金融商品取引法上の内部統制報告制度について、制度趣旨、2023年改訂、評価範囲、3点セット、重要な不備、IT統制、監査対応まで横断的に解説します。
制度趣旨、2023年改訂、評価範囲、開示リスクを最初に整理します。
制度趣旨、2023年改訂、評価範囲、開示リスクを最初に整理します。
J-SOX・内部統制報告は、上場会社等が財務報告に係る内部統制を自ら評価し、内部統制報告書として開示し、原則として公認会計士又は監査法人による内部統制監査を受ける制度です。
制度の目的は、単に書類を作ることではありません。投資者保護のため、財務報告の信頼性を確保する仕組みを経営者の責任で整備・運用し、その有効性を説明できる状態にすることが中心です。
次の重要ポイントは、このページ全体の読み方を示すものです。読者にとって重要なのは、J-SOXを経理だけの作業と捉えず、法務、内部監査、IT、コンプライアンス、取締役会、監査役等、監査人が共有すべき経営管理の問題として読むことです。
財務数値が作られる業務、IT、組織、委託、グループ管理、監督機能を経営者が理解し、リスクに応じた統制を説明できるかが実務の分岐点になります。
制度導入から15年余りを経て、2023年改訂は実務の重心を変えました。次の時系列は、制度の大きな節目と適用時期を表します。なぜ重要かというと、評価範囲の説明責任や訂正時の理由開示が、現在のJ-SOX実務でより重く見られるためです。
金融商品取引法に基づき、上場会社等が財務報告に係る内部統制を評価し、内部統制報告書を提出する実務が始まりました。
評価範囲外から重要な不備が見つかる事例や、有効性評価の訂正理由が十分に示されない事例を踏まえ、制度の実効性向上が図られました。
形式的な3点セット更新だけでなく、リスクに応じた評価範囲、監査人との協議、質的要素の説明が実務上の焦点になりました。
日本版SOXの意味、内部統制報告書の位置づけ、2023年改訂の意味を確認します。
J-SOXとは、日本における金融商品取引法上の内部統制報告制度を指す実務上の通称です。米国のSarbanes-Oxley Actにならって日本版SOXと呼ばれることがありますが、日本の制度は米国制度をそのまま移植したものではありません。
日本の制度は、経営者による評価と監査人による内部統制監査を組み合わせています。一方で、監査人が内部統制そのものへ直接意見を述べる米国型のダイレクト・レポーティングとは異なり、経営者評価を前提に監査人が検討する設計です。
内部統制報告書は、上場会社等の経営者が、財務報告に係る内部統制を評価し、その結果を記載して提出する開示書類です。法的根拠の中心は金融商品取引法第24条の4の4であり、監査証明については同法第193条の2第2項が重要です。
内部統制報告書の意義は、財務諸表の数値だけでなく、その数値が作成されるプロセス、承認、記録、集計、開示、監査対応まで含めて、経営者が信頼性をどう確保しているかを説明する点にあります。
次の一覧は、J-SOXを経理作業だけでなく、全社横断の管理課題として読むための関与領域を示します。なぜ重要かというと、統制不備は会計だけでなく、開示責任、取締役会監督、IT、契約、内部通報にも波及するためです。
内部統制の整備・運用責任、評価範囲の決定、重要な不備や是正遅延への資源配分を担います。
決算、評価手続、サンプルテスト、不備判定、内部統制監査を通じて財務報告の信頼性を検討します。
契約、訴訟、内部通報、不正調査、情報セキュリティ、委託先管理が財務報告に与える影響を確認します。
2023年改訂後の実務では、売上高等のおおむね3分の2、売上・売掛金・棚卸資産の3勘定といった例示を機械的に当てはめるだけでは足りません。財務報告に対する金額的・質的影響、発生可能性、不正リスク、IT環境、委託業務、海外子会社リスクなどを踏まえた説明が求められます。
J-SOX・内部統制報告は、一つの法律条文だけで完結しません。次の表は、実務で確認すべき資料の階層と役割を整理したものです。読者にとって重要なのは、どの論点をどの資料で確認するかを切り分け、開示、監査、ガバナンスの議論を混同しないことです。
| 階層 | 主な資料 | 実務上の意味 |
|---|---|---|
| 法律 | 金融商品取引法 | 内部統制報告書の提出義務、監査証明、虚偽記載等の責任を考える出発点です。 |
| 府令 | 内部統制府令 | 内部統制報告書の様式、記載事項、評価基準日、評価結果の書き方を定めます。 |
| 基準 | 企業会計審議会の評価及び監査の基準 | 内部統制の基本概念、経営者評価、内部統制監査の枠組みを示します。 |
