J-SOX法(内部統制報告制度)とは
投資家保護と健全な金融市場の維持のため、上場企業が遵守すべき規定のひとつがJ-SOX法です。まずは基本的な概念や実務での重要性を確認していきましょう。
J-SOX法と米国のSOX法
J-SOX法とは「金融商品取引法に基づく内部統制報告制度」の一部に対する俗称です。アメリカで企業の不正な財務報告問題への対応として導入されたサーベインス=オックスリー法(SOX法)に対応することから、「J-SOX法」または「日本版SOX法」と呼ばれることが多いです。
金融商品取引法では経営者は事業年度ごとに「内部統制報告書」を作成・提出し、監査証明を受けるよう定められています。
J-SOX法では経営者による内部統制の整備・運用と、評価結果の開示が求められています。さらに評価結果について監査法人による監査を義務付けることで、二重のチェック体制を構築しているのです。
投資家は企業の財務情報をより信頼性の高い形で得ることができ、適切な投資判断が可能となります。
J-SOX法の導入経緯
日本国内で内部統制の必要性が広く認識されるようになったきっかけとして、大和銀行事件があります。1995年、同銀行ニューヨーク支店のトレーダーが、米国債の不正売買によって11億ドルもの損失を発生させたのです。この事件では該当のトレーダーだけでなく企業や取締役、監査役にも責任があるとされ、株主に対する損害賠償責任が認定されました。
経営者が直接監視できない業務プロセスや従業員の動きに対し、有効なリスク管理体制の構築が必要とされたのです。その後もいくつかの不正事件で内部統制構築責任が認められています。
こうした経緯を踏まえ、2005年には会社法に内部統制の規定が盛り込まれ、2006年に成立した金融商品取引法ではJ-SOX(日本版SOX法)が採用されたのです。
(参考:町田祥弘『内部統制の知識〈第3版〉』日本経済新聞出版社)
J-SOX法の役割・目的
J-SOX法の主な役割は、財務報告の信頼性を確保することです。
内部統制には経営者による評価と、監査法人による監査という二段階のプロセスが設定されています。経営者は財務報告に関する内部統制の有効性を評価し、その結果を内部統制報告書として公表します。そして監査法人は経営者による評価の結果が適正であるかどうかを、独立した立場から検証する仕組みです。
内部統制が正しく行われた財務報告は信頼性が確保され、投資家はより正確な情報を基に、投資判断を行うことができます。
2024年4月J-SOX法改訂のポイント
2008年に適用された内部統制報告制度は、財務報告の信頼性の向上に一定の効果があったとされる一方で、実効性に関する懸念も指摘されてきました。2024年4月の改訂では近年のデジタル化の進展やビジネス環境の変化に対応するため、内部統制の基本的な考え方が見直されています。
主な改訂のポイントは、以下のとおりです。
- 内部統制の基本的枠組み
- 財務報告に係る内部統制の評価および報告
- 財務報告に係る内部統制の監査
「内部統制の基本的枠組み」ではIT委託業務に関わる統制やサイバーセキュリティの重要性が強調されたほか、内部統制関係者に対する役割や責任を明確にする記載が盛り込まれました。
「財務報告に係る内部統制の評価及び報告」では、評価範囲の決定に関する留意点が明確化されました。重要な事業拠点の選定基準や業務プロセスの評価範囲に関する、より実務的な指針が示されています。またITを活用した評価手続きについても、具体的な方向性が示されました。
「財務報告に係る内部統制の監査」においては、監査人は財務諸表監査で得た証拠を活用し、経営者と適切な協議を行う必要があることが示されました。必要に応じて経営者との協議が行われますが、監査人の独立性確保が重要視されています。
改訂後の内部統制では、サステナビリティやIT技術といった近代的課題への対応や、不正リスクへのより厳格な対策が求められると言えそうです。
参考:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
J-SOX法の5つの特徴(米国SOX法との違い)
J-SOX法は日本企業の実情に合わせて、効率的かつ実効性の高い内部統制を実現するための特徴を持っています。SOX法とは異なるJ-SOX法の主な特徴は、以下のとおりです。
- トップダウン型のリスク・アプローチ
- 不備区分の簡素化
- ダイレクトレポーティングの不採用
- 内部統制監査と財務諸表監査の一体的実施
- 三様監査の実施を認める
トップダウン型のリスク・アプローチは、まずは重要性の高い領域を絞り込み、重点的に評価を行う方法です。全ての業務プロセスを同じように評価するのではなく、リスクの高い領域に経営資源を集中させることで、効率的な内部統制の実現が可能となります。
また内部統制の不備区分も簡素化されています。SOX法では「重要な欠陥」「不備」「軽微な不備」の3つに区分される項目が、J-SOX法では「重要な欠陥」と「不備」の2つになりました。
さらに外部監査人による内部統制の評価であるダイレクトレポーティングを採用しないことによって、企業の負担を軽減しています。
ダイレクトレポーティングとは、監査人が直接内部統制を評価・報告する方式です。J-SOX法では経営者が内部統制を評価し、評価結果の妥当性を監査人が監査する方式を取っています。
