J-SOX法は金融商品取引法の一部に該当する制度であり、上場企業は遵守が義務付けられています。対応するためには法律を理解するだけでなく、多くの時間と労力が必要です。

→ダウンロード：IT活用のリスク管理を強化できる内部統制対策ガイドブック

この記事ではJ-SOX法の概要と目的、進め方、効率的に対応するための方法、併せて知っておくべき内部統制についてわかりやすく解説します。理解を深めたい、対策を行いたいと考える担当者は、ぜひ参考にして下さい。

J-SOX法とは

J-SOX法は内部統制報告制度を指し、金融商品取引法で定められている日本の制度です。上場企業の財務報告の信頼性を確保する目的で、2008年4月1日以降に開始する事業年度の企業から適用されました。

米国では、企業会計の不正事件が2000年代初頭から多々発生したことをきっかけに、米国でSOX法が制定されました。J-SOX法はこれを参考に制定され「日本版SOX法」とも呼ばれています。日本版と米国との違いや、会社法における内部統制との違いを解説します。

【関連する無料ガイドブック】
▶ IT活用のリスク管理を強化できる 内部統制対策ガイドブック
※すぐにPDF資料をお受け取りいただけます

SOX法（米国）との違い

基本的に両者に大きな違いはありません。共に企業の財務報告の信頼性を確保することが目的であり、そのために企業が内部統制を整備・運用して、評価を行います。

ただし、J-SOX法では企業と外部監査人の負担を軽減するために一部簡素化、一体化しているルールがあります。例えばSOX法では、企業と外部監査人がそれぞれ二重で内部統制の評価を行う一方で、J-SOX法では経営者が評価した結果を外部監査人が監査する方法を採用しており、両者の負担を軽減している点が特徴的です。

会社法の内部統制との違い

会社法上の「大会社である取締役会設置会社」においては、内部統制の体制を整備しなければなりません。

会社法とJ-SOX法にはさまざまな違いがありますが、大きな違いは罰則の有無です。会社法では違反時の罰則はありませんが、J-SOX法では5年以下の懲役または500万円以下の罰金が科せられます。

また、会社法では企業全体の業務に対して、基本方針を決定して内部統制を整備しなければならず、対象の業務は広範囲にわたります。一方でJ-SOX法の対象範囲は「財務報告に関連する内部統制」であり限定的です。ただしJ-SOX法では、より詳細なリスク管理が求められます。

内部統制とは

内部統制とは、企業が事業を効率的・健全に達成するためのルール、仕組みのことです。業務に組み込まれ、組織内の全ての者によって遂行されるプロセスであり、例えば社風や業務の中でコンプライアンスを遵守する仕組みなどが当てはまります。

内部統制については、以下の記事でも紹介しています。

J-SOX法は、企業会計の透明性と信頼性を高め、財務報告のリスクを抑えるために導入されました。しかし、ITの普及に伴い、内部統制の面でも新たなリスクが増加しています。特に、ITシステムが適切に管理されていない場合、コンプライアンス違反や経営リスクに繋がる恐れがあります。

企業はこうしたリスクに対処し、内部統制を強化する必要があります。具体的な対策については、下記の資料をぜひご活用ください。

【関連する無料ガイドブック】
▶ IT活用のリスク管理を強化できる 内部統制対策ガイドブック
※すぐにPDF資料をお受け取りいただけます

内部統制の4つの目的

この項目では、内部統制の以下の目的についてそれぞれ解説します。

1. 事業の有効性および効率性
2. 報告の信頼性
3. 事業活動に関わる法令などの遵守
4. 資産の保全

1. 事業の有効性および効率性

事業活動の目的達成のために、業務の有効性・効率性を高める。組織がビジネスにおける目的を達成できるように、人員やコスト、時間など、組織内外の資源を合理的に活用できる環境を整えることを意識しましょう。

2. 報告の信頼性

財務諸表や関連する非財務情報を虚偽記載なく適正に開示し、その信頼性を確保する。投資家などのステークホルダー（利害関係者）からの信頼性が高まります。

3. 事業活動に関わる法令などの遵守

事業活動に関わる法令やその他の規範を遵守する。金融商品取引法や労働基準法、会社法、独占禁止法などに違反すると、行政処分や罰金、さらには株価下落といったように損失だけでなく信頼を失いかねません。将来の事業の継続に影響を与える恐れがあるため、法令などを遵守する仕組みの構築が必要です。