| 実施基準 | 企業会計審議会の実施基準 | 評価範囲、評価手続、IT統制、監査人の検討などの実務指針です。 |
| Q&A・事例集 | 金融庁の内部統制報告制度に関するQ&A・事例集 | 3点セット、IT、委託業務、重要な不備、監査対応などの解釈を補います。 |
| 監査実務 | 日本公認会計士協会の財務報告内部統制監査基準報告書等 | 監査法人・公認会計士が内部統制監査を行う際の実務上の拠り所です。 |
| 会社法・取引所規律 | 会社法、会社法施行規則、コーポレートガバナンス・コード | 取締役会、監査役等、グループガバナンス、リスク管理体制と接続します。 |
| 電子開示 | EDINET、XBRL、タクソノミ | 内部統制報告書を含む開示書類の電子提出、タグ付け、提出実務に関わります。 |
金融庁は2023年6月、内部統制府令及び内部統制府令ガイドラインの改正を公表しました。前年度に開示すべき重要な不備を報告した場合の是正状況、訂正内部統制報告書における訂正の経緯や理由、内部統制が有効でない場合の監査報告書上の記載などが改正事項として示されています。
このため、法務・開示担当は、基準だけでなく府令様式、ガイドライン、監査実務指針、EDINET実務までつなげて確認する必要があります。
内部統制を特別な検査ではなく、業務に組み込まれたプロセスとして理解します。
内部統制は、経営者や内部監査部だけが行う特別な検査ではありません。営業担当者の見積承認、購買担当者の発注権限確認、経理担当者の仕訳根拠保存、システム管理者のアクセス権限棚卸、監査役等の監視は、いずれも内部統制の一部になり得ます。
次の一覧は、内部統制の4つの目的を並べたものです。なぜ重要かというと、J-SOXの直接対象は財務報告の信頼性であっても、業務効率、法令遵守、資産保全と切り離して機能しないためです。
事業目的を達成するため、業務が有効かつ効率的に行われることを目指します。
財務情報を含む組織内外への報告が信頼できる状態を確保します。J-SOXでは財務報告の信頼性が中心です。
法令、定款、社内規程、社会規範を守る体制を整え、開示や会計判断にもつなげます。
資産の取得、使用、処分が正当な手続と承認の下で行われる状態を確保します。
次の表は、内部統制を構成する6つの基本的要素を、実務例とともに整理したものです。読者は、自社の統制不備がどの要素に関わるのかを読み取り、是正策を単発対応で終わらせないことが大切です。
| 基本的要素 | 内容 | 実務例 |
|---|---|---|
| 統制環境 | 経営者の姿勢、倫理観、組織構造、権限と責任、人的資源管理です。 | 取締役会の監督、コンプライアンス規程、職務権限規程、会計人材配置です。 |
| リスクの評価と対応 | 財務報告に重要な影響を及ぼすリスクを識別し、対応を決めます。 | 不正リスク評価、海外子会社リスク、収益認識リスク、在庫評価リスクです。 |
| 統制活動 | リスクを低減するための承認、照合、職務分掌、レビューです。 | 仕訳承認、売上計上チェック、棚卸立会、支払承認、例外処理レビューです。 |
| 情報と伝達 | 必要な情報を識別・収集・伝達します。 | 決算スケジュール、会計方針共有、内部通報、監査役等への報告です。 |
| モニタリング | 内部統制が有効に機能しているかを継続的又は独立的に評価します。 | 内部監査、自己点検、J-SOX評価、不備是正管理です。 |
| ITへの対応 | IT環境を理解し、ITを利用した統制を整備・評価します。 | アクセス管理、変更管理、バックアップ、ログ監視、システム間連携統制です。 |
内部統制は、虚偽記載、不正、誤謬、法令違反を完全に防止又は発見する制度ではありません。人為的判断ミス、共謀、経営者による無効化、費用対効果、環境変化という限界があります。だからこそ、具体的な不備が重要な虚偽記載を発生させる可能性、補完統制、期末日までの是正、開示の要否を丁寧に検討します。
J-SOX・内部統制報告は、金融商品取引法上の開示規制として、財務報告の信頼性を中心に設計されています。一方、会社法上の内部統制システムは、取締役の職務執行が法令・定款に適合することを確保する体制、損失危険管理体制、情報保存管理体制、企業集団管理体制、監査を支える体制など、より広いガバナンス体制です。
会社法上の内部統制システムが整備されているからといって、J-SOX評価が自動的に完了するわけではありません。また、J-SOXで有効と評価されたからといって、会社法上の善管注意義務、監視義務、グループ会社管理義務がすべて満たされるわけでもありません。
