2σ Guide

J-SOX・内部統制報告の実務と法務
評価範囲・開示リスク・監査対応

金融商品取引法上の内部統制報告制度について、制度趣旨、2023年改訂、評価範囲、3点セット、重要な不備、IT統制、監査対応まで横断的に解説します。

2008年制度適用の開始
2023年基準・実施基準改訂
2024年4月改訂基準の適用開始
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

J-SOX・内部統制報告の実務と法務 評価範囲・開示リスク・監査対応

制度趣旨、2023年改訂、評価範囲、開示リスクを最初に整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
J-SOX・内部統制報告の実務と法務 評価範囲・開示リス
ク・監査対応
制度趣旨、2023年改訂、評価範囲、開示リスクを最初に整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • J-SOX・内部統制報告の実務と法務 評価範囲・開示リスク・監査対応
  • 制度趣旨、2023年改訂、評価範囲、開示リスクを最初に整理します。

POINT 1

  • J-SOX・内部統制報告の全体像をつかむ
  • 1. 内部統制報告制度の適用開始:金融商品取引法に基づき、上場会社等が財務報告に係る内部統制を評価し、内部統制報告書を提出する実務が始まりました。
  • 2. 基準・実施基準・府令関係の改訂
  • 3. 改訂基準・改訂実施基準の適用:形式的な3点セット更新だけでなく、リスクに応じた評価範囲、監査人との協議、質的要素の説明が実務上の焦点になりました。

POINT 2

  • J-SOX・内部統制報告とは何か
  • 日本版SOXの意味、内部統制報告書の位置づけ、2023年改訂の意味を確認します。
  • J-SOXという呼称の意味
  • 内部統制報告書の役割
  • 経営者・取締役会

POINT 3

  • J-SOX・内部統制報告を支える法令・基準・実務指針
  • 金融商品取引法、内部統制府令、金融庁基準、監査実務、会社法、電子開示の関係を整理します。
  • 読者にとって重要なのは、どの論点をどの資料で確認するかを切り分け、開示、監査、ガバナンスの議論を混同しないことです。
  • 金融庁は2023年6月、内部統制府令及び内部統制府令ガイドラインの改正を公表しました。

POINT 4

  • J-SOX・内部統制報告と会社法上の内部統制システムの違い
  • 金融商品取引法上の開示制度と、会社法 上の業務適正確保体制を接続して考えます。
  • 法務部門が関与すべき場面
  • J-SOX・内部統制報告は、金融商品取引法上の開示規制として、財務報告の信頼性を中心に設計されています。
  • 会社法上の内部統制システムが整備されているからといって、J-SOX評価が自動的に完了するわけではありません。

POINT 5

  • J-SOX・内部統制報告の年間プロセス
  • 1. 評価計画と評価範囲案を作ります:重要性基準、リスク変化、監査人との協議予定を確認します。
  • 2. 文書と統制設計を更新します:全社的内部統制、決算・財務報告プロセス、業務プロセス、IT統制を現行業務に合わせます。
  • 3. 整備状況評価と運用評価を行います:ウォークスルー、サンプルテスト、例外処理の確認を通じて、統制が実際に機能しているかを見ます。
  • 4. 不備の集計と是正を進めます:不備、改善、補完統制、再評価を整理し、監査人、法務、監査役等と重要論点を協議します。
  • 5. 最終判定と報告書案を整えます
  • 6. 翌期へ反映します:是正状況、監査人指摘事項、翌期評価範囲への反映を管理します。

POINT 6

  • J-SOX・内部統制報告の評価範囲をどう決めるか
  • 1. 量的指標を確認します:売上高、総資産、税引前利益、重要勘定科目との関連を確認します。
  • 2. 質的要素を重ねます:不正リスク、複雑な契約、海外子会社、IT変更、委託業務、過年度不備を検討します。
  • 3. 監査上の重要なリスクと整合していますか:財務諸表監査で重視される勘定科目やプロセスとJ-SOX評価範囲を突き合わせます。
  • 4. 根拠を再検討します:評価範囲の追加、監査人協議、取締役会・監査役等への報告を検討します。
  • 5. 根拠資料を保存します:決定手順、判断理由、協議履歴、翌期への反映事項を残します。

POINT 7

  • J-SOX・内部統制報告で見る全社統制・業務プロセス・IT統制
  • 全社的内部統制、決算・財務報告プロセス、業務プロセス、IT統制の違いを整理します。
  • 全社的な内部統制
  • 決算・財務報告プロセスと業務プロセス
  • ここに不備があると、個別プロセスの評価結果にも広範な影響を及ぼします。

POINT 8

  • J-SOX・内部統制報告の文書化と証跡
  • 3点セットを目的化せず、統制が実施されたことを説明できる状態を作ります。
  • 証跡は統制が実施されたことを示します
  • J-SOX実務でいう3点セットとは、一般に業務の流れ図、業務記述書、リスクと統制の対応表であるRCMを指します。
  • これらは業務プロセスを理解し、リスクと統制を整理し、評価手続を設計する上で有用です。

まとめ

  • J-SOX・内部統制報告の実務と法務 評価範囲・開示リス
  • J-SOX・内部統制報告の全体像をつかむ:制度趣旨、2023年改訂、評価範囲、開示リスクを最初に整理します。
  • J-SOX・内部統制報告とは何か:日本版SOXの意味、内部統制報告書の位置づけ、2023年改訂の意味を確認します。
  • J-SOX・内部統制報告を支える法令・基準・実務指針:金融商品取引法、内部統制府令、金融庁基準、監査実務、会社法、電子開示の関係を整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

J-SOX・内部統制報告の全体像をつかむ

制度趣旨、2023年改訂、評価範囲、開示リスクを最初に整理します。

J-SOX・内部統制報告は、上場会社等が財務報告に係る内部統制を自ら評価し、内部統制報告書として開示し、原則として公認会計士又は監査法人による内部統制監査を受ける制度です。