4. 資産の保全

資産の取得、使用、処分が適切な手続き・承認により行われ、企業の資産を正しく保全する。資産には設備をはじめとした有形資産だけでなく、デザインや顧客情報など無形の資産も含まれます。個人情報や機密文書を守るためにも、適切に資産を管理・活用するための仕組みが重要です。

内部統制の6つの基本的要素

6つの基本的要素は、上記4つの目的達成のために不可欠な要素です。以下の項目を満たすことが内部統制の有効性を判断する基準となります。

1. 統制環境
2. リスクの評価と対応
3. 統制活動
4. 情報と伝達
5. モニタリング
6. ITへの対応

以下でそれぞれ解説します。

1. 統制環境

組織が持つ誠実性や倫理観、経営者の方針・姿勢、役職者の権限・責任、人事の方針・評価制度などを総称する概念です。

企業の事業目的を達成するためには、経営者だけでなく全従業員がルールや仕組みにしたがって、誠実に業務を行う必要があります。他の要素を支える根幹になるため、内部統制の構築の際は統制環境から整備しましょう。

2. リスクの評価と対応

事業における目的達成のためにリスクを識別し、分析・評価すること。リスクを評価するには「全社的か業務ごとのリスクか」で分類することが大切です。

分類したリスクそれぞれに対し、企業に与える影響の大きさから重要性を測ります。全てのリスクに対応策を講じるのではなく、重要性に照らして対応策を講じるべきかどうか評価した上で、具体的な対応を選びましょう。対応にはリスクの回避・低減・移転・受容などから適切なものを選びます。

3. 統制活動

組織の目標達成を阻むリスクに対応するため、経営者の命令や指示が適切に実行できるよう設定する方針・手続きのことです。権限や職責の付与、職務の分担の明確化、不正を防ぐための業務のダブルチェックの仕組みなど、さまざまな内容が含まれます。

4. 情報と伝達

組織の目的を達成するため、重要な情報を適時かつ正確に、企業内外の関係者に正しく伝えて共有できる体制を構築。組織内だけでなく、株主などの外部の関係者に対しても適正な情報を提供しなければなりません。

不正などの情報は組織外部から提供される場合もあるため、情報を外部に提供するだけでなく外部からの情報を入手するための仕組みの整備も心がけましょう。

5. モニタリング

内部統制の有効性を継続的に評価し、必要に応じて修正していくプロセスのことです。実施すべきモニタリングには以下の2つです。

• 日常的モニタリング：日々の業務に組み込まれて行われるもの
• 独立的評価：独立した視点から行われるもの

日常的モニタリングは、例えば売掛金の残高が正しいか確認するなど、部門内で日頃から実施される自己点検などが含まれます。独立的評価は経営者や取締役会、監査役などが経営上の問題が発生していないか調査することで、日常的モニタリングと異なる独立した視点で行います。

6. ITへの対応

業務遂行に当たり、組織の目標達成に向けてIT技術を適切に活用すること。

組織を取り巻くIT環境を適切に理解した上で、ITを利用・統制しなければなりません。ITを利用・統制する際には、組織目標を達成するために適切な方針や手続きをあらかじめ定めて、内部統制の他の基本的要素を一層有効に機能させることが大切です。

また、急速なITの進化に伴い、リスク管理の強化も不可欠です。特に、増加するリスクや脅威に対応することが、内部統制の成否を左右します。

IT活用の内部統制対策について知りたい方は下記資料をぜひご覧ください。

【関連する無料ガイドブック】
▶ IT活用のリスク管理を強化できる 内部統制対策ガイドブック
※すぐにPDF資料をお受け取りいただけます

J-SOX法の特徴

J-SOX法に見られる日本独自の以下5つの特徴について、順に見てみましょう。

• トップダウン型のリスクアプローチ
• 不備区分の簡素化
• ダイレクトレポーティングの不採用
• 内部統制監査と財務諸表監査の一体的実施
• 監査人と内部監査人・監査役の連携

トップダウン型のリスクアプローチ

J-SOX法では内部統制を評価する際、トップダウン型でリスク管理を行います。具体的には、内部統制上のリスクを特定・評価するに当たり、まずは全社的な内部統制が十分機能しているかどうか評価します。

