J-SOXとは?

このサイトはコントロールソリューションズ株式会社をスポンサーとして、Zenken株式会社が運営しています。

J-SOXとは?

J-SOX(日本版SOX法)は、主に上場企業を対象に、財務報告に関する内部統制を適切に整備・運用し、その有効性を経営者が評価して報告することを義務付ける制度です。正式には「内部統制報告制度」と呼ばれ、2008年に金融商品取引法の改正に合わせて導入されました。企業の財務報告の信頼性を高め、不正会計や会計不祥事を予防・発見する仕組みを整えることを目的とされています。

制度上の大きな特徴として、経営者(CEOやCFO)が自社の内部統制の有効性を自ら評価し、内部統制報告書を作成・提出しなければならない点が挙げられます。このプロセスには公認会計士や監査法人が監査人として関与し、経営者による評価が妥当なものかどうかを監査します。評価対象の範囲には、売上計上や費用計上といった財務諸表の基盤となる業務フローに加え、経営者が内部統制を形骸化しないようにする統制環境の整備状況なども含まれます。

J-SOXが導入された背景には、企業が行う財務報告に対する社会的な信用が失墜すれば、投資家や金融市場に悪影響を及ぼし、日本の経済全体の信頼性が損なわれる可能性があるという危機感がありました。そのため、企業内部に適切なチェック体制を整え、万が一問題が生じた場合でも早期に発見し、必要な対策を講じられるよう法的な枠組みを整えたのです。結果として、内部統制の重要性が広く認識され、企業のコンプライアンス意識やガバナンス体制の向上につながっています。

アメリカのSOX法について

J-SOXの「SOX」は、アメリカ合衆国で2002年に成立した「サーベンス・オクスリー法(Sarbanes-Oxley Act)」を指します。米国における大規模な会計不祥事(エンロンやワールドコムなど)が相次ぎ、市場と投資家の信頼が大きく揺らいだことを受け、企業統治と会計監査に関する抜本的な改革が求められたのです。SOX法には全11章69条があり、上場企業と会計監査人に対して厳格なルールが設けられました。

特に重要なのが404条で、経営者が財務報告に係る内部統制の整備・運用状況を評価し、それを監査法人(外部監査人)が監査することを義務づけています。SOX法導入直後、多くの米国企業が監査や内部統制対応に膨大なコストを費やし、社内プロセスの抜本的見直しを迫られました。しかし、その結果として会計の透明性と企業統治が改善し、投資家の信頼回復にも一定の成果を上げたと評価されています。

日本のJ-SOXは、この米国SOX法を参考にしながらも、日本の実務慣行や文化、企業規模の違いに配慮して簡素化された制度です。たとえば、経営者による「ダイレクトレポーティング」(経営者と監査人がそれぞれ独立に内部統制の意見表明を行う仕組み)は採用していません。また、内部統制の不備を「重要な欠陥(開示すべき重要な不備)」と「不備」に区分するなど、評価手続きに柔軟性を持たせています。

J-SOXの特徴

J-SOXの特徴としては、大きく次のようなポイントが挙げられます。

1. トップダウン型のリスクアプローチ

まず企業全体の事業規模や業務プロセスを俯瞰し、その中で「財務報告上、重大な影響を与える恐れのあるリスク」から優先的に評価を行う手法がとられます。このトップダウン型アプローチにより、すべての業務を網羅的に評価するのではなく、リスクの高い領域に焦点を当てることで、効率よく内部統制の有効性を検証できる仕組みを構築しています。

2. 不備の区分

内部統制上の問題は、大きく「重要な欠陥(開示すべき重要な不備)」と「不備」の2つに分類されます。重要な欠陥とは、財務諸表に重大な虚偽記載をもたらす可能性が高いものを指し、これが見つかった場合は開示が求められます。一方、不備は「改善は必要だが、ただちに重大な虚偽記載につながるほどではないレベル」の問題です。

3. 内部統制監査と財務諸表監査の一体的実施

監査人は、財務諸表が正しく作成されているかどうかの監査とあわせて、内部統制が有効に機能しているかどうかもチェックします。この一体的なアプローチにより、財務報告の精度と内部統制の実効性を同時に高める効果が期待されています。

