J-SOX法(内部統制報告制度)とは?

J-SOX法(内部統制報告制度)とは?目的や対応内容、会社法との違いについて解説
J-SOXとは、内部統制報告制度のことを指します。内部統制は上場企業が財務報告を行う際、組織が適切にコントロールされているかを確認しています。なかでも、事業年度ごとの財務報告の内部統制について決められているのが、J-SOX法です。

J-SOXは、冒頭でも述べたとおり、2002年7月にアメリカ政府が制定した「企業改革のための法律SOX法」をお手本にしたものです。SOX法の名前は、法案を提出した2人の議員の名前から取った「サーベンス・オクスリー法」を略した言葉で、日本では、Japan(日本)のSOX法であることから「J-SOX法」と呼ばれています。

以下では、J-SOXの目的と対象企業について説明します。

J-SOXの目的

アメリカのSOX法は、不正会計事件をきっかけに生まれた法律であることから、投資家の利益を守ることと、企業の会計および財務報告の信頼性を高めることを目的に成立しました。

SOX法もJ-SOX法も、内部統制という概念の位置づけとしては、「財務報告においての信頼性」であり、不正会計を防ぐことを目的としています。

具体的には、企業の事業活動と経営実績を反映させる財務報告において、内部統制の評価基準を明らかにして、適正な基準を定めることを狙いとしています。

J-SOXの対象企業

J-SOX法の対象は、金融商品取引所に上場している企業の本社および子会社や関連会社、在外子会社、外部委託先などもすべて含みます。いずれも上場企業である場合は、共に内部統制を行います。

ただし、本社が上場企業でも、子会社が非上場企業で連結しているケースでは、本社が子会社の分も内部統制を行いますが、子会社の自社評価は不要になります。連結ベースで決算を行う場合は、どこまで統制が必要であるか、気を付けなくてはなりません。

実際にJ-SOX対応を進めていくにあたり、フローチャート・業務記述書・リスクコントロールマトリックスを作成する必要があります。これらのサンプルを含んだ「J-SOX3点セット攻略ガイド」はこちらのリンクから無料でダウンロードできます。

J-SOX法の特徴

J-SOX法(内部統制報告制度)とは?特徴や対応の進め方をわかりやすく解説
J-SOX法の特徴は主に以下の4つがあります。

  • トップダウン型リスクアプローチを採用している
  • 不備区分を簡素化している
  • ダイレクトレポーティングを導入していない
  • 内部統制監査と財務諸表監査を一体的に実施している

J-SOX法はアメリカのSOX法と異なり、簡素化されているため、効率的な内部監査が可能となります。J-SOXの特徴をそれぞれ詳しく解説します。

トップダウン型リスクアプローチを採用している

トップダウン型のリスクアプローチは、内部統制を評価する方法の1つです。内部統制の効果を評価し、その結果から、重要な財務報告に影響を与える可能性のあるリスクに焦点を当て、必要な業務に絞り込んで評価します。

個々の業務を1つ1つ評価するのではなく、総合的な判断から必要な業務を選別する方法を採用することで、企業の負担を軽減し、効率的な内部統制の設計と運用ができる点がメリットです。

不備区分を簡素化している

J-SOXの不備区分は「開示すべき重要な不備」と「不備」の2つですが、アメリカのSOX法は「重要な欠陥」「不備」「軽微な不備」の3つにわかれています。

アメリカのSOX法に比べて、J-SOX法は簡素化されている点が特徴です。簡素化することで、本社だけではなく、子会社や関連会社などを含めた評価する時間や負担を抑えられる点がメリットです。

ダイレクトレポーティングを導入していない

ダイレクトレポーティングとは、アメリカで一般的な方法で、監査人が内部統制の有効性を評価するものです。しかし、方法には問題点があり、多くの作業が必要で、場合によっては評価が二重に行われることがあります。

一方、J-SOX法では、経営者が内部統制の評価結果をまず報告し、結果を監査人が監査する方法を採用しています。アメリカとは違い、評価の重複を避けられる点がメリットです。