制度の目的は、単に書類を作ることではありません。投資者保護のため、財務報告の信頼性を確保する仕組みを経営者の責任で整備・運用し、その有効性を説明できる状態にすることが中心です。

次の重要ポイントは、このページ全体の読み方を示すものです。読者にとって重要なのは、J-SOXを経理だけの作業と捉えず、法務、内部監査、IT、コンプライアンス、取締役会、監査役等、監査人が共有すべき経営管理の問題として読むことです。

J-SOXは開示・監査・法務が交差する経営インフラです

財務数値が作られる業務、IT、組織、委託、グループ管理、監督機能を経営者が理解し、リスクに応じた統制を説明できるかが実務の分岐点になります。

制度導入から15年余りを経て、2023年改訂は実務の重心を変えました。次の時系列は、制度の大きな節目と適用時期を表します。なぜ重要かというと、評価範囲の説明責任や訂正時の理由開示が、現在のJ-SOX実務でより重く見られるためです。

2008年4月以後開始事業年度

内部統制報告制度の適用開始

金融商品取引法に基づき、上場会社等が財務報告に係る内部統制を評価し、内部統制報告書を提出する実務が始まりました。

2023年

基準・実施基準・府令関係の改訂

評価範囲外から重要な不備が見つかる事例や、有効性評価の訂正理由が十分に示されない事例を踏まえ、制度の実効性向上が図られました。

2024年4月以後開始事業年度

改訂基準・改訂実施基準の適用

形式的な3点セット更新だけでなく、リスクに応じた評価範囲、監査人との協議、質的要素の説明が実務上の焦点になりました。

注意このページは一般的な情報提供です。個別の開示、監査、訂正、危機対応では、会社の事実関係、適用法令、上場市場、監査契約、社内規程、過年度開示、当局対応の状況によって結論が変わる可能性があります。具体的な対応は、弁護士、公認会計士、監査法人、証券取引所、主幹事証券会社等の専門家と協議する必要があります。
Section 01

J-SOX・内部統制報告とは何か

日本版SOXの意味、内部統制報告書の位置づけ、2023年改訂の意味を確認します。

J-SOXという呼称の意味

J-SOXとは、日本における金融商品取引法上の内部統制報告制度を指す実務上の通称です。米国のSarbanes-Oxley Actにならって日本版SOXと呼ばれることがありますが、日本の制度は米国制度をそのまま移植したものではありません。

日本の制度は、経営者による評価と監査人による内部統制監査を組み合わせています。一方で、監査人が内部統制そのものへ直接意見を述べる米国型のダイレクト・レポーティングとは異なり、経営者評価を前提に監査人が検討する設計です。

内部統制報告書の役割

内部統制報告書は、上場会社等の経営者が、財務報告に係る内部統制を評価し、その結果を記載して提出する開示書類です。法的根拠の中心は金融商品取引法第24条の4の4であり、監査証明については同法第193条の2第2項が重要です。

内部統制報告書の意義は、財務諸表の数値だけでなく、その数値が作成されるプロセス、承認、記録、集計、開示、監査対応まで含めて、経営者が信頼性をどう確保しているかを説明する点にあります。

次の一覧は、J-SOXを経理作業だけでなく、全社横断の管理課題として読むための関与領域を示します。なぜ重要かというと、統制不備は会計だけでなく、開示責任、取締役会監督、IT、契約、内部通報にも波及するためです。

Management

経営者・取締役会

内部統制の整備・運用責任、評価範囲の決定、重要な不備や是正遅延への資源配分を担います。

Assurance

経理・内部監査・監査人

決算、評価手続、サンプルテスト、不備判定、内部統制監査を通じて財務報告の信頼性を検討します。

Legal

法務・コンプライアンス・IT

契約、訴訟、内部通報、不正調査、情報セキュリティ、委託先管理が財務報告に与える影響を確認します。

2023年改訂の実務的な意味

2023年改訂後の実務では、売上高等のおおむね3分の2、売上・売掛金・棚卸資産の3勘定といった例示を機械的に当てはめるだけでは足りません。財務報告に対する金額的・質的影響、発生可能性、不正リスク、IT環境、委託業務、海外子会社リスクなどを踏まえた説明が求められます。

Section 02

J-SOX・内部統制報告を支える法令・基準・実務指針

金融商品取引法、内部統制府令、金融庁基準、監査実務、会社法、電子開示の関係を整理します。

J-SOX・内部統制報告は、一つの法律条文だけで完結しません。次の表は、実務で確認すべき資料の階層と役割を整理したものです。読者にとって重要なのは、どの論点をどの資料で確認するかを切り分け、開示、監査、ガバナンスの議論を混同しないことです。

階層主な資料実務上の意味
法律金融商品取引法内部統制報告書の提出義務、監査証明、虚偽記載等の責任を考える出発点です。
府令内部統制府令内部統制報告書の様式、記載事項、評価基準日、評価結果の書き方を定めます。
基準企業会計審議会の評価及び監査の基準内部統制の基本概念、経営者評価、内部統制監査の枠組みを示します。
実施基準企業会計審議会の実施基準評価範囲、評価手続、IT統制、監査人の検討などの実務指針です。
Q&A・事例集金融庁の内部統制報告制度に関するQ&A・事例集3点セット、IT、委託業務、重要な不備、監査対応などの解釈を補います。
監査実務日本公認会計士協会の財務報告内部統制監査基準報告書等監査法人・公認会計士が内部統制監査を行う際の実務上の拠り所です。
会社法・取引所規律会社法、会社法施行規則、コーポレートガバナンス・コード取締役会、監査役等、グループガバナンス、リスク管理体制と接続します。
電子開示EDINET、XBRL、タクソノミ内部統制報告書を含む開示書類の電子提出、タグ付け、提出実務に関わります。