4. 監査人と監査役・内部監査人との連携

企業内での監査役や内部監査部門と、外部監査人(監査法人)が連携をとることで、発見された不備に対して迅速に対策を講じやすい体制が整備されています。特に経営者による内部統制の形骸化を防止するためには、内部監査人の独立性と専門性が重要です。

J-SOXの目的

J-SOXは、単に法律上の義務を果たすために存在しているわけではなく、企業活動の透明性を高め、ステークホルダー(株主・投資家・取引先など)からの信頼を確保するための仕組みとして機能しています。その目的は大きく4つに整理できます。

1. 業務の有効性・効率性の向上

内部統制を整備しておくことで、業務プロセス上の無駄や重複、リスクを適切に管理し、企業活動の質を高める効果が期待されます。

2. 財務報告の信頼性確保

決算書の数字に誤りや粉飾がないかを防止・早期発見し、株主や投資家が安心して企業を評価できるようにします。

3. 法令遵守の推進

企業が関連法規・規則を守り、社会的責任を果たす文化を育むのに役立ちます。特に金融商品取引法だけでなく、業種別の法規制や労働法令、環境規制など多方面の遵守意識を高める効果があります。

4. 資産の保全

企業が保有する資産が不正や管理ミスによって損なわれないようにするためのチェック体制づくりも、内部統制の重要な役割です。

内部統制の整備・運用はコストと手間を要する一方で、企業にとっては長期的に「コンプライアンス体制の強化」や「不正リスクの低減」「業務品質の向上」という形で大きなメリットをもたらします。経営者がJ-SOX対応を積極的に位置付けることで、単なる負担ではなく、競争力強化の機会と捉える企業も増えてきています。

J-SOXと内部統制との違い

「J-SOX」と「内部統制」はしばしば混同されますが、両者には明確な区別があります。

区分 一般的な内部統制 J-SOX(内部統制報告制度)
目的
  • 業務の有効性・効率性の向上
  • 法令遵守とリスク管理
  • 資産保全など、企業活動の健全性を支えるための総合的な仕組み
  • 財務報告の信頼性を確保し、投資家や市場からの信頼を得る
  • 特に財務情報の正確性と開示プロセスの透明性向上が主眼
法的義務
  • 一般的には法的義務ではなく、企業が自主的に整備・運用するためのフレームワーク
  • 会社法などによる内部統制への示唆はあるが、報告義務や罰則を伴うものではない場合が多い
  • 金融商品取引法に基づく上場企業への法的義務
  • 内部統制報告書の作成・提出をしない、または虚偽記載がある場合には罰則の可能性
適用範囲
  • 企業全体の業務にわたり、不正リスク、業務効率化など、さまざまな観点での内部統制を含む
  • 財務報告だけでなく、人事・購買・生産など、総合的なプロセスが対象となり得る
  • 財務報告に関する内部統制に特化した評価と報告が中心
  • ただし、財務報告を支えるITシステムや不正リスクなど、周辺領域も評価範囲に含まれやすい
報告義務
  • 一般的な内部統制には外部への報告義務はない
  • 自主的に運用し、必要に応じて取締役会や監査役会など社内機関で完結する
  • 経営者が内部統制報告書を作成し、財務報告に係る内部統制の有効性を開示
  • 監査法人・公認会計士による監査を受け、その監査結果も公開
監査体制
  • 内部監査部門や監査役が中心となり社内で監視・チェックを行う
  • 外部監査人による強制的な監査は必ずしも求められない
  • 外部監査人(監査法人・公認会計士)による「内部統制監査」と「財務諸表監査」を一体的に実施
  • 監査役や内部監査部門との連携も強化され、経営者による内部統制の形骸化を防止
重要性・ステークホルダーへの影響
  • 一般的には企業内部での意思決定やリスク管理に役立つ
  • 社会的信用への影響は間接的
  • J-SOX違反が明らかになると、投資家や取引先などからの信用失墜につながる可能性が高い
  • 違反リスクによる罰金や行政処分など、直接的なペナルティも想定される
運用・コスト面
  • 組織規模や事業特性に応じて柔軟に導入・運用できる
  • 必要な範囲でコストをかける一方、形骸化すると不正リスクを増大させる可能性も
  • 上場企業の場合、法定義務として対応が必須
  • 財務報告や監査対応に必要なシステム導入や人件費など、ある程度のコスト負担が生じる
  • ただし、適切に整備することでコンプライアンス強化や業務品質向上に寄与

