J-SOX(内部統制報告制度)について詳細に解説しています。米国のSOX法や会社内部統制との違い、主な特徴や対象となる企業、進め方や海外子会社に内部統制を導入する際のポイントについても紹介しています。J-SOX(内部統制報告制度)について調べている方は参考にしてください。
目次
- J-SOX法(内部統制報告制度)とは
- 米国のSOX法との違い
- 会社法の内部統制とJ-SOX法の違い
- 内部統制とは
- 内部統制の4つの目的
- 内部統制の6つの基本的要素
- J-SOX法の主な特徴
- トップダウン型のリスクアプローチ
- 不備の区分を2つに簡素化
- ダイレクトレポーティングが不採用
- 内部統制監査と財務諸表監査の一体的実施
- 監査人と監査役・内部監査人の連携
- J-SOX法の対象企業
- J-SOX対応の進め方
- 1. 評価範囲を決める
- 2. J-SOX法(内部統制)3点セットの作成
- 3. 自社の内部統制の評価・是正
- 4. 公認会計士・監査法人に監査を依頼
- 5. 内部統制報告書を提出する
- J-SOX法において求められる役割
- 経営者は内部統制の評価
- 監査人は内部統制の監査
- 海外子会社へ内部統制を導入する方法
- 1.現地の体制確認
- 2.導入スケジュールの決定
- 3.文書のフォーマット・評価項目の決定
- 4.内部統制に関する教育・概念の説明
- 5.統制内容の調査
- 6.業務内容の調査
- 7.現地に即した3点セットの作成
- まとめ
J-SOX法(内部統制報告制度)とは
「J-SOX法」とは、財務報告の信頼性確保を目的にした内部統制報告制度です。米国において会計処理の不祥事を規制する法律「SOX法」の日本版として定められました。
J-SOX法の対象は、金融商品取引所に上場しているすべての企業であり、本社だけでなく、子会社や海外子会社など、関係会社も対象に含まれます。
上場企業は、J-SOX法に基づき、財務報告に係る内部統制を整備・運用した上で内部統制の有効性を評価し、外部へ報告しなければなりません。
米国のSOX法との違い
米国のSOX法と日本のJ-SOX法に、基本的な内容の違いはありません。
企業や外部監査人の負担が大きくならないよう、一部を簡素化したり一体化したりする日本独自のルールが適用されている程度です。
会社法の内部統制とJ-SOX法の違い
会社法における内部統制とJ-SOX法の違いについては、以下のとおりです。
会社法 | J-SOX法 | |
---|---|---|
対象企業 | 大会社・委員会設置会社 | 上場企業・連結子会社 |
目的 | 業務の適正確保 | 財務報告書の信頼性確保 |
対象者 | 取締役会 | 経営者(当該会社) |
内容 | 広範囲の内部統制体制を求める | 財務報告に係る内部統制に限定し、詳細なリスク管理を求める |
作成文書 | 事業報告 | 内部統制報告書 |
罰則 | 特になし | 5年以下の懲役または500万円以下の罰金 ※内部統制報告書が提出されない場合、内部統制報告書の重要な事項について虚偽の記載をした場合 |
出典:金融庁公式サイト「金融商品取引法等の一部を改正する法律案要綱(金融商品取引法第 197 条の2、第 207 条関係)」
出典:総務省公式サイト「内部統制関連資料」
会社法では、企業全体の業務に対して内部統制の基本指針を決定し、内部統制体制を整えなければなりません。
一方、J-SOX法は、財務報告に係る内部統制に範囲を限定しており、内部統制体制の整備はもちろん、詳細なリスク管理が求められます。
会社法には罰則がありませんが、J-SOX法には罰則が設けられています。上場企業や関係会社は、J-SOX法だけでなく会社法も適用対象となるため、内部統制に対して広い視野で取り組む必要があります。
内部統制とは
内部統制とは、企業(経営者)が企業活動を効率的かつ健全に運営するためのルールや仕組みです。例えば、社風や業務の流れ、コンプライアンスが該当します。
ここでは、内部統制の4つの目的と6つの基本的要素を解説します。
内部統制の4つの目的
内部統制を実施する目的は、以下の通りです。
- 業務の有効性及び効率性
- 財務報告の信頼性
- 事業活動に関わる法令等の遵守
- 資産の保全
業務の有効性および効率性
内部統制の目的の一つとして、企業が行う事業活動の目的達成のために業務の有効性と効率性を高めることが挙げられます。
人やお金など、「会社の業務を無駄なく、正確に実施する」ということが、内部統制が必要とされる目的の1つです。
財務報告の信頼性
財務諸表や、財務諸表に大きな影響を与える可能性のある情報について、信頼性を確保するのは、内部統制の目的の一つです。