その上で重要な虚偽の記載につながりかねないリスクに注目して、対応の必要性の高い特定の業務のみ評価をします。全てに対応するのではなく財務報告に関する重要なリスクを限定して評価できるため、社内の負担を軽減できます。

不備区分の簡素化

米国のSOX法では、内部統制の不備は以下の3点に分類されます。

• 重要な欠陥
• 不備
• 軽微な不備

これに対してJ-SOX法での分類は「開示すべき重要な不備」と「不備」の2種類です。不備を評価して分類するには、根拠を明確にして判断する労力がかかります。J-SOX法では2種類に絞ることで、その労力を省力化しています。

ダイレクトレポーティングの不採用

ダイレクトレポーティングとは、監査法人が直接企業の内部統制の有効性を評価して報告することです。米国のSOX法で採用されていますが、J-SOX法では使われていません。日本では、企業が財務報告に係る内部統制の構築・運用を評価した「内部統制報告書」に対して、内容の適切性を監査法人が監査する方法をとっています。

ダイレクトレポーティングは企業側と監査法人がそれぞれ内部統制を評価するため、作業量が膨大になり二重に手続きを実施することになりかねません。この点で、J-SOX法では対応によって生じる負担を軽減しています。

財務諸表監査と内部統制監査の一体的実施

日本では、財務諸表監査と内部統制監査を同じ監査法人が実施することで、監査で得た情報を内部統制監査にも利用可能です。例えば、在庫のカウントミスがあることを財務諸表監査で発見した場合、ミスを見逃した企業の体制の不備を内部統制監査で指摘できます。

監査法人が監査した結果である「内部統制監査報告書」は、原則として「財務諸表監査における監査報告書」と併せて記載します。監査を一体的に実施することで情報が共有できるため、効率的な監査の実行が可能です。

監査人と内部監査人・監査役の連携

J-SOX法では外部の監査法人と、企業内部の監査役や内部監査人との連携が認められています。例えば監査法人は監査役や内部監査人と定期的な会合を持ち、監査計画を共有することがあります。また、リスクや監査手続きの内容・結果も共有し、どのように対応するかを協議できます。

外部の立場と内部の立場の監査人が情報を共有することで、外部監査人の監査の負担を軽減でき、また外部監査人と企業内部とのコミュニケーションが生まれ、不正の早期発見や抑制につながります。

内部監査については、以下の記事でも紹介しています。

J-SOXの対象企業

J-SOX法の対象企業は、主に上場企業をはじめとした有価証券報告書の提出義務がある企業が対象になります。また以下のような企業は、上場していなければ作成義務はないものの、親会社の業務に重要な影響を与える場合には対象となる可能性があります。

• 関連会社・子会社
• 外部の委託先

非上場の子会社の内部統制は、親会社が評価します。上場している子会社の場合は親会社・子会社がそれぞれ評価を行い、監査法人の監査を受けなければなりません。この場合親会社は、子会社が作成して監査を受けた書類を利用して評価を実施することが認められています。

J-SOX対応の進め方

対象となる企業は以下の流れでJ-SOXへの対応を進めましょう。

1. 評価範囲の決定
2. J-SOXの3点セットで業務プロセスを文書化
3. 自社の内部統制の評価・是正
4. 監査法人・公認会計士に監査を依頼
5. 内部統制報告書を提出

効率的かつ有効に対応するためには、専門的な知識と多くの時間が必要です。企業内部で人材が不足している場合は、必要に応じて外部の専門家へ依頼する手段もあります。

1. 評価範囲の決定

財務報告に対する金額的、質的影響の重要性を考慮して評価の範囲を決定します。評価の範囲を決定する事項は、以下の4点です。

1. 全社的な内部統制
   企業、財務報告全体への影響が大きい統制
2. 決算・財務報告に係る内部統制
   有価証券報告書の作成プロセスの統制
3. 業務プロセスに係る内部統制
   業務フローの中で遂行される統制
4. IT統制
   情報システム・IT技術の活用に関する統制