内部統制

企業活動のすべてにおいて、不正やミスを未然に防ぎ、業務の効率化や法令遵守、資産保全を図るための仕組みを指す広い概念です。企業ごとに規模や事業内容が異なるため、内部統制の具体的な設計は千差万別ですが、財務報告だけでなく、あらゆる業務領域に適用されます。

J-SOX(内部統制報告制度)

上場企業に対し、財務報告に関する内部統制を整備・運用し、その有効性を経営者が評価し公表することを法的に義務付けた制度です。すなわち、内部統制のうち「財務報告の信頼性向上」に特化した部分にフォーカスし、これを上場企業が必ず実施・報告しなければならないように定められています。

大きな違いは、J-SOXが「法的拘束力を伴い、評価結果を開示する義務がある」点にあります。一般的な内部統制は企業の自主性に委ねられ、外部公表までは必ずしも行いません。一方、J-SOXの対象となる企業は、金融商品取引法に則って内部統制報告書を作成し、それを監査法人の監査も経て開示しなければなりません。この公開プロセスが、投資家や取引先などからの信頼を得るうえで非常に重要となります。

24年4月のJ-SOXの改正について

2024年4月1日以降開始する事業年度から、J-SOXに関する基準や実施基準が改訂される予定です。ビジネス環境の変化やデジタル化の進展を反映した内容が盛り込まれており、以下のような点に注目が集まっています。

1. 「財務報告」から「報告」へ目的拡大

従来は「財務報告の信頼性」を確保することが主眼でしたが、改訂後はサステナビリティESG関連情報など非財務情報を含む「報告全般の信頼性」確保が目指されます。投資家や社会が、財務指標だけでなく非財務指標にも大きな関心を寄せる時代背景を反映した改正と言えます。

2. 不正リスクへの対応強化

いわゆる「不正のトライアングル」(動機・機会・正当化)を明確に考慮することが求められ、経営者による不正や、ITシステムの脆弱性を突いた不正など、さまざまな視点からリスク評価を行う必要があります。

3. IT統制の重要性が増大

デジタル技術を活用する企業が増えたことで、情報セキュリティシステム改修時のコントロールがより厳しく問われます。クラウド環境やAI・RPA(ロボティック・プロセス・オートメーション)を用いた業務にも配慮が必要となる場面が増えています。

4. 内部監査の役割強化

内部監査部門が、取締役会や監査役会と連携して、経営者が内部統制を無視する行為を抑止する役割をより重視されるようになります。独立性専門性を高めるため、体制整備や人材育成が不可欠となるでしょう。

5. ガバナンスとリスク管理の統合

従来の内部統制のみならず、企業全体のリスク管理ガバナンス(経営管理)を一体化させる動きが強まります。リスク選好や3線モデル(業務部門、リスク管理・コンプライアンス部門、内部監査部門の3つの防御線)の概念を組み込み、企業全体でリスクに対峙する枠組みの整備が促されます。

今回の改正で企業には追加的な負担も生じますが、IT活用を通じた効率化や、より高度なリスクマネジメントへの移行が進む可能性も高いと考えられています。

J-SOXに違反をするとどうなる?