金融庁は2023年6月、内部統制府令及び内部統制府令ガイドラインの改正を公表しました。前年度に開示すべき重要な不備を報告した場合の是正状況、訂正内部統制報告書における訂正の経緯や理由、内部統制が有効でない場合の監査報告書上の記載などが改正事項として示されています。

このため、法務・開示担当は、基準だけでなく府令様式、ガイドライン、監査実務指針、EDINET実務までつなげて確認する必要があります。

Section 03

J-SOX・内部統制報告で押さえる4つの目的と6つの基本的要素

内部統制を特別な検査ではなく、業務に組み込まれたプロセスとして理解します。

内部統制は、経営者や内部監査部だけが行う特別な検査ではありません。営業担当者の見積承認、購買担当者の発注権限確認、経理担当者の仕訳根拠保存、システム管理者のアクセス権限棚卸、監査役等の監視は、いずれも内部統制の一部になり得ます。

次の一覧は、内部統制の4つの目的を並べたものです。なぜ重要かというと、J-SOXの直接対象は財務報告の信頼性であっても、業務効率、法令遵守、資産保全と切り離して機能しないためです。

Purpose 01

業務の有効性及び効率性

事業目的を達成するため、業務が有効かつ効率的に行われることを目指します。

Purpose 02

報告の信頼性

財務情報を含む組織内外への報告が信頼できる状態を確保します。J-SOXでは財務報告の信頼性が中心です。

Purpose 03

法令等の遵守

法令、定款、社内規程、社会規範を守る体制を整え、開示や会計判断にもつなげます。

Purpose 04

資産の保全

資産の取得、使用、処分が正当な手続と承認の下で行われる状態を確保します。

次の表は、内部統制を構成する6つの基本的要素を、実務例とともに整理したものです。読者は、自社の統制不備がどの要素に関わるのかを読み取り、是正策を単発対応で終わらせないことが大切です。

基本的要素内容実務例
統制環境経営者の姿勢、倫理観、組織構造、権限と責任、人的資源管理です。取締役会の監督、コンプライアンス規程、職務権限規程、会計人材配置です。
リスクの評価と対応財務報告に重要な影響を及ぼすリスクを識別し、対応を決めます。不正リスク評価、海外子会社リスク、収益認識リスク、在庫評価リスクです。
統制活動リスクを低減するための承認、照合、職務分掌、レビューです。仕訳承認、売上計上チェック、棚卸立会、支払承認、例外処理レビューです。
情報と伝達必要な情報を識別・収集・伝達します。決算スケジュール、会計方針共有、内部通報、監査役等への報告です。
モニタリング内部統制が有効に機能しているかを継続的又は独立的に評価します。内部監査、自己点検、J-SOX評価、不備是正管理です。
ITへの対応IT環境を理解し、ITを利用した統制を整備・評価します。アクセス管理、変更管理、バックアップ、ログ監視、システム間連携統制です。

内部統制は、虚偽記載、不正、誤謬、法令違反を完全に防止又は発見する制度ではありません。人為的判断ミス、共謀、経営者による無効化、費用対効果、環境変化という限界があります。だからこそ、具体的な不備が重要な虚偽記載を発生させる可能性、補完統制、期末日までの是正、開示の要否を丁寧に検討します。

Section 04

J-SOX・内部統制報告と会社法上の内部統制システムの違い

金融商品取引法上の開示制度と、会社法上の業務適正確保体制を接続して考えます。

J-SOX・内部統制報告は、金融商品取引法上の開示規制として、財務報告の信頼性を中心に設計されています。一方、会社法上の内部統制システムは、取締役の職務執行が法令・定款に適合することを確保する体制、損失危険管理体制、情報保存管理体制、企業集団管理体制、監査を支える体制など、より広いガバナンス体制です。

会社法上の内部統制システムが整備されているからといって、J-SOX評価が自動的に完了するわけではありません。また、J-SOXで有効と評価されたからといって、会社法上の善管注意義務、監視義務、グループ会社管理義務がすべて満たされるわけでもありません。

次の比較一覧は、両制度の目的と実務上の接点を整理します。なぜ重要かというと、取締役会や監査役等が財務報告リスクを把握しない場合、J-SOX上の統制環境と会社法上の監督機能の双方で問題になり得るためです。

観点J-SOX・内部統制報告会社法上の内部統制システム
主な目的財務報告の信頼性を確保し、投資者へ評価結果を開示します。会社の業務の適正を確保し、取締役会監督とリスク管理を支えます。
中心となる責任主体経営者が内部統制を評価し、内部統制報告書で結果を示します。取締役会が体制整備を決議し、監査役等が運用状況を監視します。
実務上の接点統制環境、監査役等への報告、内部監査、重要な不備の是正が接続します。取締役会規程、職務権限規程、子会社管理規程、内部通報規程が接続します。

法務部門が関与すべき場面

  • 取締役会規程、職務権限規程、稟議規程、子会社管理規程、情報管理規程、内部通報規程の整備です。
  • 重要契約、訴訟、当局調査、不正調査、偶発債務、引当金、関連当事者取引の開示判断です。
  • 企業買収、事業譲渡、組織再編、海外子会社設立時の統制設計です。
  • 不正会計、横領、背任、インサイダー取引、贈収賄、品質不正等が財務報告に及ぼす影響の評価です。
  • 訂正報告書、臨時報告書、適時開示、有価証券報告書、内部統制報告書との整合性確認です。
  • 監査人、監査役等、第三者委員会、証券取引所、金融庁・財務局、証券取引等監視委員会への対応です。
Section 05

J-SOX・内部統制報告の年間プロセス

期初の評価計画から提出後のフォローまで、1年を通じた運用として整理します。

J-SOX・内部統制報告は、期末に一度だけ評価するものではありません。次の時系列は、標準的な年間サイクルと関与部門を示します。重要なのは、期末後に慌てて証跡を集めるのではなく、期初から評価範囲、文書更新、運用評価、不備是正を積み上げることです。

