J-SOX法は上場企業が遵守すべき規定のひとつ
J-SOX法は「金融商品取引法に基づく内部統制報告制度」の一部に対する俗称です。企業の財務報告において、信頼性を確保するための規則になっています。また上場企業には、J-SOX法に基づいた内部統制の整備・運営が義務づけられています。
まずはJ-SOX法の基本的な知識と内部統制との関係について、見ていきましょう。
米国SOX法の概要
J-SOX法は米国のサーベインズ=オックスリー法(SOX法)をもとに作られた制度です。「日本版SOX法」とも呼ばれます。企業の不正な財務報告問題ヘの対応として導入されました。
経営者は事業年度ごとに「内部統制報告書」を作成・提出し、監査証明を受けることが定められています。
米国SOX法は2001年に発覚したエンロン事件をはじめとする大規模な会計不正事件を契機として、2002年に制定された法律です。
SOX法では経営者に対して財務報告に関する内部統制の有効性評価を求め、結果について宣誓することを義務付けました。経営者の説明責任の強化や内部統制の整備・運用に関する具体的な要求事項の明確化や違反に対する厳格な罰則規定の設置を特徴としています。
SOX法の制定は企業の信頼性向上と、市場の健全性確保に大きく貢献しました。監査人の独立性強化や内部告発者保護規定の整備など、企業統治の実効性を高めるための包括的な施策が盛り込まれています。
J-SOX法の導入経緯
日本国内で内部統制の必要性が広く認識されるようになったきっかけは、大和銀行事件の判決だと言われています。同銀行ニューヨーク支店のトレーダーが、米国債の不正売買によって11億ドルもの損失を発生させた事件です。企業や取締役、監査役の責任が問われ、株主に対する損害賠償責任が認定されました。
その後もいくつかの不正事件を経て、2005年に会社法に内部統制の規定が盛り込まれました。そして2006年、金融商品取引法にJ-SOX(日本版SOX法)が採用されたのです。
J-SOX法では経営者による内部統制の整備・運用と、評価結果の開示が求められています。評価結果について監査法人による監査を義務付けることで、二重のチェック体制を構築しているのです。
J-SOX法に基づく内部統制に必要な3点セット
J-SOX法に基づく内部統制では、以下の3つが「3点セット」と呼ばれます。いずれも業務プロセスを可視化し、リスクと統制を明確化するための文書です。
- 業務記述書
- フローチャート
- リスクコントロールマトリックス(RCM)
業務記述書は対象となる業務プロセスの概要や手続きを文書として記述します。業務の目的や流れなどが明確に記載され、業務の全体像を把握するための文章です。
フローチャートは業務記述書の内容を視覚的に表現し、業務の流れを図示します。業務の実施手順や承認プロセス、システムの利用状況などを時系列で示したものです。業務の流れとチェックポイントを可視化します。
リスクコントロールマトリックスは、業務プロセスに潜在するリスクと、それに対応する統制活動を整理した一覧表形式です。各業務ステップにおけるリスクの内容、統制活動の種類と内容などが体系的に記録されます。
これらの文書を補完しあい、一体的に運用することで、効果的な内部統制評価ができるようになります。
内部統制の内部監査との違いは?
内部監査と内部統制の大きな違いは、以下のとおりです。
- 内部監査:企業の業務について、独立した立場から検証・評価する取組
- 内部統制:日常的な業務内での、管理の仕組み
内部監査は企業の業務全般について、独立した立場から検証・評価を行う活動です。内部監査は内部監査部門や監査役といった専門の担当者が実施し、経営者に対して改善提案を行います。
監査の範囲は業務全般におよび、効率性や有効性、コンプライアンスなど、幅広い観点から評価を行います。
一方内部統制は、日常的な業務に組み込まれた管理の仕組みです。主に財務報告の信頼性確保に重点を置いた制度です。
全従業員が日常業務の中で実施する継続的な取り組みであり、決められた手続きやチェックを通じて、不正や誤りを防止する役割を果たします。
2024年4月J-SOX法改訂のポイント
2024年4月、内部統制報告制度の改定が行われました。
主な改訂のポイントは、以下のとおりです。
- 内部統制の基本的枠組み
- 財務報告に係る内部統制の評価および報告
- 財務報告に係る内部統制の監査
改訂では近年のデジタル化の進展やビジネス環境の変化に対応するため、内部統制の基本的な考え方が見直されました。
「内部統制の基本的枠組み」ではIT委託業務に関わる統制やサイバーセキュリティの重要性や、内部統制関係者に対する役割や責任を明確にする記載が盛り込まれています。
「財務報告に係る内部統制の評価及び報告」では、評価範囲の決定に関する留意点が明確化され、業務プロセスの評価範囲等に関する実務的な指針が示されました。
「財務報告に係る内部統制の監査」においては、監査人は財務諸表監査で得た証拠を活用し、経営者と適切に協議を行う必要があることが明記されています。
J-SOX法と内部監査
効果的な内部統制システムには、内部統制が適切に機能しているかを独立した立場から評価・検証する仕組みが必要となります。内部監査は内部統制の機能をチェックし、見直しを行うために重要な役割を果たします。
内部監査の目的や役割を、わかりやすくまとめました。
内部監査の目的・役割は?