J-SOX(内部統制報告制度)に違反する、あるいは守らない場合、企業や経営者には以下のようなリスクとペナルティが想定されます。

1. 法的制裁(金融商品取引法違反)

内部統制報告書を提出しない、あるいは虚偽記載を行った場合、金融商品取引法に基づき最大5億円の罰金が科される可能性があります。また、虚偽記載の程度によっては刑事罰の対象にもなり得るため、経営陣にとって深刻なリスクです。

2. 社会的信用の低下

企業がJ-SOXの義務に反した行為を行ったことが公表されれば、投資家や取引先、消費者など幅広いステークホルダーからの信用を失い、株価の下落や新規取引の縮小につながる恐れがあります。

3. 経営責任の追及

重大な内部統制の欠陥や不正が見つかった場合、取締役会や株主から経営陣の責任を追及される可能性があります。株主代表訴訟などに発展すれば、経営者個人の資産や地位に重大な影響を及ぼすことも考えられます。

4. 業務改善命令

金融庁など監督当局からの行政処分や業務改善命令により、事業活動に制約が生じる場合があります。特に金融機関やITベンダーなど、コンプライアンス体制が厳しく求められる業界では、行政処分が長期にわたる経営リスクになり得ます。

このように、J-SOXの違反や無視は企業の存続を揺るがす深刻な結果を招く可能性があります。他方で、内部統制を適切に機能させる企業は、市場や社会からの信頼を得やすく、長期的に企業価値を高めることにもつながります。こうした背景から、J-SOXは単なるコスト要因ではなく、リスク管理や企業統治の向上に資する「投資」として捉えられるようになってきています。

まとめ

J-SOX(内部統制報告制度)は、アメリカのSOX法をモデルとしながらも、日本の企業文化や実務に合わせて設計された仕組みです。その根底には「企業の財務報告と企業活動への社会的信頼をいかに守るか」という強い問題意識が存在します。日本では、内部統制の不備が見つかると経営者や監査役、内部監査部門が改善活動に取り組み、外部監査人がその結果をチェックする流れが定着してきました。

2024年4月以降の改正では、非財務情報への対応強化やIT統制の重要性など、これまで以上に多角的な視点で企業リスクと内部統制のあり方を評価していくことが求められます。内部統制報告制度の存在意義は、単なる監査コストの増大だけでなく、透明性を高めて企業価値を持続的に向上させるための「仕組みづくり」にほかなりません。

代表 佐々野未知
メディア監修
しています!
Sponsored by
代表佐々野未知

上智大学経済学部卒業。大原簿記学校講師、青山監査法人(当時)勤務を経て、1998年KPMGニューヨーク事務所に入社。
2002年以降は、KPMG東京事務所(現あずさ監査法人)にて外資系企業の法定監査、デューデリジェンス、SOX法対応支援業務を担当する。
現在は、経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
著書『フローチャート式ですぐに使える内部統制の入門と実践』他。

セミナー情報

コントロールソリューションズでは、内部統制に関わるセミナーを随時開催しています。佐々野氏のセミナーは分かりやすいと好評のため、「すぐに相談までは進めない」という方はセミナーでお話を聞いてみてはいかがでしょうか?

1/6~2/10配信
みずほセミナー
概要
これだけでOK「内部統制の期末評価と報告書作成の実務」

今年も1年間かけて実施してきた財務報告に係る内部統制の評価について、結果を取りまとめる時期になりました。内部統制報告書の提出にむけた全体作業を念頭におきながら、最終的に重要な不備が残ることがないようにロールフォワードや再テスト等を進めていきましょう。なお、改訂実施基準が施行されたため、期中に不備等が見つかると追加で評価しなければならない可能性があります。自社の評価範囲に影響するような不備は早めに把握し、内部統制の構築と評価が期末までに完了するよう進めることが大切です。 本講座では、期末前後の評価作業、有効性の判断方法、内部統制報告書の作り方、改訂に伴う評価範囲への影響等について、最近の各社及び監査法人の動向等をふまえ、随所に設例、事例を織り込みながら、実務本位の解説で定評ある講師がわかり易くご指導いたします。