次の比較一覧は、両制度の目的と実務上の接点を整理します。なぜ重要かというと、取締役会や監査役等が財務報告リスクを把握しない場合、J-SOX上の統制環境と会社法上の監督機能の双方で問題になり得るためです。
| 観点 | J-SOX・内部統制報告 | 会社法上の内部統制システム |
|---|---|---|
| 主な目的 | 財務報告の信頼性を確保し、投資者へ評価結果を開示します。 | 会社の業務の適正を確保し、取締役会監督とリスク管理を支えます。 |
| 中心となる責任主体 | 経営者が内部統制を評価し、内部統制報告書で結果を示します。 | 取締役会が体制整備を決議し、監査役等が運用状況を監視します。 |
| 実務上の接点 | 統制環境、監査役等への報告、内部監査、重要な不備の是正が接続します。 | 取締役会規程、職務権限規程、子会社管理規程、内部通報規程が接続します。 |
期初の評価計画から提出後のフォローまで、1年を通じた運用として整理します。
J-SOX・内部統制報告は、期末に一度だけ評価するものではありません。次の時系列は、標準的な年間サイクルと関与部門を示します。重要なのは、期末後に慌てて証跡を集めるのではなく、期初から評価範囲、文書更新、運用評価、不備是正を積み上げることです。
重要性基準、リスク変化、監査人との協議予定を確認します。経営者、J-SOX担当、経理、内部監査、法務、ITが関与します。
全社的内部統制、決算・財務報告プロセス、業務プロセス、IT統制を現行業務に合わせます。
ウォークスルー、サンプルテスト、例外処理の確認を通じて、統制が実際に機能しているかを見ます。
不備、改善、補完統制、再評価を整理し、監査人、法務、監査役等と重要論点を協議します。
決算・財務報告プロセス評価、最終不備判定、内部統制報告書案、内部統制監査報告書、取締役会・監査役等への報告を行います。
是正状況、監査人指摘事項、翌期評価範囲への反映を管理します。
内部監査部やJ-SOX事務局が実務を担っても、内部統制の整備・運用の責任と評価結果の最終責任は経営者にあります。代表者及び最高財務責任者を定めている場合の最高財務責任者が、財務報告に係る内部統制の整備及び運用の責任を有する旨を内部統制報告書で示す実務が想定されます。
監査人との協議は、経営者の判断の合理性を高めるために重要です。ただし、評価範囲の決定は経営者が行います。監査人の独立性を損なうような依存は避け、協議履歴、取締役会・監査役等への報告履歴、重要判断の根拠資料を残すことが大切です。
2023年改訂後の中核となる、非機械的な評価範囲決定を整理します。
評価範囲の決定は、J-SOX・内部統制報告の中で最も重要な判断の一つです。狭すぎれば重要な虚偽記載リスクを見逃す可能性があり、広すぎれば形式的な作業に追われて重要リスクの検討が浅くなります。
次の重要ポイントは、従来例示の扱いを確認するものです。読者にとって重要なのは、おおむね3分の2や3勘定という目安を出発点にしつつ、質的リスクを踏まえて評価範囲を説明できるかを確認することです。
売上高等の量的指標だけでなく、財務報告に対する金額的影響、質的影響、発生可能性、不正リスク、IT環境、委託業務、海外子会社リスクを合わせて検討します。
次の一覧は、評価範囲決定で特に見落としやすい質的要素を示します。なぜ重要かというと、売上規模が小さくても、見積り、不正疑義、システム変更、海外子会社などが重要な虚偽記載リスクにつながる場合があるためです。
契約条件、検収、返品、リベート、ライセンスなどが複雑な事業は慎重に見ます。
原価計算、在庫評価、工事進行基準、開発費、減損、引当金は質的重要性が高まりやすい領域です。
会計人材、言語、システム分断、権限集中、PMI未了が評価範囲に影響します。
経営者や事業責任者の圧力が強い領域では、経営者による統制無効化も含めて検討します。
トップサイド仕訳、連結修正仕訳、例外処理が多い場合は証跡と承認が重要です。
ERP導入、クラウド化、外部委託、内部通報、不正疑義、監査人指摘があった領域を確認します。
次の判断の流れは、評価範囲を決める際に検討する順番を示します。重要なのは、量的基準、質的要素、監査上の重要なリスク、範囲外不備を一連の判断として記録することです。
売上高、総資産、税引前利益、重要勘定科目との関連を確認します。
不正リスク、複雑な契約、海外子会社、IT変更、委託業務、過年度不備を検討します。
