内部統制報告制度（J-SOX）とは？特徴、目的、対応の流れから改訂までをわかりやすく解説

本コラムで引用している法令等については、以下の略称を使用しています。

• 意見書：財務報告に係る内部統制の評価及び監査の基準ならびに財務報告に係る内部統制の評価及び監査に関する実施基準の改定について（意見書）
• 改訂内部統制基準：財務報告に係る内部統制の評価及び監査の基準（最終改訂 平成23年3月30日 企業会計審議会）
• 改訂実施基準：財務報告に係る内部統制の評価及び監査に関する実施基準（最終改訂 平成23年3月30日 企業会計審議会）
• 実務指針：財務報告に係る内部統制の監査に関する実務上の取扱い（最終改訂 平成21年3月23日 日本公認会計士協会監査・保証実務委員会第82号）

1.財務報告に係るJ-SOX法（内部統制報告制度）とは

J-SOX法（内部統制報告制度）は、上場会社における投資家保護の観点から財務報告の信頼性の確保のために金融商品取引法によって定められています。具体的には、以下の対応が上場企業に求められています。

2.J-SOX法（内部統制報告制度）の導入経緯

2002年、米国のエンロン、ワールドコムの不正会計を発端に米国で企業改革法（The Sarbanes-Oxley Act of 2002）(通称SOX法)が成立しました。日本でも2004年以降、西武鉄道、カネボウといった有価証券報告書等の虚偽記載に関連する事件が相次いだことから、ディスクロージャーの信頼性を確保することが早急の課題となりました。
そうした事態を受けて、金融商品取引法では、経営者が「有価証券報告書の記載内容が適正であると確認した」というだけでは、財務諸表の信頼性を十分担保することはできず、経営者が、実際に、どのような体制で有価証券報告書の記載内容の確認を行ったのか、その体制は有効に機能していたのか説明した上で、外部の眼によるチェック（監査）が行われて、初めて一定の信頼性の確保が必要と考えられるようになりました。
こうした観点から2006年6月に成立した金融商品取引法により、上場会社を対象に、財務報告に係る内部統制の経営者による評価と公認会計士等による監査が義務付けられ（内部統制報告制度）、2008年4月1日以降開始する事業年度から適用されています。

3.J-SOX法（内部統制報告制度）の特徴

米国における制度の運用状況や見直しを踏まえて、以下6つの特徴があります。

上記の通り、日本の内部統制報告制度は、トップダウン型のリスク・アプローチが採用されています。トップダウン型のリスク・アプローチとは、内部統制の有効性を評価するにあたって、まず全社的な内部統制が有効に機能しているかを評価します。その結果を踏まえて財務報告の重要な虚偽記載につながるリスクに着眼し、必要な業務プロセスに絞り込んで評価する方法です。つまり、財務報告の信頼性に影響を及ぼす重要性の観点から必要な範囲において評価されることになります。

4.内部統制とは

内部統制報告制度で求められる内部統制とは、“経営者が会社を効率的かつ健全に運営するための仕組み”であり、4つの目的と6つの基本的要素で構成されています。

4-1.内部統制の4つの目的

内部統制は以下の4つの目的が達成されていることの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいいます。

1. ①業務の有効性及び効率性
2. ②報告の信頼性
3. ③事業活動に関わる法令等の遵守
4. ④資産の保全

出典：「財務報告に係る内部統制の評価及び監査の基準」金融庁

4-1-1.業務の有効性及び効率性

業務の有効性及び効率性とは、事業活動の目的の達成のため、業務の有効性及び効率性を高めることをいう。

4-1-2.報告の信頼性

財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保することをいう。組織内及び組織の外部への報告（非財務情報を含む。）の信頼性を確保することをいう。

4-1-3.事業活動に関わる法令等の遵守

事業活動に関わる法令等の遵守とは、事業活動に関わる法令その他の規範の遵守を促進することをいう。

4-1-4.資産の保全

資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ることをいう。

このうち金融商品取引法における内部統制報告制度は、財務報告の信頼性を確保するための内部統制を評価及び報告の対象としていますが、これには財務報告以外の目的も併せて達成されるように、業務に組み込まれている内部統制も含まれます。