期初

評価計画と評価範囲案を作ります

重要性基準、リスク変化、監査人との協議予定を確認します。経営者、J-SOX担当、経理、内部監査、法務、ITが関与します。

第1四半期前後

文書と統制設計を更新します

全社的内部統制、決算・財務報告プロセス、業務プロセス、IT統制を現行業務に合わせます。

期中

整備状況評価と運用評価を行います

ウォークスルー、サンプルテスト、例外処理の確認を通じて、統制が実際に機能しているかを見ます。

期中から期末

不備の集計と是正を進めます

不備、改善、補完統制、再評価を整理し、監査人、法務、監査役等と重要論点を協議します。

期末後から提出前

最終判定と報告書案を整えます

決算・財務報告プロセス評価、最終不備判定、内部統制報告書案、内部統制監査報告書、取締役会・監査役等への報告を行います。

提出後

翌期へ反映します

是正状況、監査人指摘事項、翌期評価範囲への反映を管理します。

経営者評価は経営者の責任です

内部監査部やJ-SOX事務局が実務を担っても、内部統制の整備・運用の責任と評価結果の最終責任は経営者にあります。代表者及び最高財務責任者を定めている場合の最高財務責任者が、財務報告に係る内部統制の整備及び運用の責任を有する旨を内部統制報告書で示す実務が想定されます。

監査人との協議は丸投げではありません

監査人との協議は、経営者の判断の合理性を高めるために重要です。ただし、評価範囲の決定は経営者が行います。監査人の独立性を損なうような依存は避け、協議履歴、取締役会・監査役等への報告履歴、重要判断の根拠資料を残すことが大切です。

Section 06

J-SOX・内部統制報告の評価範囲をどう決めるか

2023年改訂後の中核となる、非機械的な評価範囲決定を整理します。

評価範囲の決定は、J-SOX・内部統制報告の中で最も重要な判断の一つです。狭すぎれば重要な虚偽記載リスクを見逃す可能性があり、広すぎれば形式的な作業に追われて重要リスクの検討が浅くなります。

次の重要ポイントは、従来例示の扱いを確認するものです。読者にとって重要なのは、おおむね3分の2や3勘定という目安を出発点にしつつ、質的リスクを踏まえて評価範囲を説明できるかを確認することです。

おおむね3分の2を機械的に適用しないことが重要です

売上高等の量的指標だけでなく、財務報告に対する金額的影響、質的影響、発生可能性、不正リスク、IT環境、委託業務、海外子会社リスクを合わせて検討します。

次の一覧は、評価範囲決定で特に見落としやすい質的要素を示します。なぜ重要かというと、売上規模が小さくても、見積り、不正疑義、システム変更、海外子会社などが重要な虚偽記載リスクにつながる場合があるためです。

複雑な収益認識

契約条件、検収、返品、リベート、ライセンスなどが複雑な事業は慎重に見ます。

見積り・判断が大きい領域

原価計算、在庫評価、工事進行基準、開発費、減損、引当金は質的重要性が高まりやすい領域です。

海外子会社・買収直後の会社

会計人材、言語、システム分断、権限集中、PMI未了が評価範囲に影響します。

売上目標達成圧力

経営者や事業責任者の圧力が強い領域では、経営者による統制無効化も含めて検討します。

手作業仕訳・連結修正

トップサイド仕訳、連結修正仕訳、例外処理が多い場合は証跡と承認が重要です。

IT・委託・通報の変化

ERP導入、クラウド化、外部委託、内部通報、不正疑義、監査人指摘があった領域を確認します。

次の判断の流れは、評価範囲を決める際に検討する順番を示します。重要なのは、量的基準、質的要素、監査上の重要なリスク、範囲外不備を一連の判断として記録することです。

評価範囲決定の判断の流れ

量的指標を確認します

売上高、総資産、税引前利益、重要勘定科目との関連を確認します。

質的要素を重ねます

不正リスク、複雑な契約、海外子会社、IT変更、委託業務、過年度不備を検討します。

監査上の重要なリスクと整合していますか

財務諸表監査で重視される勘定科目やプロセスとJ-SOX評価範囲を突き合わせます。

不整合あり
根拠を再検討します

評価範囲の追加、監査人協議、取締役会・監査役等への報告を検討します。

不整合なし
根拠資料を保存します

決定手順、判断理由、協議履歴、翌期への反映事項を残します。

評価範囲外から不備が見つかった場合

評価範囲外から重要な不備が識別された場合、評価範囲外だから関係ないと整理することは危険です。当該不備が評価範囲の決定方法自体の誤りを示すものか、財務諸表の重要な虚偽記載につながる可能性があるか、同種不備が他拠点・他プロセスにも存在するか、当期又は翌期の評価範囲へ反映すべきかを確認します。

Section 07

J-SOX・内部統制報告で見る全社統制・業務プロセス・IT統制

全社的内部統制、決算・財務報告プロセス、業務プロセス、IT統制の違いを整理します。

全社的な内部統制

全社的な内部統制は、会社全体の統制環境、リスク評価、情報伝達、モニタリング、取締役会・監査役等の監督、内部監査、コンプライアンス体制など、個別業務プロセスを支える基盤です。ここに不備があると、個別プロセスの評価結果にも広範な影響を及ぼします。

  • 経営者が財務報告の信頼性を重視しているかを確認します。
  • 取締役会が財務報告、会計方針、重要な見積り、内部統制不備を監督しているかを確認します。
  • 監査役等が内部監査人、監査人、経理、法務から必要な情報を能動的に取得しているかを確認します。
  • 不正リスク、サイバーリスク、委託先リスク、海外子会社リスクを識別しているかを確認します。
  • 内部通報制度や不正調査プロセスが機能しているかを確認します。

