- 更新日 : 2023年12月26日
J-SOX法(内部統制報告制度)とは?特徴や対応の進め方をわかりやすく解説
とは?特徴や対応の進め方をわかりやすく解説.jpg)
上場企業は、金融商品取引法に基づく内部統制報告制度への対応が必要となります。この内部統制報告制度が、いわゆるJ-SOXです。2002年7月にエネルギー大手企業のエンロンや通信大手企業のワールドコムの粉飾決算を受けてサーベンス・オクスリー法(通称SOX法)がアメリカで制定されました。日本でも同様に上場企業の粉飾決算等が問題となったことから日本版SOX法(いわゆるJ-SOX)が2006年6月7日に金融商品取引法が成立した際にJ-SOXとして導入されて、2008年4月1日以後に開始する事業年度から導入されたのです。
本記事では、J-SOX法について詳しく述べていきます。
目次
J-SOX法(内部統制報告制度)とは?
J-SOXとは、内部統制報告制度のことを指します。内部統制は上場企業が財務報告を行う際、組織が適切にコントロールされているかを確認しています。なかでも、事業年度ごとの財務報告の内部統制について決められているのが、J-SOX法になります。
J-SOXは、冒頭でも述べたとおり、2002年7月にアメリカ政府が制定した「企業改革のための法律SOX法」をお手本にしたものです。SOX法の名前は、法案を提出した2人の議員の名前から取った「サーベンス・オクスリー法」を略した言葉で、日本では、Japan(日本)のSOX法であることから「J-SOX法」と呼ばれています。
以下では、J-SOXの目的と対象企業について説明します。
J-SOXの目的
アメリカのSOX法は、不正会計事件をきっかけに生まれた法律であることから、投資家の利益を守ることと、企業の会計および財務報告の信頼性を高めることを目的に成立しました。
SOX法もJ-SOX法も、内部統制という概念の位置づけとしては、「財務報告においての信頼性」であり、不正会計を防ぐことを目的としています。
具体的には、企業の事業活動と経営実績を反映させる財務報告において、内部統制の評価基準を明らかにして、適正な基準を定めることを狙いとしています。
J-SOXの対象企業
J-SOX法の対象は、金融商品取引所に上場している企業の本社および子会社や関連会社、在外子会社、外部委託先などもすべて含みます。いずれも上場企業である場合は、共に内部統制を行います。
ただし、本社が上場企業でも、子会社が非上場企業で連結しているケースでは、本社が子会社の分も内部統制を行いますが、子会社の自社評価は不要になります。連結ベースで決算を行う場合は、どこまで統制が必要であるか、気を付けなくてはなりません。
実際にJ-SOX対応を進めていくにあたり、フローチャート・業務記述書・リスクコントロールマトリックスを作成する必要があります。これらのサンプルを含んだ「J-SOX3点セット攻略ガイド」はこちらのリンクから無料でダウンロードできます。
J-SOX法の特徴
J-SOX法の特徴は主に以下の4つがあります。
- トップダウン型リスクアプローチを採用している
- 不備区分を簡素化している
- ダイレクトレポーティングを導入していない
- 内部統制監査と財務諸表監査を一体的に実施している
J-SOX法はアメリカのSOX法と異なり、簡素化されているため、効率的な内部監査が可能となります。J-SOXの特徴をそれぞれ詳しく解説します。
トップダウン型リスクアプローチを採用している
トップダウン型のリスクアプローチは、内部統制を評価する方法の1つです。内部統制の効果を評価し、その結果から、重要な財務報告に影響を与える可能性のあるリスクに焦点を当て、必要な業務に絞り込んで評価します。
個々の業務を1つ1つ評価するのではなく、総合的な判断から必要な業務を選別する方法を採用することで、企業の負担を軽減し、効率的な内部統制の設計と運用ができる点がメリットです。
不備区分を簡素化している
J-SOXの不備区分は「開示すべき重要な不備」と「不備」の2つですが、アメリカのSOX法は「重要な欠陥」「不備」「軽微な不備」の3つにわかれています。
アメリカのSOX法に比べて、J-SOX法は簡素化されている点が特徴です。簡素化することで、本社だけではなく、子会社や関連会社などを含めた評価する時間や負担を抑えられる点がメリットです。
ダイレクトレポーティングを導入していない
ダイレクトレポーティングとは、アメリカで一般的な方法で、監査人が内部統制の有効性を評価するものです。しかし、方法には問題点があり、多くの作業が必要で、場合によっては評価が二重に行われることがあります。