また、内部統制は統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング（監視活動）及びIT（情報技術）への対応の6つの基本的要素から構成されており、内部統制の目的を達成するには、すべての基本的要素が有効に機能していることが必要であるとされています。

4-2.内部統制の6つの基本的要素

内部統制の目的を達成するためには、内部統制の6つの基本的要素が組み込まれたプロセスを整備し、そのプロセスを適切に運用する必要があります。
以下が、内部統制の6つの基本的要素です。

1. ①統制環境
2. ②リスクの評価と対応
3. ③統制活動
4. ④情報と伝達
5. ⑤モニタリング（監視活動）
6. ⑥IT（情報技術）へ対応

出典：「財務報告に係る内部統制の評価及び監査の基準」金融庁

4-2-1.統制環境

他の基本的要素の前提となるとともに、他の基本的要素に影響を与える最も重要な基本的要素です。
統制環境として具体的には誠実性及び倫理観、経営者の意向及び姿勢、経営方針及び経営戦略、取締役会及び監査役又は監査委員会の有する機能、組織構造及び慣行、権限及び職責、人的資源に対する方針と管理があげられます。

4-2-2.リスクの評価と対応

リスクとは組織目標の達成を阻害する要因を指します。自社にとって外的・内的にどのようなリスクが存在するか識別し、全社的なリスクか業務別のリスクかを分類し、リスクの発生可能性や頻度を分析・評価します。その結果を受けて評価されたリスクを回避・低減等すべく適切な対応を選択します。

4-2-3.統制活動

経営者においては、不正又は誤謬等のリスクを減らすために、各担当者の権限及び職責を明確にし、各担当者が権限及び職責の範囲において適切に業務を遂行していく体制を整備することが重要となります。例えば、取引の記録と承認をそれぞれ別の者に担当させることで相互牽制をきかせるなどがあげられます。
権限及び職責の分担や職務分掌を明確に定めることは、内部統制を可視化させ、不正又は誤謬等の発生をより困難にさせる効果が期待できます。

4-2-4.情報と伝達

経営者の方針や不正又は誤謬等の内部統制に関する情報は、適時かつ適切に伝達される必要があります。また、株主、監督機関等の外部の関係者に対しても必要な情報を適時かつ適切に報告・開示する必要があります。

情報と伝達は、その他の内部統制の構成要素とも密接に関係しており、内部統制の有効な運用を可能とする機能を有しています。

4-2-5.モニタリング（監視活動）

日常的モニタリングとは、通常の業務の中で内部統制の有効性を継続的に検討・評価することです。たとえば重要な取引先に対する売掛金の残高確認を担当者が実施した後に適切な管理者が確認する行為などがあります。

また日常的にモニタリングでは発見できないような経営上の問題がないかを別の視点から評価するために定期的又は随時に行われるものが独立的評価です。経営者・取締役会・監査役又は監査委員会・内部監査部門等により実施されます。
不備が発見された場合の方針及び手続を定めておくことも重要です。

4-2-6.IT（情報技術）への対応

組織に深くITが浸透している現状で、業務を実施する過程において組織内外のITに対し適切に対応することが、内部統制の目的を達成するために不可欠です。情報処理の有効性、効率性等を高めることで、有効かつ効率的な内部統制の構築を可能とします。

またITへの対応は、他の基本的要素をより有効に機能させることにもつながります。
ITを利用した統制活動を業務プロセスに組み込むことで統制活動の自動化を可能にし、ホームページ上で組織外部に向けてメッセージを掲載することは、情報の伝達の有効性を確保することにつながります。

5.J-SOX法（内部統制報告制度）の流れ

5-1.経営者による内部統制の評価

経営者は、内部統制を整備・運用する役割と責任を負い、内部統制を評価・報告します。
具体的には以下の３つを評価します。

• 全社的な内部統制
• 決算・財務報告プロセスに係る内部統制
• 業務プロセスに係る内部統制

5-1-1.全社的な内部統制【チェックリスト付】

企業全体に広く影響を及ぼし企業全体を対象とする内部統制です。全社的な内部統制の評価結果を踏まえて、業務プロセスに係る内部統制を評価するため、内部統制の中でも土台となる統制と言えます。なお、実施基準では、参考として、内部統制の基本的要素（統制環境、リスクの評価対応、統制活動、情報と伝達、モニタリング、ITへの対応）ごとに評価項目が例示されており、チェックリストを用いて評価します。