内部統制監査と財務諸表監査を一体的に実施している

内部統制監査と財務諸表監査は、同じ監査人が行い、一体的に実施しています。監査で得た情報はお互いに共有可能です。

内部統制報告書は通常、財務諸表監査報告書と一緒にまとめて提出します。監査を統合的に実施し、情報を共有することによって、信頼性を向上させたり、監査の効率を高めたりすることが期待されています。

そもそも内部統制とは

内部統制が求められるようになったのは、近年の社会的背景が絡んでいます。企業のリコール隠しや表示偽装、粉飾決算などが起きているのは、経営者および従業員の責任意識の低下や欠如によるものです。

以下では、「内部統制の定義」「4つの目的」「6つの基本的要素」について説明します。

内部統制の定義

内部統制とは、「経営者が会社を効率的かつ、健全に事業活動を運営するための仕組み」のことを指します。内部統制を整えることで、社内で起きる可能性がある不祥事の防止につながります。不祥事が未然に防げれば、日々の業務が効率的になり、資産を安全に取り扱うことができるのです。

上述のような企業のリコール隠しや表示偽装、粉飾決算といった不祥事は、社会全体に与えるマイナス的な影響が大きいといえます。そのため、企業の不祥事を未然に防ぐための管理体制が必要とされるようになったのです。

内部統制の4つの目的

内部統制には、4つの目的があります。4つの目的は、合理的な保証を得るために、組織内ですべての人が遂行するためのプロセスです。

  • 業務の有効性および効率性
    事業活動の目的の達成のため、業務の有効性および効率性を高めること
  • 報告の信頼性
    サステナビリティなどの非財務情報を含めた、利害関係者に対して信頼性の高い情報を提供すること
  • 事業活動に関わる法令などの遵守
    事業活動に関わる法令やそのほかの規範の厳守を促進すること
  • 資産の保全
    資産の取得、使用および処分が正当な手続きおよび承認のもとに行われるよう資産の保全を図ること

参考:財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)

内部統制の目的は、相互に関連しています。経営者は目的を達成するために、プロセスを整備して適切に運用していくことが求められます。

内部統制の6つの基本的要素

内部統制は、以下の6つの基本的要素から構成されています。

  • 統制環境
  • リスクの評価と対応
  • 統制活動
  • 情報と伝達
  • モニタリング
  • ITへの対応

内部統制の目的を達成するために、経営者は6つの基本的要素が組み込まれたプロセスを整備して、適切に運用していかなければなりません。6つの基本的要素については、以下の記事で詳しくお伝えしています。

関連記事:「内部統制とは?4つの目的や6つの基本的要素を分かりやすく解説

J-SOX法と会社法の違い

J-SOX法と会社法は、内部統制を求める法律です。対象企業や目的、対象者をはじめ、ほか内部統制の自己評価、文書化と開示、および監査の主体や結果など、異なる箇所があります。なかでも、最も大きな違いは、罰則規定の有無です。J-SOX法には罰則規定が設けられていますが、会社法には罰則はありません。

比較をまとめると、以下のようになります。

J-SOX法会社法
目的財務報告書の信頼性確保業務の適正確保
対象企業上場企業と連結子会社大会社と委員会設置会社
対象者経営者(当該会社)取締役会
構築実施基準善管注意義務等ベース(具体的規定なし)
内部統制の自己評価明文規定あり明文規定なし
文書化と開示内部統制報告書事業報告
監査の主体内部統制報告書を外部監査人(監査法人・公認会計士)が監査事業報告書内容を監査役・監査委員会が監査
監査結果内部統制監査報告書監査報告書
罰則内部統制報告書が提出されない場合や、内部統制報告書の重要な事項について虚偽の記載がある場合には、5年以下の懲役または500万円以下の罰金特になし

比較表から見ると、会社法は広義的な内部統制を求めており、J-SOX法は財務報告にかかわる内部統制を求めているといえます。
J-SOX法(内部統制報告制度)とは?目的や対応内容、会社法との違いについて解説