一方、J-SOX法では、経営者が内部統制の評価結果をまず報告し、結果を監査人が監査する方法を採用しています。アメリカとは違い、評価の重複を避けられる点がメリットです。
内部統制監査と財務諸表監査を一体的に実施している
内部統制監査と財務諸表監査は、同じ監査人が行い、一体的に実施しています。監査で得た情報はお互いに共有可能です。
内部統制報告書は通常、財務諸表監査報告書と一緒にまとめて提出します。監査を統合的に実施し、情報を共有することによって、信頼性を向上させたり、監査の効率を高めたりすることが期待されています。
そもそも内部統制とは
内部統制が求められるようになったのは、近年の社会的背景が絡んでいます。企業のリコール隠しや表示偽装、粉飾決算などが起きているのは、経営者および従業員の責任意識の低下や欠如によるものです。
以下では、「内部統制の定義」「4つの目的」「6つの基本的要素」について説明します。
内部統制の定義
内部統制とは、「経営者が会社を効率的かつ、健全に事業活動を運営するための仕組み」のことを指します。内部統制を整えることで、社内で起きる可能性がある不祥事の防止につながります。不祥事が未然に防げれば、日々の業務が効率的になり、資産を安全に取り扱うことができるのです。
上述のような企業のリコール隠しや表示偽装、粉飾る決算といった不祥事は、社会全体に与えるマイナス的な影響が大きいといえます。そのため、企業の不祥事を未然に防ぐための管理体制が必要とされるようになったのです。
内部統制の4つの目的
内部統制には、4つの目的があります。4つの目的は、合理的な保証を得るために、組織内ですべての人が遂行するためのプロセスです。
- 業務の有効性および効率性
事業活動の目的の達成のため、業務の有効性および効率性を高めることをいう - 財務報告の信頼性
財務諸表および、財務諸表に重要な影響をおよぼす可能性のある情報の信頼性を確保することをいう - 事業活動に関わる法令などの遵守
事業活動に関わる法令やそのほかの規範の厳守を促進することをいう - 資産の保全
資産の取得、使用および処分が正当な手続きおよび承認のもとに行われるよう資産の保全を図ることをいう
参考:財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)
内部統制の目的は、相互に関連しています。経営者は目的を達成するために、プロセスを整備して適切に運用していくことが求められます。
内部統制の6つの基本的要素
内部統制は、以下の6つの基本的要素から構成されています。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
内部統制の目的を達成するために、経営者は6つの基本的要素が組み込まれたプロセスを整備して、適切に運用していかなければなりません。6つの基本的要素については、以下の記事で詳しくお伝えしています。
関連記事:「内部統制とは?4つの目的や6つの基本的要素を分かりやすく解説」
J-SOX法と会社法の違い
J-SOX法と会社法は、内部統制を求める法律です。対象企業や目的、対象者をはじめ、ほか内部統制の自己評価、文書化と開示、および監査の主体や結果など、異なる箇所があります。なかでも、最も大きな違いは、罰則規定の有無です。J-SOX法には罰則規定が設けられていますが、会社法には罰則はありません。
比較をまとめると、以下のようになります。
| J-SOX法 | 会社法 | |
| 目的 | 財務報告書の信頼性確保 | 業務の適正確保 |
| 対象企業 | 上場企業と連結子会社 | 大会社と委員会設置会社 |
| 対象者 | 経営者(当該会社) | 取締役会 |
| 構築 | 実施基準 | 善管注意義務等ベース(具体的規定なし) |
| 内部統制の自己評価 | 明文規定あり | 明文規定なし |
| 文書化と開示 | 内部統制報告書 | 事業報告 |
| 監査の主体 | 内部統制報告書を外部監査人(監査法人・公認会計士)が監査 | 事業報告書内容を監査役・監査委員会が監査 |
| 監査結果 | 内部統制監査報告書 | 監査報告書 |
| 罰則 | 内部統制報告書が提出されない場合や、内部統制報告書の重要な事項について虚偽の記載がある場合には、5年以下の懲役または500万円以下の罰金 | 特になし |
比較表から見ると、会社法は広義的な内部統制を求めており、J-SOX法は財務報告にかかわる内部統制を求めているといえます。