有価証券報告書に記載された数値が信頼できなければ、投資家をはじめとする利害関係者に対して損害を与えてしまう可能性があります。
事業活動に関わる法令等の遵守
事業活動に関わる法令や、規範遵守の促進も内部統制の目的となります。
労働基準法や独占禁止法、会社法、金融商品取引法など、数ある法律をきちんと守らなければ、罰金や行政処分、株価下落によって損失につながってしまいます。
健全な事業活動を行うと同時に、適切なモラルを維持するためにも、内部統制は必要です。
資産の保全
企業が事業活動を行う上での「元手」となる資産は、適切に運用・管理されるのが望ましいです。
資産には不動産や設備などの有形資産のほか、アイデアやデザイン、個人情報などの無形資産も含まれます。
機密文書の流出や個人情報の漏洩が起こらないよう、内部統制体制の整備が必要です。
内部統制の6つの基本的要素
内部統制の基本的要素とは、内部統制の目的を達成するために必要な6つ要素です。内部統制の有効性を評価する際の判断基準でもあります。
6つの基本的要素は、以下の通りです。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
統制環境
「統制環境」とは、企業の社風を決定し、従業員の意識に影響を与えるものです。例えば、経営者の意向や経営方針、役職者が持つ権限や責任、人事評価制度などがあります。
これらはすべて事業活動の基盤となるものであり、経営者や従業員が企業のルールや仕組みを守ろうとする意識がなければ事業活動は成り立ちません。
内部統制を進める上で、まずは統制環境の整備が大切です。
リスクの評価と対応
「リスクの評価と対応」とは、企業目標を達成できない要因をリスクとして識別・分析・評価し、そのリスクに対して適切な対応を行う一連の過程を指します。リスクの例としては、有効性・効率性が低い業務手順や、予算の見積り不足が挙げられます。
リスクの評価では、企業内外で発生するリスクを「企業全体のリスク」と「業務別のリスク」に分類します。リスクの大きさや発生可能性や頻度などに分類し、最後に企業目標への影響を評価します。
分析したリスク評価をもとに、リスクへの適切な対応を検討・選択します。リスクを適切に評価するだけでなく、リスクへの対応をその都度選択し、解決に導くことが重要です。
統制活動
「統制活動」とは、経営者の命令や指示が適切に行われるように定める方針や手続きを指します。統制活動は、権限や職責の付与、仕事の割り振りなど広範囲にわたります。
不正を防ぐ業務の二重チェックといった内部牽制も統制活動の一つです。統制活動は従業員による正しい実行で、十分な効果が期待できます。
情報と伝達
「情報と伝達」とは、必要な情報が識別・把握・処理され、企業内外および関係者全員に正しく伝達される体制です。
従業員が業務を遂行する上で情報は重要であり、伝達はもちろん、情報が正しく理解され、必要とするすべての人に共有されなければなりません。
モニタリング
「モニタリング」とは、内部統制体制が有効に機能していることを評価する過程です。モニタリングによって、内部統制は常に監視・評価され是正されます。
モニタリングには、業務上にある日常的モニタリングと、独立した視点から実施される独立的評価があります。
例として、日常的モニタリングは帳簿と在庫の照合や棚卸作業など、独立的評価は企業内監査が挙げられます。
ITへの対応
「ITへの対応」とは、企業目標の達成に向けた業務の実施過程において、組織内外のITに対する適切な対応を指します。ITは導入するだけでなく、運用方法を定めて有効に機能させ、ITが有効に機能しているかの定期的な評価が大切です。
迅速な情報共有や業務の有効性・効率性には、ITが欠かせません。ITは、他の基本的要素や内部統制の目的達成と密接な関係があります。
出典:金融庁公式サイト「財務報告に係る内部統制の評価及び監査の基準」
J-SOX法の主な特徴
J-SOX法には、SOX法をもとに定めた日本独自の5つの特徴があります。その特徴は以下の通りです。
- トップダウン型のリスクアプローチ
- 不備の区分を2つに簡素化
- ダイレクトレポーティングが不採用
- 内部統制監査と財務諸表監査の一体的実施
- 監査人と監査役・内部監査人の連携
トップダウン型のリスクアプローチ
トップダウン型のリスクアプローチとは、内部統制の評価方法を指します。
まず、全社的な内部統制の有効性を評価します。その結果を踏まえて財務報告に係る重大な虚偽記載につながるリスクに着目し、絞り込んだ必要な業務のみを評価します。
業務一つひとつを評価するのではなく、総合的な判断から絞り込んだ業務の評価によって、企業側の負担を軽減でき、効率的な内部統制の整備・運用が期待できます。