内部監査は不正や不祥事の防止のためだけに行う取り組みではありません。経営目標の達成に役立つことを目的とした、コンサルティング活動の一環としても役立ちます。
内部監査の主な役割・目的は、以下のとおりです。
- 業務の有効性・効率性の向上:関連法令・規定・業務マニュアル運用などのチェック
- 法令を遵守していることの保障:監査におけるコンサルティング活動の実施
- リスク低減と不祥事の防止:社内に不正行為の有無の調査と早期発見
内部監査は業務の有効性および効率性、財務報告の信頼性や法令等の遵守、資産の保全を図るために行われます。内部監査員は体系的な分析・評価を通じて、組織体のガバナンス・プロセスやリスクの管理・コントロールの有効性を評価し、改善に向けた提言を行います。
具体的には関連法令や規定、業務マニュアル運用などをチェックしたり、監査におけるコンサルティング活動として改善施策の提言をしたりします。また業務プロセスの適切性や内部統制の有効性について、客観的な評価と保証を行うのも内部監査の役割です。
さらに内部監査で明らかになったリスクや課題を基に、業務改善や効率化に向けた提言を行うこともあります。内部監査は企業の持続的な成長を支援する戦略においても、大きな影響力を持っているのです。
J-SOX法における内部監査の役割
内部監査は財務報告に係る内部統制の評価としても、重要な役割を果たします。J-SOX法における主な役割は、以下のとおりです。
- 内部統制の評価・検証
- 内部統制の不備の識別
- 不備が発見された場合には、そのリスク分析
- J-SOX法対応の評価を効率化する
内部統制の評価・検証
経営者は内部統制の整備・運用に関する最終的な責任を負いますが、内部監査はその実効性を評価・検証する役割を担います。内部監査では評価活動を通じて内部統制の不備を識別し、重要性を判断するのです。また内部統制の整備では、社内規程やマニュアル、業務記述書などの3点セットの作成等において、内部監査も大きな役割を果たします。
評価の過程では、内部統制の基本的要素である統制環境やリスクの評価と対応について、それぞれの有効性を検証します。
内部統制の不備の識別
また発見された不備については、その影響度や発生可能性を考慮して重要性を判断します。重要な不備に該当する場合には、速やかに経営者に報告しなくてはなりません。不備を報告する際には、後述するリスク分析も行いましょう。優先度をはっきりさせることで、取り組むべき対応がより明確になります。
不備が発見された場合のリスク分析
内部統制に不備が発見された場合、その重要度や出現頻度を分析し、リスクの高さを明らかにする必要があります。法令に抵触する行為や業務上の危険には、すぐに対処する必要があります。また長期的に見て影響が大きくなりそうな不備には、根本的な解決が必要です。
適切な対処を行うためにも、リスク分析は重要な要素となります。法的には、内部監査に報告義務はありません。しかし企業活動の有効性とリスクを判断するためには、内部監査は大きな役割を果たす取り組みです。
J-SOX法対応の評価を効率化する
上場企業には内部統制報告書の提出が義務付けられています。内部統制報告書は毎年提出しなくてはならず、作業の負担が大きくなりがちです。
内部監査がきちんと機能している企業では、内部統制に対する評価に関する文書や調査もスムーズです。内部監査の際にJ-SOX法をはじめとした法令を遵守しているかどうか、確認されているからです。J-SOX法対応の評価を効率化する意味でも、内部監査には利点がある業務となります。
内部監査の流れ
内部監査にはさまざまなやり方がありますが、大まかな流れは以下のとおりです。
- 監査計画の策定
- 実施準備
- 監査の実施
- 監査報告書の作成
- フォローアップ
内部監査の実施プロセスと、各段階での重要なポイントを確認していきましょう。
参考:一般社団法人日本内部監査協会「内部監査基準」
①監査計画の策定
内部監査計画の策定では、以下の内容を文章化します。
- 目標
- 範囲
- 実施時期
- 資源配分
また個別計画の策定にあたっては、以下の点に留意してください。
- 対象部門の目標や業績管理の手段
- 経営資源に対するリスクとその影響を受容可能な水準に維持するための活動・手段