【2024年4月適用】J-SOX法が改訂
2024年4月から「財務報告に係る内部統制の評価及び監査の基準」と「財務報告に係る内部統制の評価及び監査に関する実施基準」の改訂が適用されます。改正する理由を金融庁は「制度の実効性について懸念が指摘される事項もあったため」と説明しています。
金融庁の内部統制部会や改訂作業を担当した部門では、海外子会社における不正行為による決算の修正が続いたことや、内部統制報告書における修正内容が不十分であることも原因です。
今回の改訂のポイントとして「ITを用いた内部統制の評価」があります。これまでのJ-SOXでは、経営者が「自社のIT環境に変化がない」と判断した場合、IT統制の評価を毎年行う必要がないことを問題視していました。J-SOXに対応するために整備・運用しているIT統制の基本原則は変わりません。新しいシステムの導入やリモートワーク時の情報セキュリティなど、現在のIT環境に適した整備と環境が求められます。
内部統制報告制度が改正される理由を詳しく知りたい方は以下の記事を参考にしてください。
J-SOX法への対応の進め方
IPOの準備を行う企業経営者は、J-SOX法への対応を進めていくことが必要になります。
J-SOX法への対応の進め方は、主に以下の4ステップです。
- 評価範囲を決定する
- J-SOXの3点セットで業務プロセスを文書化する
- 自社の内部統制を評価・是正する
- 内部統制報告書を作成・提出する
以下では、ひとつずつ詳しく解説します。
1. 評価範囲を決定する
会社がJ-SOX対応を進めるためには、まず、評価範囲を決定することが必要となります。評価範囲の決定では、評価対象とする事業拠点(子会社等)を選定したうえで、選定対象となった事業拠点の重要な勘定科目に関連する業務プロセスを評価対象の業務プロセスとして選びます。
2. J-SOXの3点セットで業務プロセスを文書化する
次に、全社的な内部統制、IT統制及び評価対象となった業務プロセス統制について文書化を実施します。業務プロセス統制について文書化を行う場合には、フローチャート、業務記述書、リスク・コントロール・マトリクス(RCM)のいわゆる3点セットを作成することが一般的です。会社は文書化をしたうえで、自社の内部統制について評価を行うことが必要となります。
3. 自社の内部統制を評価・是正する
評価により内部統制の不備が発見された場合は、可能な限り期末までに不備を是正するように努めましょう。そのうえで、期末時点で未改善の不備については、発見された不備の金額的・質的重要性をもとに、開示すべき重要な不備に該当するかどうかの評価を行います。
4. 内部統制報告書を作成・提出する
最後に評価過程及び評価結果を内部統制報告書にとりまとめて開示を行います。J-SOXでは、会社が評価を行うだけでなく、監査法人または公認会計士により会社が作成した内部統制報告書が正しく作成されているかどうかについて監査を受ける必要があります。そのため、評価範囲や内部統制の文書化及び会社による評価結果について、監査法人などと情報を共有し、意見交換を行うことが必要となります。
実際にJSOX対応を進めていくために、フローチャート・業務記述書・リスクコントロールマトリックスを作成する必要があります。本資料では、この3点セットのサンプルをご覧いただくことが可能です。
J-SOX法において必要な書類
J-SOX法において必要な書類、「内部統制報告書」「3点セット」について説明します。
内部統制報告書
内部統制報告書とは、企業の内部統制が正しく有効に機能しているか、経営者が確認し評価を行い、結果を報告するための開示書類のことを指します。有価証券報告書の提出義務のある会社のうち、上場企業のほか一定の会社が事業年度ごとに作成し、有価証券報告書と共に、内閣総理大臣に提出をしなければならない書類です。
参照:e-GOV法令検索・金融商品取引法(財務計算に関する書類その他の情報の適正性を確保するための体制の評価 第二十四条の四の四第一項)
有価証券報告書の提出義務がある会社で、内部統制報告書の提出義務がない場合でも、内部統制報告書の任意提出は可能です。
内部統制報告書の記載事項については、以下に挙げた5つがあります。
- 財務報告に係る内部統制の基本的枠組みに関する事項
- 評価の範囲、基準日及び評価手続に関する事項
- 評価結果に関する事項
- 付記事項
- 特記事項
内部統制報告書の具体的な内容は、金融庁が交付しているひな形があります。
3点セット