不備の区分を2つに簡素化
アメリカのSOX法は、内部統制の不備を「重要な欠陥」「不備」「軽微な不備」の3つに区分します。一方でJ-SOX法では、「開示すべき重要な不備」と「不備」の2つの分類のみに簡素化しています。
これによって、評価に係る負担を軽減でき、本社だけでなく子会社や関連会社などを含めた全社的な内部統制の充実を図ります。
ダイレクトレポーティングが不採用
ダイレクトレポーティングは、外部監査人が内部統制の有効性を直接評価する手法です。
米国ではダイレクトレポーティングを採用していますが、外部監査人に膨大な作業が発生する点と、経営者による内部統制監査との二重評価になるケースがある点が問題となっています。
J-SOX法においては、経営者による内部統制評価結果の監査を外部監査人の役割とし、ダイレクトレポーティングを不採用していません。これにより、二重評価を回避しています。
内部統制監査と財務諸表監査の一体的実施
内部統制監査と財務諸表監査を、同一監査人が実施します。これにより、監査で得た情報を内部統制監査と財務諸表監査で互いに利用できます。
内部統制報告書は、原則として財務諸表監査報告書と合わせて記載します。監査を一体的に実施し、かつ情報を共有することによって、信頼性の向上や監査の効率化が期待できます。
監査人と監査役・内部監査人の連携
J-SOX法では、外部監査人と、企業内の監査役・内部監査人の連携を認めています。
外部監査人の調査に係る負担軽減・監査を効率化できるだけでなく、互いの適度なコミュニケーションは、企業内の不正や不祥事の抑止にもつながります。
J-SOX法の対象企業
J-SOX法の対象は、金融商品取引所に上場しているすべての企業となり、以下の関係会社も対象となります。
- 子会社(海外に所在する場合を含む)
- 関連会社
- 外部委託先
子会社が非上場企業で連結している場合は、親会社が子会社分の内部統制評価を行い、子会社による自社評価は不要です。
子会社が上場している場合は、親会社と子会社ともに子会社の内部統制評価を行わなければなりません。
子会社によって内部統制報告の作成・監査が済んでいる場合は、親会社はその書類を活用して内部統制評価を行えます。
J-SOX対応の進め方
J-SOX対応の流れは、以下の通りです。
- 評価範囲を決める
- J-SOX法(内部統制)3点セットの作成
- 自社の内部統制の評価・是正
- 公認会計士・監査法人に監査を依頼
- 内部統制報告書を提出する
J-SOX法の対応には、十分な時間と専門的な知識が必要です。企業内の担当者のみで取り組もうとすれば、効率性が下がる恐れがあります。
J-SOX法の社内対応に困った場合は、専門家への外注を検討しましょう。
1. 評価範囲を決める
まず、評価を行う対象範囲を決定します。評価項目は大きく分けて、以下の4種類です。
内部統制の種類 | 内容 |
---|---|
全社的な内部統制 | 企業全体および財務報告全体に大きく影響する統制 |
決算・財務報告に係る内部統制 | 財務諸表などの有価証券報告書を作成する一連の過程の統制 |
業務プロセスに係る内部統制 | 業務プロセスに組み込まれ一体となって遂行される統制 |
IT統制 | ITを利用した情報システムに関する統制 |
一度に全業務の内部統制を評価することは、作業量が膨大となるため困難です。
経営者は、全社的な内部統制の評価結果を踏まえ、財務報告の信頼性に大きく影響する業務を選定し、内部統制を部分的に評価します。
2. J-SOX法(内部統制)3点セットの作成
内部統制の評価にあたっては、以下の3点セットの作成と活用が一般的です。
資料の種類 | 内容 |
---|---|
業務記述書 | 業務内容や手順、業務担当者などを明文化した書類を指します。業務の概要や管理方針、業務分担などを把握するために作成します。 |
フローチャート | 業務の流れを図式にして可視化した書類です。取引と会計処理の流れを整理することで、内部統制上のリスクが明確になります。 |
リスクコントロールマトリクス(RCM) | 業務上のリスクと、そのリスクへの対応策を表にした文書です。業務ごとのリスクを識別し、どのようにリスクを低減させるのかといった関係性が明確になります。 |
3点セットの作成には多くの時間を要します。
作成に困った場合は、金融庁が公開しているサンプルの活用、または外部の専門家への作成依頼をおすすめします。
3. 自社の内部統制の評価・是正
作成したJ-SOX法3点セットを用いて、実際に内部統制の評価を実施します。
結果に問題があった場合は内部統制を是正し、是正できなかった不備は「開示すべき重要な不備」なのかを評価したのち、評価過程と評価結果を内部統制報告書に記載します。