【2024年4月適用】J-SOX法が改訂

J-SOX法(内部統制報告制度)とは?特徴や対応の進め方をわかりやすく解説
2024年4月にJ-SOX法の改訂が行われました。この背景として、J-SOX法が導入されて以降も、上場企業の海外子会社における不正な決算処理や、内部統制報告書の訂正内容が不十分な事例が複数報告されたことが考えられます。金融庁は制度の実効性について懸念を抱き、より厳格な規制が必要と判断しました。

また、サステナビリティやESG投資の重要性が高まり非財務情報の開示が求められるようになったこと、サイバー攻撃や不正リスクの多様化など、企業を取り巻く環境が大きく変化したことで、内部統制の在り方を見直す必要性が出てきたのです。

J-SOX法の改訂ポイント

J-SOX法で改訂された事項のうち、ポイントとなるのが以下になります。

  • 内部統制の基本的枠組み
    • 報告の信頼性
    • 内部統制の基本的要素
    • 内部統制に関係を有する者の役割と責任
    • 内部統制とガバナンス及び全組織的なリスク管理
  • 財務報告に係る内部統制の評価及び報告
    • 経営者による内部統制の評価範囲の決定
    • ITを利用した内部統制の評価
    • 財務報告に係る内部統制の報告
  • 財務報告に係る内部統制の監査

参考:財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)

「内部統制の基本的枠組み」の改正

2024年4月のJ-SOX改訂では、内部統制の目的が「財務報告の信頼性」から「報告の信頼性」に変更され、非財務諸表を含む報告の信頼性であることとされました。

また、IT統制の重要性が増し、内部統制報告書の開示情報が充実されました。企業はこれにより、内部統制の強化と信頼性の高い情報提供が求められます。

「財務報告に係る内部統制の評価及び報告」の改正

2024年4月のJ-SOX改訂では、財務報告に係る内部統制の評価と報告に重要な変更が加えられました。

企業は不正リスクを評価し、財務報告への影響を考慮して機械的な決定をせず評価範囲を決定することなどが求められます。

「財務報告に係る内部統制の監査」の改正

2024年4月のJ-SOX改訂では、財務報告に係る内部統制の監査にも変更が加えられました。

内部統制の監査において財務諸表監査の証拠の活用の明確化などが行われるようになります。

J-SOX法の改訂への対応ポイント

J-SOX法が改訂されたことで、以下の対応が求められるようになりました。

  • 不正に関するリスクへの対応
  • ITへの対応
  • 経営者による内部統制の無効化への対応
  • 内部統制の評価範囲の決定への対応

不正に関するリスクへの対応

不正リスクの評価が強調され、リスク評価において不正の「動機とプレッシャー」「機会」「姿勢と正当化」を考慮することが重要とされています。これにより、不正リスクの変化に応じてリスクを再評価し、随時対応を見直すことが求められます。

ITへの対応

ITに関する内部統制の重要性が増しており、特にITの委託業務やサイバーリスクへの対応が強調されています。情報システムのセキュリティ確保や、リスク管理が求められます。

経営者による内部統制の無効化への対応

経営者による内部統制の無効化を防ぐため、適切な経営理念の設計や職務分掌、取締役会による監督、内部監査人による報告経路の確保が求められます。これにより、経営者以外の業務プロセスの責任者による無効化の可能性も考慮されます。

内部統制の評価範囲の決定への対応

評価範囲の決定においては、金額基準だけでなく、質的影響も考慮するリスクアプローチが強調されています。企業環境の変化に応じてリスクを識別・評価し、評価範囲を適切に見直すことが求められます。

また、評価範囲の決定理由を内部統制報告書に具体的に記載することが必要です。

J-SOX法への対応の進め方

IPOの準備を行う企業経営者は、J-SOX法への対応を進めていくことが必要になります。

J-SOX法への対応の進め方は、主に以下の4ステップです。

  1. 評価範囲を決定する
  2. J-SOXの3点セットで業務プロセスを文書化する
  3. 自社の内部統制を評価・是正する
  4. 内部統制報告書を作成・提出する