内部統制監査と財務諸表監査の一体的実施も可能です。これは監査手続の重複を避け、効率的な監査を行うための方法です。両監査で得られた情報を相互に活用することで、より効果的なリスク評価と不正の発見にもつながっています。
外部監査人と企業内の監査役・内部監査の3つを併せた「三様監査」の連携も認められています。これは監査の効率化だけでなく、企業負担の軽減や、不正・不祥事の抑制にも効果があるとされる仕組みです。
会社法の内部統制とJ-SOX法の違い
会社法の内部統制とJ-SOX法の主な違いは、以下のとおりです。
会社法の内部統制
- 目的:罰則企業経営の適法性と効率性の確保
- 対象企業:全ての株式会社
- 開示:大会社では取締役会での決議と事業報告での開示が必要
- 作成文書:内部監査実施計画、内部監査報告書など
- 罰則:なし
J-SOX法
- 目的:財務報告の信頼性確保
- 対象企業:上場企業のみ
- 開示:詳細な内部統制の整備・運用状況の評価と結果の開示が必要
- 作成文書:内部統制報告書 など
- 罰則:あり
会社法の内部統制は企業経営の適法性と効率性の確保を目的とし、全ての株式会社が対象です。取締役の職務執行が法令および定款に適合することを確保するための体制整備が求められ、大会社では取締役会での決議と事業報告での開示が必要となります。
J-SOX法は財務報告の信頼性確保に焦点を当て、上場企業のみを対象としています。より詳細な内部統制の整備・運用状況の評価と結果の開示が求められ、監査法人による監査も必要です。
また内部監査では内部監査実施計画を策定し、文書として残さなくてはなりません。監査の結果は、内部監査報告書等で報告します。罰則に関しては法的な決まりがなく、必要に応じて判断されます。
J-SOX法では内部統制報告書の提出が必要です。報告をしなかったり、虚偽があった場合には、罰則が定められています。
内部統制の4つの目的・6つの基本的要素
内部統制とは企業が事業活動を適正かつ効率的に行うために整備する基本的な管理の仕組みです。4つの目的と、6つの基本要素から成り立ちます。
内部統制の4つの目的
- 業務の有効性及び効率性
- 財務報告の信頼性
- 事業活動に関わる法令等の遵守
- 資産の保全
内部統制の6つの基本的要素
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
この仕組みは企業の全ての階層で機能し、組織全体で取り組まれるものです。各要素は相互に関連し合い、一体となって機能することで、企業の健全な経営を支えています。
内部統制は単なるルールや手続きではなく、日常的な業務プロセスに組み込まれた形で実施されます。J-SOX法に基づき、各目的や要素を満たす取組を行うことで、内部統制は企業の健全な運営のためのセーフティネットともなりうるのです。
J-SOX法(内部統制報告制度)への対応
内部統制では「業務記述書」「業務フロー図」「リスクコントロールマトリックス(RCM)」といった、いわゆる「内部統制3点セット」の準備等が必要です。ここではJ-SOX法の対象となる企業や内部統制の流れを見ていきましょう。
J-SOX法の対象になる企業
内部統制報告制度の対象となるのは、株式が証券取引所に上場している企業とその子会社や関連会社、海外の子会社です。
内部統制に関しては金融商品取引法や会社法で、以下の項目を確保するための体制を整備することが定められています。
法令や定款に適合した取締役の職務執行
株式会社や、子会社から成る企業集団の業務の適正
(引用:会社法362条・金融商品取引法24条)
また内部統制の一環として、内部監査が必要になる企業もあります。
さらに新規上場を目指す企業においては、上場審査の過程で内部統制体制の整備状況が重要な審査項目のひとつです。上場準備の段階から、計画的な体制整備を進めていきましょう。
J-SOX法において経営者、監査法人の役割
J-SOX法における経営者と監査法人の主な役割は、以下のとおりです。
- 経営者:内部統制の整備・評価
- 監査法人:内部統制の監視
経営者は全社的な内部統制の方針を策定し、業務プロセスレベルの統制活動を設計するのが役目です。内部統制の整備・運用について、最終的な責任を負います。評価にあたっては、経営者は自社の事業特性やリスクを考慮して評価範囲を決定し、統制活動の整備・運用状況を確認します。
一方監査法人は、経営者による内部統制の評価結果の信頼性を確保する役割を果たす存在です。全社的な内部統制の評価結果を検討するとともに、業務プロセスに係る内部統制の評価結果についても詳細に確認します。また経営者の評価プロセスが適切な方法で実施されているかどうかも検証項目のひとつです。
経営者と監査法人がそれぞれの役割を適切に果たすことで、財務報告の信頼性が確保され、制度の目的が達成されます。
J-SOX法対応の進め方
それでは、J-SOX法対応を進める際の大まかな手順を見ていきましょう。全体の流れは、以下のとおりです。
評価範囲の決定
まず重要な事業拠点や業務プロセスを特定し、評価の範囲を決定します。売上高等の量的基準や、質的重要性を考慮して判断しましょう。
内部統制の3点セットの作成
業務記述書、業務フロー図、リスクコントロールマトリックス(RCM)を作成します。これらには提出義務はありませんが、内部統制を行う際の基礎となる文書です。長期的な企業の成長分析にも役立ちますので、しっかり作成してください。
<関連記事>【サンプルあり】RCM(リスクコントロールマトリクス)とは? 作成手順も紹介!