4. 公認会計士・監査法人に監査を依頼
監査人は、経営者が内部統制の評価後に作成した内部統制報告書に虚偽がないかを評価します。監査対象は内部統制報告書の記載内容のみで、内部統制の有効性自体は評価しません。
万が一、内部統制に重要な不備が見つかった場合でも、内部統制報告書にその旨の記載があれば、内部統制報告書は適正であると判断されます。監査後の結果は、内部統制監査報告書にまとめられます。
5. 内部統制報告書を提出する
監査を終えた報告書は、各事業年度末に有価証券報告書に添付して財務局および金融庁に提出します。
新規上場企業にも内部統制報告書の提出は義務付けられており、これから上場を目指す企業はJ-SOX法への対応が必要不可欠です。
J-SOX法において求められる役割
経営者は内部統制の評価
内部統制報告制度において、経営者は自社の内部統制を整備・運用する役割と責任を有しています。そのうえで、各事業年度の期末日における内部統制の有効性を評価し、評価結果を内部統制報告書という形で社外に報告します。内部統制報告書は、監査法人等の監査意見を受けて、有価証券報告書に添付する形で公表されます。
「整備」とは、ある一定時点における内部統制が適切に設計され、かつ実際に業務に適用されることを意味します。一方で「運用」とは、当該内部統制を一定時点のみならず一定期間、継続的に有効に機能させることを意味します。
経営者による内部統制の評価・報告は投資家にも公表されるため、その役割は大変重要といえます。
監査人は内部統制の監査
監査人は、経営者による自社の内部統制の評価方法や結果をまとめた内部統制報告書を、独立の立場から監査を行う役割と責任を有します。
内部統制に対する意見は、内部統制の評価に関する監査報告書(内部統制監査報告書)により表明されます。
なお監査の対象は、あくまで経営者が作成した内部統制報告書の記載の虚偽の有無であり、内部統制の有効性自体は監査しません。よって、企業の内部統制に重要な不備が検出されても内部統制報告書上にその旨が開示されれば、監査意見は「適正」となります。
一方、内部統制上の重要な不備が検出されているにもかかわらず、内部統制報告書上で「内部統制は有効である」と報告した場合、当然ながら、監査意見は「不適正」となる可能性が高まります。
海外子会社へ内部統制を導入する方法
海外子会社に内部統制を導入することは、国内子会社の内部統制構築に比べると、言語や慣習の違いも影響するため、難易度は高いと考えられます。ここでは、海外子会社に内部統制を導入する際の留意点を解説します。
海外子会社への内部統制導入のステップは、下記のとおりです。
- 現地の体制確認
- 導入スケジュールの決定
- 文書のフォーマット・評価項目の決定
- 内部統制に関する教育・概念の説明
- 統制内容の調査
- 業務内容の調査
- 現地に即した3点セットの作成
それぞれについて説明します。
1.現地の体制確認
海外子会社の場合、内部統制担当者が現業と同時進行で対応するケースが多く、リソースが十分でない状況が想定されます。
内部統制の導入にあたり、まず、現地の海外子会社ではどの程度内部統制対応が可能な人員が存在するかを把握する必要があります。
2.導入スケジュールの決定
海外子会社への内部統制導入のスケジュールは、国内子会社に比べて、内部統制の対応に余裕を持たせることがポイントです。
対海外子会社では、物理的な距離や時差が生じるため、親会社と対面でのコミュニケーションは難易度が高いといえます。また、現地との主なコンタクトの手段であるメールでのコミュニケーションは、やりとりに時間がかかります。
さらに海外では長期休暇による担当者不在のケースもあるため、事前に休暇日程を確認したうえでスケジュールを策定することにより、作業の効率化につながります。
3.文書のフォーマット・評価項目の決定
内部統制評価において使用する3点セットや、評価調書等の文書のフォーマットおよび評価項目を決定する必要があります。
文書のフォーマットについては、使用言語を問わず、新任の担当者が容易に理解できる表現を用いるのが望ましいと考えられます。また評価調書上の評価項目については、国内拠点の場合と同様に、監査法人と事前に協議する必要があります。
特に、評価項目の数が多すぎると大幅な作業工数が発生し、非効率になる恐れがあります。この点も監査人との協議内容に含めたほうがよいでしょう。
4.内部統制に関する教育・概念の説明
内部統制の導入において、現場への教育は非常に重要です。 J-SOX法は、海外子会社にとってはなじみの薄いものといえます。そもそも、なぜ内部統制の構築が必要かを、現地へ説明する必要もあります。