以下では、ひとつずつ詳しく解説します。

1. 評価範囲を決定する

会社がJ-SOX対応を進めるためには、まず、評価範囲を決定することが必要となります。評価範囲の決定では、評価対象とする事業拠点(子会社等)を選定したうえで、選定対象となった事業拠点の重要な勘定科目に関連する業務プロセスを評価対象の業務プロセスとして選びます。

2. J-SOXの3点セットで業務プロセスを文書化する

次に、全社的な内部統制、IT統制及び評価対象となった業務プロセス統制について文書化を実施します。業務プロセス統制について文書化を行う場合には、フローチャート、業務記述書、リスク・コントロール・マトリクス(RCM)のいわゆる3点セットを作成することが一般的です。会社は文書化をしたうえで、自社の内部統制について評価を行うことが必要となります。

3. 自社の内部統制を評価・是正する

評価により内部統制の不備が発見された場合は、可能な限り期末までに不備を是正するように努めましょう。そのうえで、期末時点で未改善の不備については、発見された不備の金額的・質的重要性をもとに、開示すべき重要な不備に該当するかどうかの評価を行います。

4. 内部統制報告書を作成・提出する

最後に評価過程及び評価結果を内部統制報告書にとりまとめて開示を行います。J-SOXでは、会社が評価を行うだけでなく、監査法人または公認会計士により会社が作成した内部統制報告書が正しく作成されているかどうかについて監査を受ける必要があります。そのため、評価範囲や内部統制の文書化及び会社による評価結果について、監査法人などと情報を共有し、意見交換を行うことが必要となります。

実際にJSOX対応を進めていくために、フローチャート・業務記述書・リスクコントロールマトリックスを作成する必要があります。本資料では、この3点セットのサンプルをご覧いただくことが可能です。

資料をダウンロードする

J-SOX法において必要な書類

J-SOX法において必要な書類、「内部統制報告書」「3点セット」について説明します。

内部統制報告書

内部統制報告書とは、企業の内部統制が正しく有効に機能しているか、経営者が確認し評価を行い、結果を報告するための開示書類のことを指します。有価証券報告書の提出義務のある会社のうち、上場企業のほか一定の会社が事業年度ごとに作成し、有価証券報告書と共に、内閣総理大臣に提出をしなければならない書類です。

参照:e-GOV法令検索・金融商品取引法(財務計算に関する書類その他の情報の適正性を確保するための体制の評価 第二十四条の四の四第一項)

有価証券報告書の提出義務がある会社で、内部統制報告書の提出義務がない場合でも、内部統制報告書の任意提出は可能です。

内部統制報告書の記載事項については、以下に挙げた5つがあります。

  • 財務報告に係る内部統制の基本的枠組みに関する事項
  • 評価の範囲、基準日及び評価手続に関する事項
  • 評価結果に関する事項
  • 付記事項
  • 特記事項

内部統制報告書の具体的な内容は、金融庁が交付しているひな形があります。

参照:金融庁・内部統制報告書(第一号様式)

3点セット

J-SOX法の書類には、内部統制報告書のほかに「フローチャート」「業務記述書」「リスクコントロールマトリックス」の3点セットがあります。

  • フローチャート
    フローチャートは、業務記述書の内容を視覚的にわかるように図で示した書類です。業務記述書と統合性を取った状態でフローチャート形式にすることで、業務プロセスが理解しやすくなります。
  • 業務記述書
    業務記述書は、5W1Hにあわせて業務の流れを言語化した書類になります。たとえば、受注から請求までの一連の流れを見出しにし、それぞれの項目には「いつ・どこで・誰が・何を・なぜ・どのように」と、細かく書き出します。書き出すときの注意点として、システムや帳票などの名称については正確に明記しましょう。
  • リスクコントロールマトリックス
    リスクコントロールマトリックスは、業務プロセスにおいて不正やミスなど、起こる可能性がある業務リスクとリスクに対応するコントロール(内部統制手続)を一覧にしたものです。リスクコントロールマトリックスを作成する目的は、コントロールがすべてのリスクに対応しているか、実際の機能に対する評価になります。