【チェックリスト】財務報告に係る全社的な内部統制に関する評価項目の例

※本チェックリストは「財務報告に係る内部統制の評価及び監査の基準」（金融庁）の「財務報告に係る全社的な内部統制に関する評価項目の例」を参考に作成しています。

5-1-2.決算・財務報告プロセスに係る内部統制

決算・財務報告プロセスとは、主として経理部門が担当する月次の合計残高試算表を作成し、財務諸表を含む外部公表用の有価証券報告書を作成する一連の過程を指し、決算・財務報告プロセスに係る内部統制とは、財務報告の信頼性を確保するために、企業グループ全体の体制として整備する仕組みです。決算・財務報告プロセスに係る内部統制の評価方法はその性質によって異なります。連結方針の決定や会計上の予測・見積もりなど、経営者の方針や考え方が反映されるものは、全社的な内部統制に準じて評価し、個別財務諸表の決算整理手続きなど個別の業務プロセスに近いものは業務プロセスに係る内部統制に準じて評価します。

5-1-3.業務プロセスに係る内部統制

業務プロセスに係る内部統制とは、重要な勘定科目や開示項目に関連する概要（各業務プロセスにおけるシステムに関する流れやITに関する業務処理統制の概要、使用されているシステムの一覧などを含む。）を対象とする内部統制です。業務記述書・フローチャート・リスクコントロールマトリクス（RCM）のいわゆる3点セット（※）を一般的に作成し、業務を可視化し評価します。

※3点セットとは？

• 業務記述書：だれが、いつ、どこで、何を、どのように業務を行い、仕訳につながる情報・資料を作成・加工・承認等しているかなど取引の開始から仕訳計上されるまでの一連の業務過程を文書化したもの
• フローチャート：業務の流れを視覚的にわかりやすい形で文書化したもの
• リスクコントロールマトリクス（RCM）：業務を把握する中で、識別したリスクとそれに対応するコントロール（統制）をまとめた一覧表

【関連コラム】

• 内部統制（J-SOX）の3点セットとは？概要と作成のポイント

5-2.経営者による内部統制の報告

経営者は、各事業年度末に自社の財務報告に係る内部統制について有効性を評価し、有価証券報告書とともに内部統制報告書を作成し、提出します。

5-3.監査法人による内部統制の監査

監査人は、内部統制報告書に対して、独立した立場からその有効性を評価する責任を有しています。
経営者の作成した内部統制報告書が、一般に公正妥当と認められる内部統制の評価の基準に準拠して、内部統制の有効性の評価結果を全ての重要な点において適正に表示しているかどうかについて、監査人自らが入手した監査証拠に基づいて判断した結果を意見として表明した「内部統制監査報告書」を作成し、提出します。

【関連コラム】

• 内部統制、全体像と1年間の評価の流れを把握

6.内部統制に関係を有する者の役割と責任

実施基準では、財務報告に係る内部統制の構築・運用に関してマネジメント層が有する役割と責任を明示しています。

6-1.経営者

経営者は、財務報告（開示書類）の信頼性に係る最終的な責任を有します。
経営者は、取締役会による基本方針の決定を受けて、内部統制を整備・運用する役割と責任を負う一方、当該整備・運用状況を適正に評価・報告することが求められています。

6-2.取締役会

取締役会は、内部統制の基本方針を決定します。
取締役会は、経営者の業務執行を監督することから、経営者による内部統制の整備及び運用に対しても監督責任を有しています。

6-3.監査役等

監査役等は、取締役及び執行役の職務の執行に対する監査の一環として、独立した立場から、内部統制の整備及び運用状況を監視、検証する役割と責任を有しています。
監査役等は、業務監査の一環として、財務報告の信頼性を確保するための体制、内部統制が適切に整備・運用されているかを監査します。

6-4.内部監査人

内部監査人は、モニタリングの一環として、内部統制の整備・運用状況を検討、評価し、その改善を促します。内部統制の独立的評価として重要な役割を担う経営者は、内部監査の有効性を高めるため、内部監査人から適時・適切に報告を受けることができる体制を確保することが重要です。