内部統制の評価・是正
文書化された統制活動の整備状況と運用状況を評価します。不備が発見された場合は、必要な是正を行いましょう。
公認会計士・監査法人による監査
独立した監査人が、経営者による評価結果の適正性を監査します。
内部統制報告書の提出
評価結果を内部統制報告書としてまとめ、有価証券報告書と併せて提出します。
まずは重要な事業拠点や業務プロセスを特定します。一般的には売上高等の量的基準や、質的重要性を考慮して判断される項目です。この段階で適切な範囲を設定することが、効率的な評価の実施につながります。
次に内部統制の3点セットと呼ばれる文書を作成します。業務の流れを文章で説明する「業務記述書」、業務の流れを図示する「業務フロー図」、それぞれのリスクをコントロールするためのRCMリスクコントロールマトリックスです。
3点セットを基に分析・文書化した統制活動の整備状況と運用状況を評価し、不備が発見された場合は、適切な是正措置を講じましょう。特に「開示すべき重要な不備」に該当する可能性がある場合は、速やかな対応が必要です。
最後に独立した監査法人による監査を受けます。監査法人は経営者による評価結果の適正性を検証し、監査意見を表明します。
評価結果を内部統制報告書としてまとめ、有価証券報告書と併せて提出してください。
違反した場合の罰則は?
J-SOX法に違反した場合、以下のような罰則が定められています。
内部統制報告書の虚偽記載や、重要な事項の記載漏れがあった場合
- 法人:5億円以下の罰金
- 個人:5年以下の懲役もしくは500万円以下の罰金、またはその両方
内部統制報告書の虚偽記載や重要な事項の記載漏れがあった場合、法人には5億円以下の罰金が、個人には5年以下の懲役もしくは500万円以下の罰金、またはその両方が科されます。
さらに内部統制報告書の未提出や提出遅延についても罰則が定められています。
違反行為が認定された場合、企業の社会的信用に重大な影響を及ぼす可能性があります。規則に則り、正しい内部統制を行いましょう。
海外子会社で内部統制を行うには?
海外子会社で内部統制を実施するには、現地の法制度や商慣習を考慮しながら、グループ全体で統一された基準を適用することが重要です。特に重要な子会社については、本社と同様の評価手続きが必要となります。
また言語や文化の違いにも配慮が必要です。現地スタッフへの教育や、本社との密接なコミュニケーション、ITシステムの統合などさまざまな取り組みを通じて、グループ全体での統制環境の整備を進めることが求められます。
監査手続きについても現地の監査人との連携や本社監査人による直接の評価など、適切な選択を行いましょう。
J-SOX法(内部統制報告制度)について解説しました
J-SOX法は上場企業の財務報告の信頼性を確保するための重要な制度です。2008年の導入以来、日本の企業環境に合わせた実効性の高い内部統制の仕組みとして機能してきました。
2024年4月の改訂では、デジタル化の進展に対応した新たな要件が加わり、より現代的な内部統制の実現が求められています。
経営者は単なる法令遵守としてではなく、企業価値の向上につながる取り組みとして内部統制を推進することが求められます。適切な評価範囲の設定、必要な文書の作成、継続的な運用状況の確認など、着実な実施が重要です。
J-SOX法に基づく内部統制は、企業の持続的な成長を支える重要な基盤のひとつです。経営者のリーダーシップのもと、全社一丸となって取り組むことで、より強固な経営管理体制の確立を目指しましょう。