- リスク・マネジメントおよびコントロール・システムの妥当性と有効性、改善勧告
監査の準備としては、まず業務の目標や範囲、項目について、当該部門の同意を得る必要があります。その後、調査に先立つ予備調査を行いましょう。
対象部門に必要なデータや書類の準備を依頼し、本調査の準備を整えます。
②監査の実施
内部調査の実施のポイントは、以下の4つです。
- 情報目標を達成するために質的・量的に十分であることが必要です。また、信頼性、関連性があり、有用な情報であることも確認しましょう。
- 情報の分析・評価情報の適切な分析と評価に基づいて結論を出すこと
- 監査過程の記録内部監査人は結論と関連情報を記録します。必要に応じて当該記録を内部監査部門以外の者に閲覧させる場合には、部門長が事前に最高経営者や法律顧問の承認を得なくてはなりません。
- 内部監査の監督目標の達成や品質の保証等のため、内部監査の実施は、適切に監督されることが必要です。
マニュアルや業務プロセスのチェックだけでなく、必要に応じてサンプリングチェックやインタビューを行いましょう。
③監査報告書の作成
内部監査の報告は原則として文書で行いますが、必要に応じて口頭による説明を併用してもかまいません。主な報告先は、以下のとおりです。
- 最高経営者
- 取締役会
- 監査役会または監査委員会
- 指摘事項等に関し適切な措置を講じ得る者
特に重大な問題が発覚した場合には、最高経営者および取締役会に報告する必要があります。なお外部に結果を公表する場合には、事前に以下のことを行いましょう。
- 結果の公表によって生じる可能性のある潜在的リスクの評価
- 最高経営者および法律顧問への相談
- 結果の使用や配付先の制約についての検討
ただし法令または規則により別途必要と定められている場合は、この限りではありません。
④フォローアップ
内部監査の結果に基づく指摘事項や改善提案事項について、その後の状況を継続的に調査・確認するためのフォローアップのプロセスを構築しましょう。実現困難な問題等については原因を確認し、阻害要因の除去等についての協議が必要です。
さらに大きなリスクを許容している役員等がいた場合には討議を行い、問題を解決できないときには、最高経営者や取締役会等に報告してください。
J-SOX法に則った運用を行うためのポイント
内部統制は一度の対応で完了するものではありません。法令遵守を確実にし、同時に効率的な業務運営を実現するためには、継続的な改善と安定した運用が必要です。
J-SOX法に則った運用を行うポイントは、以下のとおりです。
- 基本方針を明確化する
- 基本文書を常に最新化する
- 監査法人との適切に連携する
まず大切なのは、経営者による基本方針の明確化です。内部統制が単なる法令遵守のためではなく、企業価値の向上に資する取り組みであることを全社で共有することが重要となります。
実務面では業務記述書、フローチャート、リスクコントロールマトリックス(RCM)といった基本文書を常に最新の状態に保つことが求められます。業務プロセスの変更や組織改編が行われた場合には速やかに関連文書を更新し、変更内容を適切に記録することが重要です。
また監査法人との適切な連携も不可欠です。評価範囲や重点項目について協議を行い、重要な変更や問題点については適時に情報共有を行うことで、混乱を防ぐことができます。
必要な取り組みを継続的に実施し、改善を図ることで、効果的かつ効率的な内部統制の運用が可能となるのです。
J-SOX法における内部監査について解説しました
J-SOX法への対応は、単なる法令遵守以上の意味を持ちます。適切に整備・運用された内部統制システムは経営の透明性を高め、企業価値の向上に貢献するからです。効果的な企業成長へとつなげるためには、内部監査とも適切に連携することが重要です。
内部監査は独立した立場から内部統制の有効性を評価・検証し、必要な改善提言を行います。実効的に機能するためには、経営者の明確な方針のもと、適切な体制整備とリソースの確保が不可欠です。
また監査法人との連携を強化し、継続的な改善を図ることで、より効果的な内部統制の実現が可能となります。
内部監査を戦略的な経営プロセスの一部と位置づけ、最大限に活用していきましょう。