決算・財務報告プロセスと業務プロセス

決算・財務報告プロセスは、仕訳集計、決算整理、税効果、減損、引当金、連結、開示、注記、XBRL、レビュー、承認など、財務報告の最終段階に関わります。業務プロセスは、売上、購買、在庫、原価、固定資産、人件費、資金、債権債務、税務、連結子会社報告など、重要勘定科目を形成する業務の流れです。

次の表は、IT統制の2つの区分を整理します。読者にとって重要なのは、すべての社内システムを見るのではなく、財務報告に係る内部統制に関連するシステムと、その上で動く統制を切り分けることです。

区分内容
IT全般統制システム全体の信頼性を支える統制です。アクセス権限管理、開発・変更管理、運用管理、障害対応、バックアップ、外部委託管理です。
IT業務処理統制業務処理に組み込まれた自動統制です。入力チェック、自動計算、マスタ参照、承認経路、三点照合、自動仕訳連携です。

2023年改訂は、IT委託業務に係る統制、サイバーリスクの高まりを踏まえたセキュリティ確保を強調しています。IT統制は情報システム部門だけの問題ではなく、経営リスク、法務リスク、開示リスクとして扱う必要があります。

Section 08

J-SOX・内部統制報告の文書化と証跡

3点セットを目的化せず、統制が実施されたことを説明できる状態を作ります。

J-SOX実務でいう3点セットとは、一般に業務の流れ図、業務記述書、リスクと統制の対応表であるRCMを指します。これらは業務プロセスを理解し、リスクと統制を整理し、評価手続を設計する上で有用です。しかし、3点セットを作ること自体が制度目的ではありません。

次の一覧は、良い文書化で確認できるべき事項を示します。なぜ重要かというと、監査人や後任担当者が読んだときに、財務報告リスクと統制上の要点がつながっていなければ、評価や是正に使えないためです。

1

財務諸表項目とのつながり

どの財務諸表項目に影響するプロセスか、どの虚偽記載リスクがあるかを示します。

リスク識別
2

統制上の要点

そのリスクに対する承認、照合、職務分掌、レビュー、例外対応を明確にします。

統制設計
3

実施者・頻度・証跡

誰が、いつ、どの頻度で、どの証跡に基づいて実施するかを示します。

運用評価
4

IT・委託先・変更管理

システム統制、手作業統制、委託先や子会社の関与、権限管理、証跡保存を紐づけます。

注意

証跡は統制が実施されたことを示します

内部統制評価では、統制が設計されているだけでは不十分であり、実際に運用されていることを示す証跡が必要です。証跡には、承認ログ、押印、電子承認、レビューコメント、照合表、差異分析資料、会議体議事録、メール、チケット、システムログ、棚卸記録、監査調書、是正完了報告などが含まれます。

電子証跡も利用できますが、真正性、完全性、検索可能性、保存期間、アクセス制御が重要です。電子承認やクラウドシステムを利用する場合、監査人が検証可能な形で証跡を出力・閲覧できることが必要です。

重要不正調査や訂正対応では、実際にはレビューしていたが証跡がないという説明は弱くなります。統制実施者の退職、ログ消失、メール保存期間の経過、承認履歴の上書きがあると、後日の説明が困難になります。

法務・内部監査・ITは、証跡保存ポリシーをJ-SOX評価、電子帳簿保存、個人情報保護、営業秘密管理、訴訟対応、内部通報調査と整合させる必要があります。

Section 09

J-SOX・内部統制報告における開示すべき重要な不備と是正

不備の重大性、期末日までの是正、訂正内部統制報告書を整理します。

開示すべき重要な不備とは、財務報告に重要な虚偽記載が発生する可能性を相当程度高める内部統制の不備です。期末日に存在する場合には、内部統制報告書にその内容及び是正されなかった理由を記載し、財務報告に係る内部統制は有効でない旨を表明することになります。

次の判断の流れは、不備が見つかったときに確認する順番を示します。なぜ重要かというと、量的影響だけでなく、経営者による統制無効化、不正、関連当事者取引、法令違反、監査人への説明、取締役会監督不全などの質的要素で結論が変わるためです。

不備判定と是正の判断の流れ

不備の内容を特定します

設計不備か運用不備か、対象プロセス、関与者、証跡、影響勘定を確認します。

量的・質的影響を評価します

金額的重要性、発生可能性、不正や法令違反との関係、補完統制の有無を確認します。

期末日までに是正されましたか

是正後の統制が有効に運用されていることを評価できるかを見ます。

未是正又は重大
開示・訂正リスクを検討します

内部統制報告書、有価証券報告書、適時開示、監査報告書への影響を確認します。

是正済み
再評価と証跡を残します

是正計画、完了証跡、再評価結果、監査人・監査役等への報告を記録します。

前年度に開示すべき重要な不備を報告した場合

2023年の内部統制府令改正では、前年度に開示すべき重要な不備を報告した場合、内部統制報告書に付記事項として当該不備に対する是正状況を記載することが示されました。是正計画、責任者、期限、進捗、再発防止策、監査人・監査役等への報告、取締役会の監督記録を整備することが重要です。

訂正内部統制報告書の論点

後日、内部統制の有効性評価が誤っていたことが判明した場合、訂正内部統制報告書が問題になります。訂正の場面では、有価証券報告書等の訂正要否、財務諸表監査意見への影響、内部統制監査報告書への影響、適時開示の要否、当局・取引所への説明、役員責任、第三者委員会の要否、株主・投資家・金融機関・取引先への説明を同時に検討します。

実務上の注意訂正は単なる事務処理ではなく危機対応です。初動で事実保全、法的分析、監査人協議、開示統制を誤ると、二次的な混乱が拡大する可能性があります。
Section 10