さらに、日本の親会社と海外子会社とでは使用言語も異なります。本社と現地担当者とのコミュニケーションギャップの解消という課題もあります。
内部統制の教育を行ううえで押さえるべきポイントは、以下の2つです。
内部統制は既存の業務の中に数多く存在する
内部統制の概念から説明しても、現地の人員は難しいイメージを持ったり、ゼロから大掛かりなものを構築したりすると捉えがちです。
しかし、現地の従業員が日々取り組んでいる業務(資料間のチェック、承認など)の中にも、多くの内部統制が存在しています。
初期の段階から内部統制に対してマイナスイメージを持たれないよう、具体的な日常業務を交えながら指導・教育することが効果的です。
現地の慣習・ルールを尊重し、親会社からトップダウンによる指導を行わない
現場への教育にあたっては、現地の慣習などを尊重し、決して親会社からトップダウンで行うわけではないことを伝えます。海外子会社が主体となって内部統制を構築することの理解を促しましょう。
現地の人員に納得感を持ってもらえると、現地の協力を得やすくなり、作業がスムーズに進められます。そのためには、現地とのコミュニケーションを根気よく取ることが大切です。
可能であれば、現地へ出向いて対面で教育を行うことが望ましいです。会食等を通じて現地のメンバーと仲良くなるのもよいでしょう。
5.統制内容の調査
内部統制の構築に当たり、まず業務の中でどのような内部統制が構築されているか、すなわち統制内容の調査を現地にて行います。
内部統制上の評価項目は、J-SOX法である程度決まっています。したがって、進め方としては、評価項目ごとの統制内容に関する質問書を現地へ送付し、回答を依頼します。
なお、あらかじめ質問書に内部統制上の評価ポイントについての補足を付け加えておくと、求める回答をスムーズに得られやすくなります。
6.業務内容の調査
内部統制評価を行うにあたり、業務プロセスについては3点セット(業務フローチャート、業務記述書、RCM)と呼ばれる文書を作成します。3点セットを作成するため、現地における業務内容の調査を行います。
進め方としては、まず現地の子会社における規程類や業務マニュアルなどの文書を入手します。これらを確認し、業務の概要を理解します。その後、3点セットの作成に必要な、業務内容を確認するための質問書を作成します。
質問内容の例としては、販売プロセスにおいて使用されるシステムの確認や、上長による決裁方法が紙かシステム承認かの確認等が考えられます。規程類等だけでは分からない情報は、質問を現地に投げて確認する必要があります。
7.現地に即した3点セットの作成
内部統制導入の最終段階において、前述した統制・業務内容の調査結果を基に、3点セットを作成します。当タスクは、内部統制対応の中では最も作業工数がかかります。
3点セットの文書化においては、業務内容の詳細を正確に記載したり、日本では馴染みのない現地固有の業務内容を理解したりするため、多くの作業工数が発生します。文書化に使用する言語が日本語以外の場合は、翻訳の作業負荷も生じます。
もし、3点セットの文書化の品質が低い場合、後工程である整備・運用状況評価の場面において手戻りが生じ、想定外の作業工数が発生する恐れもあります。
有効かつ効率的な3点セットを作成するには、以下のようなポイントが重要です。
- 勘定科目、リスク、コントロールそれぞれの関係が明確である
- プロセス全体を俯瞰的に確認可能である(過度に詳細でない)
- コントロールの記載内容が具体的である
海外子会社において、内部統制の文書化に係る十分なノウハウを有していない場合は、親会社のサポートが必要です。
サポートの方法としては、各プロセスにおける標準リスク・コントロールを、親会社が事前に設定しておくことが有効です。
海外子会社が一から文書化を進めるのではなく、標準リスク・コントロールに相当する業務を特定し、文書を作成する手法が有効かつ効率的と考えられます。
まとめ
内部統制は「経営者や社員が遵守すべきルールや仕組み」のことで、これらを構築するのは経営者の役割です。
しかし、内部統制は単なる社内ルールに終始せず、金融庁が提示した厳格な基準のもとに定めなければなりません。特に上場企業においては、それがきちんと機能しているかどうかを報告することも義務付けられます。また、海外企業の買収に伴い、急に海外子会社がJ-SOX法の評価の対象になり、内部統制に係る負担が増加する事象も多く生じています。
一方で、企業が適切な内部統制を構築・運用することは、事業活動を円滑にし、企業のさらなる成長へつながる可能性もあるでしょう。
J-SOX法の自社対応が難しい場合は、外注を視野に入れながら、スケジュールに余裕を持った対応を心がけましょう。