内部統制の実施において、上述した3点セットの作成は必須項目ではありませんが、業務プロセスを可視化するためにも、実務上では作成が必要です。

J-SOX法への対応が不十分だと罰則を科せられるリスクも

J-SOX法への対応において、内部統制報告書を虚偽の記載をするなど不十分だった場合、個人または法人に罰則が科せられるリスクがあります。J-SOX法の罰則規定は、金融商品取引法の百九十七条にあたります。

金融商品取引法の第八章・罰則第百九十七条の条文では、「個人には、5年以下の懲役または500万円未満の罰金もしくはいずれも。法人には5億円以下の罰金」と記載されています。
参照:e-GOV法令検索・金融商品取引法(第八章 罰則 第百九十七条)

また、内部統制報告書の提出がない場合も、「J-SOX法違反」として扱われるため、提出忘れのないように注意が必要です。

J−SOX計画書・報告書のテンプレート – 無料ダウンロード

J-SOX法の遵守は、企業の信頼性と透明性を高めるために不可欠ですが、適切な計画書や報告書の作成は複雑であり、多くの企業がそのプロセスに苦労しています。
内部統制報告の要件を満たすための文書を一から作ることは、時間と労力の大きな負担となります。

J-SOX法に基づく計画書や報告書の作成を支援するためのテンプレートを活用すれば、必要な情報を適切に記載し、自社の状況に合わせてカスタマイズすることが可能です。
無料テンプレートをダウンロードし、コンプライアンスの強化を進めましょう。

まとめ

内部統制報告制度は、2000年代初期にアメリカで起きた不正会計事件をきっかけに、SOX法(企業改革法)が制定されました。前述の流れを受けて、日本でもJ-SOXがうまれました。事業年度ごとの財務報告の内部統制について決められているのが、J-SOX法です。

J-SOX法において必要になる書類は、「内部統制報告書」と「フローチャート・業務記述書・リスクコントロールマトリックス」の3点セットになります。内部統制の実施において、3点セットの作成自体は必須項目ではありませんが、業務プロセスをわかりやすくするために、実務上では作成が必要です。

一方で、J-SOX法には罰則があります。J-SOX法への対応が不十分な場合、個人には5年以下の懲役または500万円未満の罰金もしくはどちらも対象となり、法人には5億円以下の罰金が科せられるため注意が必要です。経営者および企業が内部統制を整えることで、社内の不祥事の防止につながります。日々の業務の効率化や資産を安全に取り扱うためにも、J-SOX法について正しく理解しましょう。

よくある質問

J-SOX法は何のためにあるの?

J-SOXとは、内部統制報告制度とも呼ばれており、財務報告において企業に内部統制を求め、不正会計を防ぐことを目的としています。該当する金融商品取引所に上場しているすべての企業は、事業年度ごとに「内部統制報告書」と「有価証券報告書」を、内閣総理大臣に提出することが義務付けられています。

J-SOX法への対応はどのように進めるのが良い?

J-SOX法は、主に次の4つの流れで進めます。

  1. 評価範囲の決定する
  2. J-SOXの3点セットで業務プロセスを文書化する
  3. 自社の内部統制を評価・是正する
  4. 内部統制報告書を作成・提出する
会社のすべての業務を、一度に内部統制を行うのは大変です。まずは、評価する範囲を決めて、関連するプロセスを評価するところから始めていきましょう。

J-SOXに必要な3点セットとは?

J-SOXに必要な3点セットには、「フローチャート」「業務記述書」「リスクコントロールマトリックス」が挙げられます。 評価の対象となった業務プロセスを文章化するために、3点セットが必要になります。簡潔に説明すると以下のようになります。

  • フローチャート…業務記述書の内容を視覚的にわかるように図で示した書類
  • 業務記述書…5W1Hにあわせて業務の流れを言語化した書類
  • リスクコントロールマトリックス…業務プロセスにおいて不正やミスなど、起こる可能性がある業務リスクとリスクに対応するコントロール(内部統制手続)を一覧にしたもの
3点セットの作成は、評価範囲を決定してから行う作業になります。


※ 掲載している情報は記事更新時点のものです。

※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。

関連記事