6-5.従業員

内部統制は、組織内の全ての者によって遂行されるプロセスであることから、上記以外の組織内のその他の者も、自らの業務との関連において、全従業員が目的を理解し、有効な内部統制の整備及び運用に一定の役割を担います。

7.内部統制の不備

経営者による評価の過程で発見された、財務報告に係る内部統制の不備（開示すべき重要な不備を含む）は適時に認識し、把握された不備は必要な是正措置をとる必要があります。以下は、内部統制に不備がある場合の事例です。

7-1.全社的な内部統制の不備事例

①取締役会や監査役会が機能していない場合

• 取締役会又は監査役が財務報告の信頼性を確保するための内部統制の整備及び運用を監督、監視、検証していない。
• 取締役会や監査役会において議論するのに必要十分な情報と資料が共有されていないことや表面上しか議論していない。
• 財務報告に係る内部統制の有効性を評価する責任部署が明確でない。
• 業務プロセスに関する記述、虚偽記載のリスクの識別、リスクに対する内部統制に関する記録など、内部統制の整備状況に関する記録を欠いており、取締役会又は監査役が財務報告に係る内部統制の有効性を監督、監視、検証することができない。
• 管理部門の管掌役員がいないことや、経理や財務の経験を有する取締役や監査役がいないことにより、会計処理の適切性が判断できない。

②従業員のコンプライアンス意識が不足している場合

• 会計基準や社内規程、社内手続を遵守する意識が不足している
• 経営者が営業部門に過度の予算を与えている

③内部監査が機能していない場合

• 内部監査責任者や担当者に内部監査や企業の業務の知見がなく、内部監査が機能していない
• 会計監査人、監査役、内部監査人の情報共有や連携がなされておらず、三様監査が機能していない

7-2.業務プロセス及び決算・財務報告プロセスの不備事例

①業務プロセス

• 業務上作成すべき資料、承認者などの業務ルールや社内規程が整備されていない、又は業務ルールや社内規程が役員や従業員に周知されていない
• 業務ルールや社内規程はあるがそれらに従って運用されていない、又は証跡が残っていないため運用状況を検証することができない
• 新しく買収した子会社や新規事業について、事業内容や管理体制が理解できておらず、社内管理体制が不十分

②管理部門における社内管理体制の不備

• 管理部門に専門的なスキルを有する人員が配備されていない
• 経理規程、経理マニュアル、開示マニュアルなどを規定していない事例、又はルールはあるが実態と一致していない
• 人員不足に起因し、経理担当者と財務担当者が兼任しており、職務分掌が不十分

③ITシステムに係る不備

• ITの外部委託に関して、委託契約の締結、更新のルールの情報管理規程が作成されていない
• システムの安全性を確保するために、パスワードの定期更新に関する棚卸を行っていない

8.J-SOX法（内部統制報告制度）の改訂について

8-1.改訂の背景

内部統制報告制度が、2008年4月1日以後開始する事業年度に適用の制度導入以来、15年ぶりに大きく改訂され、2024年4月1日以後開始する事業年度から適用されます。意見書には、制度改訂の経緯が記載されています。

①内部統制報告制度の実効性に関する懸念

経営者による内部統制の評価範囲の外で開示すべき重要な不備が明らかになる事例や内部統制の有効性の評価が訂正される際に十分な理由の開示がない事例が一定程度見受けられており、経営者が内部統制の評価範囲の検討に当たって財務報告の信頼性に及ぼす影響の重要性を適切に考慮していないのではないか等の内部統制報告制度の実効性に関する懸念が指摘されています。

②国際的な内部統制の枠組みの改訂に対応

国際的な内部統制の枠組が、経済社会の構造変化やリスクの複雑化に伴う内部統制上の課題に対処するために改訂されていますが、日本の内部統制報告制度では上記課題に対応する改訂は行われてきませんでした。そのため日本でも内部統制報告制度の改訂に至ったとのことです。

上記の経緯を踏まえて、主な改正点として意見書では、「内部統制の基本的枠組み」、「財務報告に係る内部統制の評価及び報告」「財務報告に係る内部統制の監査」について改正されています。