財務諸表監査で重視される勘定科目やプロセスとJ-SOX評価範囲を突き合わせます。
評価範囲の追加、監査人協議、取締役会・監査役等への報告を検討します。
決定手順、判断理由、協議履歴、翌期への反映事項を残します。
評価範囲外から重要な不備が識別された場合、評価範囲外だから関係ないと整理することは危険です。当該不備が評価範囲の決定方法自体の誤りを示すものか、財務諸表の重要な虚偽記載につながる可能性があるか、同種不備が他拠点・他プロセスにも存在するか、当期又は翌期の評価範囲へ反映すべきかを確認します。
全社的内部統制、決算・財務報告プロセス、業務プロセス、IT統制の違いを整理します。
全社的な内部統制は、会社全体の統制環境、リスク評価、情報伝達、モニタリング、取締役会・監査役等の監督、内部監査、コンプライアンス体制など、個別業務プロセスを支える基盤です。ここに不備があると、個別プロセスの評価結果にも広範な影響を及ぼします。
決算・財務報告プロセスは、仕訳集計、決算整理、税効果、減損、引当金、連結、開示、注記、XBRL、レビュー、承認など、財務報告の最終段階に関わります。業務プロセスは、売上、購買、在庫、原価、固定資産、人件費、資金、債権債務、税務、連結子会社報告など、重要勘定科目を形成する業務の流れです。
次の表は、IT統制の2つの区分を整理します。読者にとって重要なのは、すべての社内システムを見るのではなく、財務報告に係る内部統制に関連するシステムと、その上で動く統制を切り分けることです。
| 区分 | 内容 | 例 |
|---|---|---|
| IT全般統制 | システム全体の信頼性を支える統制です。 | アクセス権限管理、開発・変更管理、運用管理、障害対応、バックアップ、外部委託管理です。 |
| IT業務処理統制 | 業務処理に組み込まれた自動統制です。 | 入力チェック、自動計算、マスタ参照、承認経路、三点照合、自動仕訳連携です。 |
2023年改訂は、IT委託業務に係る統制、サイバーリスクの高まりを踏まえたセキュリティ確保を強調しています。IT統制は情報システム部門だけの問題ではなく、経営リスク、法務リスク、開示リスクとして扱う必要があります。
3点セットを目的化せず、統制が実施されたことを説明できる状態を作ります。
J-SOX実務でいう3点セットとは、一般に業務の流れ図、業務記述書、リスクと統制の対応表であるRCMを指します。これらは業務プロセスを理解し、リスクと統制を整理し、評価手続を設計する上で有用です。しかし、3点セットを作ること自体が制度目的ではありません。
次の一覧は、良い文書化で確認できるべき事項を示します。なぜ重要かというと、監査人や後任担当者が読んだときに、財務報告リスクと統制上の要点がつながっていなければ、評価や是正に使えないためです。
どの財務諸表項目に影響するプロセスか、どの虚偽記載リスクがあるかを示します。
リスク識別そのリスクに対する承認、照合、職務分掌、レビュー、例外対応を明確にします。
統制設計誰が、いつ、どの頻度で、どの証跡に基づいて実施するかを示します。
運用評価システム統制、手作業統制、委託先や子会社の関与、権限管理、証跡保存を紐づけます。
注意内部統制評価では、統制が設計されているだけでは不十分であり、実際に運用されていることを示す証跡が必要です。証跡には、承認ログ、押印、電子承認、レビューコメント、照合表、差異分析資料、会議体議事録、メール、チケット、システムログ、棚卸記録、監査調書、是正完了報告などが含まれます。
電子証跡も利用できますが、真正性、完全性、検索可能性、保存期間、アクセス制御が重要です。電子承認やクラウドシステムを利用する場合、監査人が検証可能な形で証跡を出力・閲覧できることが必要です。
法務・内部監査・ITは、証跡保存ポリシーをJ-SOX評価、電子帳簿保存、個人情報保護、営業秘密管理、訴訟対応、内部通報調査と整合させる必要があります。
不備の重大性、期末日までの是正、訂正内部統制報告書を整理します。
開示すべき重要な不備とは、財務報告に重要な虚偽記載が発生する可能性を相当程度高める内部統制の不備です。期末日に存在する場合には、内部統制報告書にその内容及び是正されなかった理由を記載し、財務報告に係る内部統制は有効でない旨を表明することになります。
次の判断の流れは、不備が見つかったときに確認する順番を示します。なぜ重要かというと、量的影響だけでなく、経営者による統制無効化、不正、関連当事者取引、法令違反、監査人への説明、取締役会監督不全などの質的要素で結論が変わるためです。