J-SOX・内部統制報告書の記載事項と提出実務

評価範囲、評価手続、評価結果、付記事項、EDINET・XBRLまで確認します。

内部統制報告書の様式では、経営者責任、評価範囲、評価結果、付記事項、特記事項などが予定されています。次の表は主要項目を整理したものです。なぜ重要かというと、2023年改訂後は、評価範囲の手順・方法・根拠がより重要になっているためです。

項目内容
財務報告に係る内部統制の基本的枠組みに関する事項経営者・最高財務責任者の責任、準拠した基準、内部統制の限界を示します。
評価の範囲、基準日及び評価手続に関する事項評価基準日、準拠基準、評価手続の概要、評価範囲、範囲決定の手順・方法・根拠を示します。
評価結果に関する事項有効、有効でない、評価不能等の評価結果を示します。
付記事項後発事象、期末後是正、前年度不備の是正状況などを示します。
特記事項投資者に有用な特別な事項を示します。

評価手続の概要は、単なる定型文では不十分になりつつあります。評価範囲内における統制上の要点の選定など、評価結果に重要な影響を及ぼす手続の概要を簡潔に示すことが求められます。

もっとも、営業秘密やセキュリティ情報を過度に開示する必要はありません。法務・開示担当は、投資者に必要な情報を提供しつつ、内部統制上の脆弱性を外部に過度に示さないバランスを取る必要があります。

EDINETとXBRL

内部統制報告書を含む開示書類は、EDINETを通じて電子的に提出されます。EDINETではXBRLが利用され、開示書類に電子的なタグを付して情報取得を効率化します。開示担当は、内部統制報告書の本文だけでなく、提出形式、タグ付け、添付監査報告書、提出タイミング、訂正時の運用を確認する必要があります。

Section 11

J-SOX・内部統制報告と内部統制監査の関係

経営者評価、財務諸表監査、監査実務指針の関係を確認します。

日本の内部統制監査は、経営者の内部統制評価を前提に、その評価範囲、評価手続、評価結果の妥当性を監査人が検討する制度です。監査人は、経営者による評価がすべて完了した後でなければ内部統制監査を実施できないわけではありません。評価範囲や統制上の要点が暫定的に決まった段階で、妥当性をあらかじめ検証する実務もあります。

内部統制監査は財務諸表監査と密接に関連し、監査人は財務諸表監査で得た理解や監査証拠を内部統制監査にも活用します。他方、内部統制監査で開示すべき重要な不備が見つかっても、実証手続により財務諸表が適正に表示されていることについて十分かつ適切な監査証拠を入手できれば、財務諸表監査では無限定適正意見を表明できる場合があります。

次の比較一覧は、内部統制監査と財務諸表監査の関係を示します。読者が読み取るべき点は、内部統制が有効でないことと財務諸表が虚偽であることは同義ではない一方、重要な不備は監査手続、開示、投資家説明、信用リスクに影響するという点です。

観点内部統制監査財務諸表監査
前提経営者の内部統制評価を前提に、その妥当性を検討します。財務諸表が適正に表示されているかを監査します。
証拠の使い方評価範囲、統制上の要点、整備・運用状況を検討します。実証手続や内部統制理解により監査証拠を入手します。
意見の関係開示すべき重要な不備がある場合、有効でない旨が問題になります。十分な実証手続で適正表示を確認できれば、無限定適正意見となる場合があります。

日本公認会計士協会の財務報告内部統制監査基準報告書第1号などの監査実務指針は、監査人が会社の評価を検討する際の重要な拠り所です。会社側も、評価範囲、統制上の要点、サンプル、IT全般統制、委託業務、グループ監査、監査人の独立性について、監査人の視点を理解しておくことが有用です。

Section 12

J-SOX・内部統制報告におけるIT・クラウド・サイバーリスク

ERP、SaaS、BPO、サイバーインシデント、AI・RPA利用時の統制を整理します。

現代の財務報告は、ERP、販売管理、購買管理、在庫管理、人事給与、経費精算、連結会計、開示支援、クラウドストレージなど、多数のITに依存しています。アクセス権限が不適切であれば、架空売上、支払不正、マスタ改ざん、承認迂回、ログ削除が可能になります。

次の一覧は、IT・クラウド・委託業務で確認すべき実務論点を示します。読者にとって重要なのは、IT統制を技術管理に閉じず、財務報告、契約、セキュリティ、監査証拠の問題として扱うことです。

1

クラウド・委託業務

委託業務が財務報告に関連するか、委託先の統制をどう評価するか、監査権や報告義務が契約にあるかを確認します。

委託先管理
2

保証報告書・第三者認証

SOC報告書、保証報告書、第三者認証、委託先説明資料を入手できるかを確認します。

監査証拠
3

サイバーインシデント

財務データの完全性、ログ・証跡、決算・開示スケジュール、監査証拠、適時開示への影響を検討します。

注意
4

AI・RPA・自動化

入力データ、出力検証、権限管理、バージョン管理、変更履歴、機密情報入力、誤出力レビューを確認します。

EUC統制

サイバー攻撃で会計システム、販売管理システム、在庫管理システム、連結会計システムが停止・改ざん・暗号化された場合、財務報告への影響は重大です。単なる情報セキュリティ事故ではなく、決算遅延、証跡喪失、データ完全性の毀損、開示遅延、監査証拠不足、内部統制評価不能につながる可能性があります。

インシデント対応では、IT部門が復旧を進めるだけでなく、法務、経理、内部監査、監査役等、監査人、広報、IRが連携します。財務データの完全性、代替証拠、決算・開示スケジュール、内部統制の重要な変更又は不備、個人情報保護法や業法、取引所規則への影響を確認します。

Section 13

J-SOX・内部統制報告とグループ会社・M&A・IPO準備

連結ベース、持分法適用会社、海外子会社、PMI、上場準備を確認します。

J-SOX・内部統制報告は、提出会社単体だけでなく、連結財務報告の信頼性を対象とします。連結子会社、持分法適用会社、海外拠点、買収会社、事業部、委託先が財務報告に重要な影響を及ぼす場合、評価範囲に含めるか、どのように評価するかを検討します。