まずは全ての事業拠点について全社的な内部統制の評価を行います。その結果を踏まえて、重要性を考慮した上で決算や業務プロセスの評価の範囲を決定します。

2. J-SOXの3点セットで業務プロセスを文書化

一般的に「3点セット」と呼ばれる以下の資料を作成・活用して対応を進めましょう。

1. 業務記述書：業務の概要や担当者、流れなどを明文化したもの
2. フローチャート：業務記述書の内容を表した図
3. リスクコントロールマトリクス（RCM）：業務プロセスの中で考えられるリスクの内容と、自社がそのリスクに対して設けている対策方法（内部統制）を記載した表

3. 自社の内部統制の評価・是正

上記3点セットなどを参考にして評価を行います。評価の結果不備が見つかれば、まずは是正します。もし是正せずに不備のままだった場合は「開示すべき重要な不備」かどうか判断しなければなりません。最終的に評価した過程・根拠と評価結果を、内部統制報告書に記載します。

4. 監査法人・公認会計士に監査を依頼

企業は作成した内部統制報告書の監査を、外部の監査法人に依頼します。監査法人は、作成した「内部統制報告書」の内容に虚偽がないかを監査します。監査の対象は内部統制報告書に記載されている内容の適正性のみであり、内部統制が有効に機能しているかどうか意見・評価するものではありません。

また、もし監査により重要な不備が発見されたとしても、内部統制報告書でその内容が示されていれば「適正」と判断されます。

5. 内部統制報告書を提出

監査終了後は内部統制報告書を有価証券報告書に添付して、金融庁に提出します。新規上場企業も内部統制報告書の作成・提出は義務であり、上場準備中の企業にとってもJ-SOX法への対応は必須といえるでしょう。

J-SOX法において求められる役割

経営者と監査法人それぞれの立場から、求められる役割について見てみましょう。

経営者による内部統制の評価

経営者は、自社の内部統制を整備・運用する役割と責任を負います。そして構築した内部統制の有効性を評価し、その結果を「内部統制報告書」に記載・報告します。

そして監査法人の監査を受け、監査の結果である「内部統制監査報告書」と共に金融庁に提出しなければなりません。内部統制を整備・運用し、評価するのはあくまで経営者の役割です。

監査法人による内部統制の監査

監査法人には、経営者が作成した内部統制報告書の内容が適正であるかどうか、独立した第三者の立場から監査する役割があります。

結果は内部統制監査報告書にて表明します。監査の対象はあくまで内部統制報告書の内容の適正性であるため、内部統制自体の有効性に対する意見を表明するものではありません。

J-SOX法に違反した場合の罰則

上場企業が内部統制報告書を作成しない、または内部統制報告書に重要な事項について虚偽の記載をした者は、5年以下の懲役または500万円以下の罰金、もしくはその両方（金融商品取引法第197条の2）とする罰則があります。

法人の代表者や代理人、使用人、その他の従業員が、企業の業務または財産に関して上記の違反をした場合には、法人自体も5億円以下の罰金に処されます（金融商品取引法第207条1項2号）。

上記の場合は罰則がありますが、内部統制を評価した結果不備が見つかり、その旨が報告書で開示されていれば問題はありません。何かあった際には隠すのではなく、適切に内部統制を評価してその結果を報告書に明記することが大切です。

参考：e-GOV法令検索｜金融商品取引法

J-SOX法への対応は専門的知識と時間が必要

上場企業は内部統制の整備・運用、評価を行い、結果を内部統制報告書に記載しなければなりません。その上で監査法人の監査を受け、内部統制監査報告書を入手して開示する必要があります。

J-SOX法に対応するには豊富な知識と時間が必要となり、企業にとって負担が重くなりやすいでしょう。

有効な内部統制を効率良く構築するためには、対応したツールやシステムの導入が効果的です。支出管理プラットフォームTOKIUMのシステムなら内部統制に対応しており、セキュリティやコンプライアンスを強化することで日頃の経理業務を堅実に運用が可能です。

さらに経費精算や請求書処理にかかる時間を80％以上短縮できるため、日常業務の効率化にも役立ちます。連携できるシステムも多く、スムーズに運用を始められます。資料は下記から無料でダウンロードできるため、ぜひ参考にして下さい。

【関連する無料ガイドブック】
▶ 成功事例に学ぶ！ペーパーレス化から始める経理DX
※すぐにPDF資料をお受け取りいただけます