設計不備か運用不備か、対象プロセス、関与者、証跡、影響勘定を確認します。
金額的重要性、発生可能性、不正や法令違反との関係、補完統制の有無を確認します。
是正後の統制が有効に運用されていることを評価できるかを見ます。
内部統制報告書、有価証券報告書、適時開示、監査報告書への影響を確認します。
是正計画、完了証跡、再評価結果、監査人・監査役等への報告を記録します。
2023年の内部統制府令改正では、前年度に開示すべき重要な不備を報告した場合、内部統制報告書に付記事項として当該不備に対する是正状況を記載することが示されました。是正計画、責任者、期限、進捗、再発防止策、監査人・監査役等への報告、取締役会の監督記録を整備することが重要です。
後日、内部統制の有効性評価が誤っていたことが判明した場合、訂正内部統制報告書が問題になります。訂正の場面では、有価証券報告書等の訂正要否、財務諸表監査意見への影響、内部統制監査報告書への影響、適時開示の要否、当局・取引所への説明、役員責任、第三者委員会の要否、株主・投資家・金融機関・取引先への説明を同時に検討します。
評価範囲、評価手続、評価結果、付記事項、EDINET・XBRLまで確認します。
内部統制報告書の様式では、経営者責任、評価範囲、評価結果、付記事項、特記事項などが予定されています。次の表は主要項目を整理したものです。なぜ重要かというと、2023年改訂後は、評価範囲の手順・方法・根拠がより重要になっているためです。
| 項目 | 内容 |
|---|---|
| 財務報告に係る内部統制の基本的枠組みに関する事項 | 経営者・最高財務責任者の責任、準拠した基準、内部統制の限界を示します。 |
| 評価の範囲、基準日及び評価手続に関する事項 | 評価基準日、準拠基準、評価手続の概要、評価範囲、範囲決定の手順・方法・根拠を示します。 |
| 評価結果に関する事項 | 有効、有効でない、評価不能等の評価結果を示します。 |
| 付記事項 | 後発事象、期末後是正、前年度不備の是正状況などを示します。 |
| 特記事項 | 投資者に有用な特別な事項を示します。 |
評価手続の概要は、単なる定型文では不十分になりつつあります。評価範囲内における統制上の要点の選定など、評価結果に重要な影響を及ぼす手続の概要を簡潔に示すことが求められます。
もっとも、営業秘密やセキュリティ情報を過度に開示する必要はありません。法務・開示担当は、投資者に必要な情報を提供しつつ、内部統制上の脆弱性を外部に過度に示さないバランスを取る必要があります。
内部統制報告書を含む開示書類は、EDINETを通じて電子的に提出されます。EDINETではXBRLが利用され、開示書類に電子的なタグを付して情報取得を効率化します。開示担当は、内部統制報告書の本文だけでなく、提出形式、タグ付け、添付監査報告書、提出タイミング、訂正時の運用を確認する必要があります。
経営者評価、財務諸表監査、監査実務指針の関係を確認します。
日本の内部統制監査は、経営者の内部統制評価を前提に、その評価範囲、評価手続、評価結果の妥当性を監査人が検討する制度です。監査人は、経営者による評価がすべて完了した後でなければ内部統制監査を実施できないわけではありません。評価範囲や統制上の要点が暫定的に決まった段階で、妥当性をあらかじめ検証する実務もあります。
内部統制監査は財務諸表監査と密接に関連し、監査人は財務諸表監査で得た理解や監査証拠を内部統制監査にも活用します。他方、内部統制監査で開示すべき重要な不備が見つかっても、実証手続により財務諸表が適正に表示されていることについて十分かつ適切な監査証拠を入手できれば、財務諸表監査では無限定適正意見を表明できる場合があります。
次の比較一覧は、内部統制監査と財務諸表監査の関係を示します。読者が読み取るべき点は、内部統制が有効でないことと財務諸表が虚偽であることは同義ではない一方、重要な不備は監査手続、開示、投資家説明、信用リスクに影響するという点です。
| 観点 | 内部統制監査 | 財務諸表監査 |
|---|---|---|
| 前提 | 経営者の内部統制評価を前提に、その妥当性を検討します。 | 財務諸表が適正に表示されているかを監査します。 |
| 証拠の使い方 | 評価範囲、統制上の要点、整備・運用状況を検討します。 | 実証手続や内部統制理解により監査証拠を入手します。 |
| 意見の関係 | 開示すべき重要な不備がある場合、有効でない旨が問題になります。 | 十分な実証手続で適正表示を確認できれば、無限定適正意見となる場合があります。 |