持分法適用会社と海外子会社

持分法適用会社は支配権がないため、子会社と同じ深度で評価できない場合があります。その場合でも、質問書、聞き取り、報告資料の閲覧、管理プロセスの確認などで全社的な内部統制評価を中心に確認します。虚偽記載リスクが大きい場合には、重要性の大きい業務プロセスの評価が必要となる場合があります。

海外子会社では、言語、会計基準、税制、文化、権限集中、現地会計人材不足、システム分断、不正リスク、贈収賄リスクが問題になります。親会社が日本語の文書を送付するだけでは統制は機能しません。

次の一覧は、海外子会社と買収後PMIで優先して確認する実務対応を示します。重要なのは、現地業務を理解し、現地責任者が統制の意味を理解し、親会社がモニタリングできる形にすることです。

1

連結パッケージと会計方針

連結パッケージの標準化、会計方針マニュアルの多言語化、勘定科目の統一を進めます。

連結
2

権限・支払・仕訳レビュー

権限規程、支払承認、銀行口座管理、重要仕訳・例外仕訳の親会社レビューを整えます。

承認
3

現地監査と内部通報

現地内部監査又はリモート監査、多言語の内部通報窓口、親会社への報告経路を整えます。

監督
4

M&A後のギャップ評価

買収後PMIでJ-SOX評価範囲への追加要否、IT権限、マスタ管理、関連当事者取引を確認します。

PMI

IPO準備での順序

次の時系列は、IPO準備会社がJ-SOX・内部統制報告へ移行するための整備順序を示します。読者は、上場後に突然始めるのではなく、上場審査、主幹事証券会社の引受審査、監査法人のショートレビューを見据えて早期に準備する必要があります。

初期

経理・決算体制を整えます

月次決算の早期化、精度向上、会計方針、重要契約の確認を進めます。

整備期

規程・重要業務・ITを整えます

職務権限、稟議、契約、支払、反社チェック、重要業務プロセス、IT権限、変更管理を整備します。

運用期

内部監査とJ-SOX評価を試行します

内部監査機能、監査役等・取締役会の運用、J-SOX評価のトライアル、不備是正、再評価を進めます。

上場後

内部統制報告スケジュールへ移行します

評価計画、評価範囲、監査人協議、報告書作成、提出後フォローを年間サイクルに組み込みます。

Section 15

J-SOX・内部統制報告と中小規模組織・上場準備企業の現実的対応

人員不足がある場合でも、代替統制を設計して説明できる状態を作ります。

中小規模の組織では、人員不足により職務分掌が難しいことがあります。ただし、小規模であることは内部統制を省略する理由ではありません。経営者や他部署によるモニタリング、社外専門家の利用など、特性に応じた代替的な内部統制を設計する理由になります。

次の一覧は、中小規模組織で現実的に使いやすい代替統制を整理したものです。なぜ重要かというと、人数が少なくても、誰が何を確認し、どの証跡で説明するかを明確にすれば、統制として評価しやすくなるためです。

1

経営者又はCFOの月次レビュー

月次決算、重要仕訳、差異分析、資金繰り、重要契約を定例で確認し、コメントと対応履歴を残します。

レビュー
2

重要取引の二重チェック

銀行口座と会計帳簿の月次照合、支払データと請求書の照合、重要契約の法務・経理同時確認を行います。

照合
3

外部専門家のレビュー

税理士・公認会計士等外部専門家による確認や、内部監査の外部委託又は共同実施を活用します。

補完
4

権限の最小化と報告

経理担当者と承認者の分離、システム権限の最小化、取締役会への月次決算報告を整えます。

注意

創業企業では、社長が全部見ているという説明がなされることがあります。経営者の直接関与は統制として機能する場合がありますが、統制として評価するには、何を、いつ、どの資料で、どの観点から確認し、例外があった場合にどう対応したかが明確でなければなりません。

注意証跡がなく、判断基準もなく、属人的に口頭確認しているだけでは、監査上十分な統制として評価されにくくなります。
Section 16

J-SOX・内部統制報告の実務チェックリスト

経営者、法務、経理・J-SOX担当、IT・セキュリティの確認事項を整理します。

次の表は、担当別に確認すべき事項を整理したものです。読者にとって重要なのは、J-SOXを一部署の作業にせず、経営者、法務、経理、ITが同じリスク認識で確認できるようにすることです。

担当確認事項
経営者・取締役会財務報告の信頼性を経営課題として扱い、評価範囲の根拠、重要な不備、監査人指摘、CFO・経理・内部監査・CIO/CISOのリソース、海外子会社・買収会社・委託先・クラウド利用の統制リスクを把握します。
法務・コンプライアンス重要契約の会計・開示影響、訴訟・当局調査・偶発債務・保証・関連当事者取引、財務報告に影響する通報の共有、不正調査時の証拠保全、取締役会議事録、訂正報告書・適時開示・内部統制報告書の整合性を確認します。
経理・J-SOX担当評価範囲を量的・質的要素から説明できるか、3点セットが最新業務・システム実態と一致するか、統制上の要点が財務報告リスクと対応するか、サンプル抽出、評価結果、不備判定、再評価の証跡を確認します。
IT・セキュリティ財務報告に関連するシステム一覧、アクセス権限、特権ID管理、変更申請・承認・テスト・本番移行、インターフェースエラー、ログ、バックアップ、クラウド・委託先資料、サイバーインシデント時の財務報告影響評価を確認します。

チェックリストは、形式的に丸を付けるためのものではありません。重要な判断や例外事項が見つかったときに、誰へ共有し、どの証跡を残し、どの期限で是正するかまでつなげる必要があります。