J-SOX法の書類には、内部統制報告書のほかに「フローチャート」「業務記述書」「リスクコントロールマトリックス」の3点セットがあります。
- フローチャート
フローチャートは、業務記述書の内容を視覚的にわかるように図で示した書類です。業務記述書と統合性を取った状態でフローチャート形式にすることで、業務プロセスが理解しやすくなります。 - 業務記述書
業務記述書は、5W1Hにあわせて業務の流れを言語化した書類になります。たとえば、受注から請求までの一連の流れを見出しにし、それぞれの項目には「いつ・どこで・誰が・何を・なぜ・どのように」と、細かく書き出します。書き出すときの注意点として、システムや帳票などの名称については正確に明記しましょう。 - リスクコントロールマトリックス
リスクコントロールマトリックスは、業務プロセスにおいて不正やミスなど、起こる可能性がある業務リスクとリスクに対応するコントロール(内部統制手続)を一覧にしたものです。リスクコントロールマトリックスを作成する目的は、コントロールがすべてのリスクに対応しているか、実際の機能に対する評価になります。
内部統制の実施において、上述した3点セットの作成は必須項目ではありませんが、業務プロセスを可視化するためにも、実務上では作成が必要です。
J-SOX法への対応が不十分だと罰則を科せられるリスクも
J-SOX法への対応において、内部統制報告書を虚偽の記載をするなど不十分だった場合、個人または法人に罰則が科せられるリスクがあります。J-SOX法の罰則規定は、金融商品取引法の百九十七条にあたります。
金融商品取引法の第八章・罰則第百九十七条の条文では、「個人には、5年以下の懲役または500万円未満の罰金もしくはいずれも。法人には5億円以下の罰金」と記載されています。
参照:e-GOV法令検索・金融商品取引法(第八章 罰則 第百九十七条)
また、内部統制報告書の提出がない場合も、「J-SOX法違反」として扱われるため、提出忘れのないように注意が必要です。
まとめ
内部統制報告制度は、2000年代初期にアメリカで起きた不正会計事件をきっかけに、SOX法(企業改革法)が制定されました。前述の流れを受けて、日本でもJ-SOXがうまれました。事業年度ごとの財務報告の内部統制について決められているのが、J-SOX法になります。
J-SOX法において必要になる書類は、「内部統制報告書」と「フローチャート・業務記述書・リスクコントロールマトリックス」の3点セットになります。内部統制の実施において、3点セットの作成自体は必須項目ではありませんが、業務プロセスをわかりやすくするために、実務上では作成が必要です。
一方で、J-SOX法には罰則があります。J-SOX法への対応が不十分な場合、個人には5年以下の懲役または500万円未満の罰金もしくはどちらも対象となり、法人には5億円以下の罰金が科せられるため注意が必要です。経営者および企業が内部統制を整えることで、社内の不祥事の防止につながります。日々の業務の効率化や資産を安全に取り扱うためにも、J-SOX法について正しく理解しましょう。
よくある質問
J-SOX法は何のためにあるの?
J-SOXとは、内部統制報告制度とも呼ばれており、財務報告において企業に内部統制を求め、不正会計を防ぐことを目的としています。該当する金融商品取引所に上場しているすべての企業は、事業年度ごとに「内部統制報告書」と「有価証券報告書」を、内閣総理大臣に提出することが義務付けられています。 H3.J-SOX法への対応はどのように進めるのが良い? J-SOX法は、主に次の4つの流れで進めます。
- 評価範囲の決定する
- J-SOXの3点セットで業務プロセスを文書化する
- 自社の内部統制を評価・是正する
- 内部統制報告書を作成・提出する
J-SOXに必要な3点セットとは?
J-SOXに必要な3点セットには、「フローチャート」「業務記述書」「リスクコントロールマトリックス」が挙げられます。 評価の対象となった業務プロセスを文章化するために、3点セットが必要になります。簡潔に説明すると以下のようになります。
- フローチャート…業務記述書の内容を視覚的にわかるように図で示した書類
- 業務記述書…5W1Hにあわせて業務の流れを言語化した書類
- リスクコントロールマトリックス…業務プロセスにおいて不正やミスなど、起こる可能性がある業務リスクとリスクに対応するコントロール(内部統制手続)を一覧にしたもの
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談していただくなど、ご自身の判断でご利用ください。