日本公認会計士協会の財務報告内部統制監査基準報告書第1号などの監査実務指針は、監査人が会社の評価を検討する際の重要な拠り所です。会社側も、評価範囲、統制上の要点、サンプル、IT全般統制、委託業務、グループ監査、監査人の独立性について、監査人の視点を理解しておくことが有用です。
ERP、SaaS、BPO、サイバーインシデント、AI・RPA利用時の統制を整理します。
現代の財務報告は、ERP、販売管理、購買管理、在庫管理、人事給与、経費精算、連結会計、開示支援、クラウドストレージなど、多数のITに依存しています。アクセス権限が不適切であれば、架空売上、支払不正、マスタ改ざん、承認迂回、ログ削除が可能になります。
次の一覧は、IT・クラウド・委託業務で確認すべき実務論点を示します。読者にとって重要なのは、IT統制を技術管理に閉じず、財務報告、契約、セキュリティ、監査証拠の問題として扱うことです。
委託業務が財務報告に関連するか、委託先の統制をどう評価するか、監査権や報告義務が契約にあるかを確認します。
委託先管理SOC報告書、保証報告書、第三者認証、委託先説明資料を入手できるかを確認します。
監査証拠財務データの完全性、ログ・証跡、決算・開示スケジュール、監査証拠、適時開示への影響を検討します。
注意入力データ、出力検証、権限管理、バージョン管理、変更履歴、機密情報入力、誤出力レビューを確認します。
EUC統制サイバー攻撃で会計システム、販売管理システム、在庫管理システム、連結会計システムが停止・改ざん・暗号化された場合、財務報告への影響は重大です。単なる情報セキュリティ事故ではなく、決算遅延、証跡喪失、データ完全性の毀損、開示遅延、監査証拠不足、内部統制評価不能につながる可能性があります。
インシデント対応では、IT部門が復旧を進めるだけでなく、法務、経理、内部監査、監査役等、監査人、広報、IRが連携します。財務データの完全性、代替証拠、決算・開示スケジュール、内部統制の重要な変更又は不備、個人情報保護法や業法、取引所規則への影響を確認します。
J-SOX・内部統制報告は、提出会社単体だけでなく、連結財務報告の信頼性を対象とします。連結子会社、持分法適用会社、海外拠点、買収会社、事業部、委託先が財務報告に重要な影響を及ぼす場合、評価範囲に含めるか、どのように評価するかを検討します。
持分法適用会社は支配権がないため、子会社と同じ深度で評価できない場合があります。その場合でも、質問書、聞き取り、報告資料の閲覧、管理プロセスの確認などで全社的な内部統制評価を中心に確認します。虚偽記載リスクが大きい場合には、重要性の大きい業務プロセスの評価が必要となる場合があります。
海外子会社では、言語、会計基準、税制、文化、権限集中、現地会計人材不足、システム分断、不正リスク、贈収賄リスクが問題になります。親会社が日本語の文書を送付するだけでは統制は機能しません。
次の一覧は、海外子会社と買収後PMIで優先して確認する実務対応を示します。重要なのは、現地業務を理解し、現地責任者が統制の意味を理解し、親会社がモニタリングできる形にすることです。
連結パッケージの標準化、会計方針マニュアルの多言語化、勘定科目の統一を進めます。
連結権限規程、支払承認、銀行口座管理、重要仕訳・例外仕訳の親会社レビューを整えます。
承認現地内部監査又はリモート監査、多言語の内部通報窓口、親会社への報告経路を整えます。
監督買収後PMIでJ-SOX評価範囲への追加要否、IT権限、マスタ管理、関連当事者取引を確認します。
PMI次の時系列は、IPO準備会社がJ-SOX・内部統制報告へ移行するための整備順序を示します。読者は、上場後に突然始めるのではなく、上場審査、主幹事証券会社の引受審査、監査法人のショートレビューを見据えて早期に準備する必要があります。
月次決算の早期化、精度向上、会計方針、重要契約の確認を進めます。
職務権限、稟議、契約、支払、反社チェック、重要業務プロセス、IT権限、変更管理を整備します。
内部監査機能、監査役等・取締役会の運用、J-SOX評価のトライアル、不備是正、再評価を進めます。
評価計画、評価範囲、監査人協議、報告書作成、提出後フォローを年間サイクルに組み込みます。
不正調査、内部通報、契約法務、取締役会・監査役等への報告を整理します。
内部統制不備は、単なる管理上の問題にとどまらず、虚偽記載、重要事実不開示、取締役の善管注意義務違反、監査役等の監視義務、内部通報対応不備、労務・懲戒、刑事事件、当局対応に発展し得ます。