Section 17

J-SOX・内部統制報告のよくある質問

制度の一般的な考え方を、個別事案の結論を断定しない形で整理します。

Q1. J-SOX・内部統制報告は上場会社だけの問題ですか。

一般的には、法令上の内部統制報告書提出義務は金融商品取引法上の対象会社に関する制度とされています。ただし、IPO準備会社、上場子会社、上場会社の重要子会社、金融機関からの借入やM&Aを予定する会社でも、実務上はJ-SOXの考え方が重要になる可能性があります。具体的な適用関係や準備水準は、会社の状況に応じて専門家へ相談する必要があります。

Q2. 3点セットを作ればJ-SOX対応は完了ですか。

一般的には、3点セットは業務プロセス、リスク、統制を整理する道具とされています。統制の整備、運用、評価、不備是正、報告の代替にはなりません。実務では、資料の存在だけでなく、実際の業務と一致しているか、統制上の要点を適切に捉えているか、証跡があるかを確認する必要があります。

Q3. 内部統制に不備があると、必ず内部統制は有効でないとされますか。

一般的には、不備があるだけで直ちに有効でないと決まるものではないとされています。不備の重要性、発生可能性、財務報告への影響、補完統制、期末日までの是正状況によって結論が変わる可能性があります。具体的な判定は、資料を整理したうえで監査人や専門家と協議する必要があります。

Q4. 内部統制が有効でないと、財務諸表監査も不適正意見になりますか。

一般的には、内部統制監査で開示すべき重要な不備が発見された場合でも、財務諸表監査の結論が当然に不適正意見になるとは限らないとされています。監査人が実証手続により財務諸表が適正に表示されていることについて十分かつ適切な監査証拠を入手できるかによって結論が変わる可能性があります。

Q5. IT統制はすべての社内システムを評価する必要がありますか。

一般的には、すべての社内システムが評価対象になるわけではなく、財務報告に係る内部統制に関連するシステムが対象になるとされています。重要な勘定科目がどの業務プロセス・システムに関連しているかを整理し、IT業務処理統制とそれを支えるIT全般統制を識別する必要があります。

Q6. 監査人に評価範囲を決めてもらえば安全ですか。

一般的には、評価範囲の決定は経営者の責任とされています。監査人との協議は重要ですが、経営者が自らリスクを評価し、範囲決定の手順・方法・根拠を説明できることが必要です。監査人への過度な依存は、監査人の独立性の観点でも問題になる可能性があります。

Q7. 前期に開示すべき重要な不備を開示した場合、翌期は何を記載しますか。

一般的には、前年度に開示すべき重要な不備を報告した場合、内部統制報告書の付記事項として、その是正状況を記載することが示されています。是正計画、実施状況、再評価、未完了事項を説明できる体制が必要です。具体的な記載内容は、会社の状況や監査人との協議によって変わる可能性があります。

Q8. 内部統制報告書を訂正する場合、何が重要ですか。

一般的には、訂正の経緯、理由、当初報告で開示されなかった理由、不備の内容、是正状況、財務諸表への影響、監査人との協議、取締役会・監査役等への報告、適時開示との整合性が重要とされています。訂正は投資者保護と当局対応に直結するため、法務・会計・監査・IRを統合した対応として扱う必要があります。

Section 18

J-SOX・内部統制報告を実効性ある経営インフラにする

形式的な開示書類作成ではなく、信頼される経営管理として運用します。

J-SOX・内部統制報告は、形式的な開示書類作成制度ではありません。制度の本質は、経営者が財務報告の信頼性に責任を持ち、財務数値が作成される業務、IT、組織、監督、委託、グループ管理の仕組みを理解し、リスクに応じた統制を整備・運用し、その有効性を投資者に説明する点にあります。

2023年改訂後の実務では、評価範囲の説明責任、非機械的なリスク評価、不正・サイバー・委託・海外子会社リスクへの対応、前年度不備の是正状況、訂正時の理由開示が一層重要になりました。

法務部門にとっても、J-SOXは会計監査の周辺業務ではなく、取締役会監督、開示責任、内部通報、不正調査、M&A、契約、危機管理と交差する中核的な企業法務です。

次の重要ポイントは、実効性ある運用の結論を整理するものです。読者は、自社の組織で誰が同じ事実認識とリスク認識を共有しているか、どの証跡で説明できるかを読み取ることが重要です。

良い内部統制は監査のためだけに存在するものではありません

企業が自らの事業を正確に把握し、投資者に信頼され、危機に耐えるための経営インフラとして、J-SOX・内部統制報告を運用することが大切です。

実効性あるJ-SOX・内部統制報告を実現するには、経営者、CFO、経理、内部統制担当、内部監査、IT、法務、コンプライアンス、監査役等、取締役会、外部監査人が、同じ事実認識とリスク認識を共有する必要があります。

Guide

J-SOX・内部統制報告で次に確認したいこと

目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。

知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。

このテーマから次に確認されやすい詳しい解説を9件表示しています。

Reference

J-SOX・内部統制報告の主要参考資料

公的機関・監査実務・取引所資料など、制度理解の基礎となる資料名を整理します。

法令・府令

  • e-Gov法令検索「金融商品取引法」
  • e-Gov法令検索「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令」第一号様式「内部統制報告書」
  • e-Gov法令検索「会社法」
  • e-Gov法令検索「会社法施行規則」

金融庁・企業会計審議会資料

  • 企業会計審議会・金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
  • 金融庁「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令の一部を改正する内閣府令(案)等に対するパブリックコメントの結果等について」
  • 金融庁「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令の取扱いに関する留意事項について(内部統制府令ガイドライン)」
  • 金融庁「内部統制報告制度に関するQ&A」
  • 金融庁「2025年版EDINETタクソノミの公表について」

監査実務・取引所資料

  • 日本公認会計士協会「財務報告内部統制監査基準報告書第1号『財務報告に係る内部統制の監査』の改正」
  • 日本公認会計士協会「監査実務指針等」
  • 東京証券取引所「コーポレートガバナンス・コード」