セミナーをもっと見る
1/6~2/10配信
みずほセミナー
概要
今の時代に求められる全社的リスクマネジメントの構築と実践

海外進出先での政情不安や急激な為替変動、クラウドサービス利用に伴うリスク等、昨今企業が直面するリスクは、増大かつ多様化しており、リスク管理の重要性が高まっています。従来型のリスクに対して各部門が都度場当たり的に対応するのではなく、リスク情報をタイムリーに認識・集約したうえで効率的・効果的に対応するためには、全社的な視点から計画的に実施する、いわゆる全社的リスクマネジメント(ERM)体制の構築と実践が不可欠です。法的にも、会社法、金融商品取引法、コーポレートガバナンスコードにおいて、グループ全体を含めた先を見越した全社的リスク管理体制の整備が求められています。しかし、具体的にどのような構築・運用が望ましいかは、各社各様であるため、ERMの導入が困難になっています。本講座では、ERMの構築からその後のPDCAサイクルにおける実務上の重要ポイントについて、具体例を用いて直面する課題とともに初心者にもわかり易く解説します。また、ERMの一環として、危機管理マニュアルや事業継続計画の策定についても合わせて説明します。

2/3~3/10配信
みずほセミナー
概要
これだけでOK「内部統制の期末評価と報告書作成の実務」

今年も1年間かけて実施してきた財務報告に係る内部統制の評価について、結果を取りまとめる時期になりました。内部統制報告書の提出にむけた全体作業を念頭におきながら、最終的に重要な不備が残ることがないようにロールフォワードや再テスト等を進めていきましょう。

なお、改訂実施基準が施行されたため、期中に不備等が見つかると追加で評価しなければならない可能性があります。自社の評価範囲に影響するような不備は早めに把握し、内部統制の構築と評価が期末までに完了するよう進めることが大切です。

本講座では、期末前後の評価作業、有効性の判断方法、内部統制報告書の作り方、改訂に伴う評価範囲への影響等について、最近の各社及び監査法人の動向等をふまえ、随所に設例、事例を織り込みながら、実務本位の解説で定評ある講師がわかり易くご指導いたします。

2/3~3/10配信
みずほセミナー
概要
今の時代に求められる全社的リスクマネジメントの構築と実践

海外進出先での政情不安や急激な為替変動、クラウドサービス利用に伴うリスク等、昨今企業が直面するリスクは、増大かつ多様化しており、リスク管理の重要性が高まっています。

従来型のリスクに対して各部門が都度場当たり的に対応するのではなく、リスク情報をタイムリーに認識・集約したうえで効率的・効果的に対応するためには、全社的な視点から計画的に実施する、いわゆる全社的リスクマネジメント(ERM)体制の構築と実践が不可欠です。法的にも、会社法、金融商品取引法、コーポレートガバナンスコードにおいて、グループ全体を含めた先を見越した全社的リスク管理体制の整備が求められています。しかし、具体的にどのような構築・運用が望ましいかは、各社各様であるため、ERMの導入が困難になっています。

本講座では、ERMの構築からその後のPDCAサイクルにおける実務上の重要ポイントについて、具体例を用いて直面する課題とともに初心者にもわかり易く解説します。また、ERMの一環として、危機管理マニュアルや事業継続計画の策定についても合わせて説明します。

アーカイブ配信
SMBCコンサルティング
概要
監査役等業務の基本と実務ポイント

企業不祥事や製品事故の増加に伴い、コーポレート・ガバナンス強化が進み、監査役等の責任が重くなっています。本講座では、監査役やスタッフ向けに、役割・責任や実務ポイントを具体例を交えてわかりやすく解説します。

アーカイブ配信
SMBCコンサルティング
概要
内部統制報告制度の全体像と全社統制の基本

内部統制制度が浸透する一方で、運用面での課題や作業効率化のニーズが高まっています。本講座では、J-SOXの背景や体制、全社統制構築に関する基本知識を、実務に精通した講師がわかりやすく解説します。

アーカイブ配信
SMBCコンサルティング
概要
業務プロセスを中心とした内部統制評価の基本

内部統制制度が浸透する一方で、運用上の課題や効率化に対するニーズが高まっています。本講座では、業務プロセスやIT全般統制の評価について、記載例を用いながら、実務に精通した講師が基本知識やノウハウをわかりやすく解説します。