不正疑義が発生した場合、調査チームは事実認定だけでなく、内部統制上の原因分析を行います。不正又は誤謬の発生プロセス、関与者、権限、承認、証跡、設計不備か運用不備か、経営者又は業務責任者による統制無効化、同種リスク、財務諸表への影響額、J-SOX評価・内部統制報告書・監査報告書への影響、是正策と再発防止策を整理します。
内部通報は、不正会計、売上前倒し、架空発注、キックバック、棚卸不正、経費不正、ハラスメント、品質不正などを早期に発見する重要な統制です。内部通報窓口が法務・コンプライアンス部門に置かれている場合、財務報告に影響する通報をJ-SOX担当、内部監査、監査役等、監査人へどのタイミングで共有するかを設計しておく必要があります。
次の一覧は、法務・コンプライアンスがJ-SOXと連携する代表場面を示します。読者にとって重要なのは、通報の秘密保持や通報者保護を守りつつ、財務報告に重大な影響を及ぼす情報を担当部署だけに滞留させないことです。
共有範囲、匿名化、調査権限、証拠保全、利益相反排除を規程化します。
収益認識、返品権、リベート、ライセンス、リース、保証、価格調整、関連当事者取引を経理と共有します。
評価範囲、重要な不備、是正遅延、監査人協議、サイバーインシデント、海外子会社不正を報告します。
報告内容、質疑、対応方針、継続モニタリング事項を残し、監督機関が資源配分を判断できる状態にします。
契約法務担当は、契約締結前に経理・税務・J-SOX担当と連携し、重要契約が財務報告に与える影響を確認します。契約書レビューは、損害賠償条項や準拠法だけでなく、会計処理・開示統制の入口でもあります。
人員不足がある場合でも、代替統制を設計して説明できる状態を作ります。
中小規模の組織では、人員不足により職務分掌が難しいことがあります。ただし、小規模であることは内部統制を省略する理由ではありません。経営者や他部署によるモニタリング、社外専門家の利用など、特性に応じた代替的な内部統制を設計する理由になります。
次の一覧は、中小規模組織で現実的に使いやすい代替統制を整理したものです。なぜ重要かというと、人数が少なくても、誰が何を確認し、どの証跡で説明するかを明確にすれば、統制として評価しやすくなるためです。
月次決算、重要仕訳、差異分析、資金繰り、重要契約を定例で確認し、コメントと対応履歴を残します。
レビュー銀行口座と会計帳簿の月次照合、支払データと請求書の照合、重要契約の法務・経理同時確認を行います。
照合税理士・公認会計士等外部専門家による確認や、内部監査の外部委託又は共同実施を活用します。
補完経理担当者と承認者の分離、システム権限の最小化、取締役会への月次決算報告を整えます。
注意創業企業では、社長が全部見ているという説明がなされることがあります。経営者の直接関与は統制として機能する場合がありますが、統制として評価するには、何を、いつ、どの資料で、どの観点から確認し、例外があった場合にどう対応したかが明確でなければなりません。
経営者、法務、経理・J-SOX担当、IT・セキュリティの確認事項を整理します。
次の表は、担当別に確認すべき事項を整理したものです。読者にとって重要なのは、J-SOXを一部署の作業にせず、経営者、法務、経理、ITが同じリスク認識で確認できるようにすることです。
| 担当 | 確認事項 |
|---|---|
| 経営者・取締役会 | 財務報告の信頼性を経営課題として扱い、評価範囲の根拠、重要な不備、監査人指摘、CFO・経理・内部監査・CIO/CISOのリソース、海外子会社・買収会社・委託先・クラウド利用の統制リスクを把握します。 |
| 法務・コンプライアンス | 重要契約の会計・開示影響、訴訟・当局調査・偶発債務・保証・関連当事者取引、財務報告に影響する通報の共有、不正調査時の証拠保全、取締役会議事録、訂正報告書・適時開示・内部統制報告書の整合性を確認します。 |
| 経理・J-SOX担当 | 評価範囲を量的・質的要素から説明できるか、3点セットが最新業務・システム実態と一致するか、統制上の要点が財務報告リスクと対応するか、サンプル抽出、評価結果、不備判定、再評価の証跡を確認します。 |
| IT・セキュリティ | 財務報告に関連するシステム一覧、アクセス権限、特権ID管理、変更申請・承認・テスト・本番移行、インターフェースエラー、ログ、バックアップ、クラウド・委託先資料、サイバーインシデント時の財務報告影響評価を確認します。 |
チェックリストは、形式的に丸を付けるためのものではありません。重要な判断や例外事項が見つかったときに、誰へ共有し、どの証跡を残し、どの期限で是正するかまでつなげる必要があります。