8-2.改訂の内容

8-2-1.内部統制の基本的枠組み

内部統制の構成要素である「リスクの評価と対応」、「情報と伝達」、「ITへの対応」に改訂が施されました。

リスクの評価と対応

不正に関するリスクの考慮の重要性及び考慮すべき事項が明確化され、内部統制報告制度の評価範囲の決定においても、リスクは変化するものであることを前提に適時な評価範囲の決定と見直しが期待されています。

情報と伝達

大量の情報を扱い、業務が高度に自動化されたシステムに依存している昨今のビジネス環境の中で、情報の信頼性の確保におけるシステムが有効に機能することの重要性が記載されました。

ITへの対応

昨今IT開発やサーバー管理など外部の会社に委託することも多く、ITの委託業務に係る統制の重要性が増していること、情報システムに係るセキュリティの確保の重要性が強調されました。

8-2-2.財務報告に係る内部統制の評価及び報告

経営者による評価範囲の決定において、数値基準を機械的に適用することなく、不正リスクや開示すべき重要な不備が識別された場合など、財務報告に対する影響の重要性を考慮した上で評価範囲を決定していくことが明示的に求められています。
また、評価範囲の決定に係る計画段階で把握した事象や状況が変化した場合、評価プロセスの過程で新たな事実を発見した場合には、評価範囲を再検討し、監査人と協議することを通じて、経営者は内部統制の評価範囲を適時に見直すことが強調されています。

8-2-3.財務報告に係る内部統制の監査

会計監査人は、内部統制評価の範囲外から内部統制の不備を識別した場合、内部統制報告制度における内部統制の評価範囲の見直しの必要性を十分に検討するとともに、必要に応じて経営者と協議することが適切である旨が明確化されました。

9.IPO準備企業におけるJ-SOX法（内部統制報告制度）対応の留意点

2015年5月29日に「金融商品取引法等の一部を改正する法律」の施行により、IPO準備会社の新規上場を促すことを目的として、社会・経済的影響力の大きな新規上場企業（新規上場時の資本金が100億円以上又は負債総額が1,000億円以上を想定）を除き、新規上場後3年間に限り「内部統制報告書」に対する公認会計士監査が免除されています。
ここで注意して頂きたいのが監査の免除であって、内部統制報告書の提出は免除されていない、という点です。つまり、IPO後、会社としてはJ-SOX対応について何ら変わりがないため、IPO準備の段階からIPO後を見据えてその対応を行う必要があります。

【関連コラム】

• IPO準備段階の内部統制報告制度（J-SOX）への対応－「監査」はIPO後3年免除。「提出」は必要－

また、内部統制対応は直前々期（N-3）には取り掛かり、監査対象期間である直前々期（N-2）には運用を始め、直前期（N-1）には改善し、申請期（N期）には運用・評価を問題なく回せるようになっていることが理想的です。ただ、現実的には直前々期（N-2）に取り掛かり、直前期（N-1）にプレ評価を実施し、申請期（N期）の本番を迎えるIPO準備会社が多い印象です。
直前期になって不備が発覚すると、IPO準備スケジュールに影響してしまうこともあります。不明点は監査法人に都度相談し、一つずつ課題を解決しながら、丁寧に進めていくと良いでしょう。

IPO Forum ネットワークとは

IPOを目指す経営者や企業をワンストップでサポートする、IPOの専門家によるネットワーク組織。
2014年発足。 事業計画書作成支援、内部統制構築支援などの実務サポートのほか、IPOの審査トレンドを解説する「IPO Forum」を半期に1度開催し、資本政策、労務管理など、IPOに必須の論点を解説する「IPO塾」を年間を通して開催している。メンバーによるコラムも定評がある。

【IPO Forumネットワークメンバー】
宝印刷株式会社 / 株式会社タスク /あいわ税理士法人 / TMI総合法律事務所 /アイ社会保険労務士法人 /株式会社オロ / イシン株式会社 /株式会社サーキュレーション /株式会社プロネット /株式会社オービックビジネスコンサルタント

IPO Forumネットワーク紹介資料

著書「この1冊ですべてがわかる 経営者のためのIPOバイブル 第2版」
（中央経済社）

監査法人内研修でも活用される、プロが認めたIPO指南書。
株式公開を行うために必要となる前提知識・資本政策・人員体制・IPO準備で絶対にやってはいけないことまで、Q&Aで優しく解説。
（ビジネス専門書オンライン）