制度の一般的な考え方を、個別事案の結論を断定しない形で整理します。
一般的には、法令上の内部統制報告書提出義務は金融商品取引法上の対象会社に関する制度とされています。ただし、IPO準備会社、上場子会社、上場会社の重要子会社、金融機関からの借入やM&Aを予定する会社でも、実務上はJ-SOXの考え方が重要になる可能性があります。具体的な適用関係や準備水準は、会社の状況に応じて専門家へ相談する必要があります。
一般的には、3点セットは業務プロセス、リスク、統制を整理する道具とされています。統制の整備、運用、評価、不備是正、報告の代替にはなりません。実務では、資料の存在だけでなく、実際の業務と一致しているか、統制上の要点を適切に捉えているか、証跡があるかを確認する必要があります。
一般的には、不備があるだけで直ちに有効でないと決まるものではないとされています。不備の重要性、発生可能性、財務報告への影響、補完統制、期末日までの是正状況によって結論が変わる可能性があります。具体的な判定は、資料を整理したうえで監査人や専門家と協議する必要があります。
一般的には、内部統制監査で開示すべき重要な不備が発見された場合でも、財務諸表監査の結論が当然に不適正意見になるとは限らないとされています。監査人が実証手続により財務諸表が適正に表示されていることについて十分かつ適切な監査証拠を入手できるかによって結論が変わる可能性があります。
一般的には、すべての社内システムが評価対象になるわけではなく、財務報告に係る内部統制に関連するシステムが対象になるとされています。重要な勘定科目がどの業務プロセス・システムに関連しているかを整理し、IT業務処理統制とそれを支えるIT全般統制を識別する必要があります。
一般的には、評価範囲の決定は経営者の責任とされています。監査人との協議は重要ですが、経営者が自らリスクを評価し、範囲決定の手順・方法・根拠を説明できることが必要です。監査人への過度な依存は、監査人の独立性の観点でも問題になる可能性があります。
一般的には、前年度に開示すべき重要な不備を報告した場合、内部統制報告書の付記事項として、その是正状況を記載することが示されています。是正計画、実施状況、再評価、未完了事項を説明できる体制が必要です。具体的な記載内容は、会社の状況や監査人との協議によって変わる可能性があります。
一般的には、訂正の経緯、理由、当初報告で開示されなかった理由、不備の内容、是正状況、財務諸表への影響、監査人との協議、取締役会・監査役等への報告、適時開示との整合性が重要とされています。訂正は投資者保護と当局対応に直結するため、法務・会計・監査・IRを統合した対応として扱う必要があります。
形式的な開示書類作成ではなく、信頼される経営管理として運用します。
J-SOX・内部統制報告は、形式的な開示書類作成制度ではありません。制度の本質は、経営者が財務報告の信頼性に責任を持ち、財務数値が作成される業務、IT、組織、監督、委託、グループ管理の仕組みを理解し、リスクに応じた統制を整備・運用し、その有効性を投資者に説明する点にあります。
2023年改訂後の実務では、評価範囲の説明責任、非機械的なリスク評価、不正・サイバー・委託・海外子会社リスクへの対応、前年度不備の是正状況、訂正時の理由開示が一層重要になりました。
法務部門にとっても、J-SOXは会計監査の周辺業務ではなく、取締役会監督、開示責任、内部通報、不正調査、M&A、契約、危機管理と交差する中核的な企業法務です。
次の重要ポイントは、実効性ある運用の結論を整理するものです。読者は、自社の組織で誰が同じ事実認識とリスク認識を共有しているか、どの証跡で説明できるかを読み取ることが重要です。
企業が自らの事業を正確に把握し、投資者に信頼され、危機に耐えるための経営インフラとして、J-SOX・内部統制報告を運用することが大切です。
実効性あるJ-SOX・内部統制報告を実現するには、経営者、CFO、経理、内部統制担当、内部監査、IT、法務、コンプライアンス、監査役等、取締役会、外部監査人が、同じ事実認識とリスク認識を共有する必要があります。
目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。
知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。
このテーマから次に確認されやすい詳しい解説を9件表示しています。
公的機関・監査実務・取引所資料など、制度理解の基礎となる資料名を整理します。