この記事では、J-SOXについて簡単に理解できるようにわかりやすく解説をしています。
この記事を読むことで理解できること
- J-SOXの概要
- J-SOX対応のメリットやデメリット
- J-SOX対応の大まかな流れ
J-SOXとは
弊社では、IPOに向けて、J-SOXの対応が必要と言われたけれど…「内部統制」、「3点セット」など初めて聞く言葉ばかりでよく分かりませんでした。
J-SOXの定義について
J-SOXの定義
上場会社における財務報告の信頼性の確保を目的とした内部統制報告制度のこと。
経営者は有価証券報告書と併せて公認会計士の監査証明を付けた「内部統制報告書」を提出する義務がある。
J-SOXとは、内部統制報告制度の俗称のことで、「Japanese Sarbanes-Oxley act」の略です。「ジェイソックス」や「ジェーソックス」と読まれることが一般的です。別の呼び方としは、「日本版SOX法」と呼ばれることもあります。
そのため、実際に「J-SOX法」という法律があるわけではなく、「金融商品取引法」の法律の中で義務付けられた内部統制報告書の提出に関する部分についてのみを指すのが一般的です。
J-SOXの制定以降、上場会社の経営者は、「有価証券報告書」とともに、「内部統制報告書」を提出することが義務付けられました。内部統制報告書については、有価証券報告書の財務報告と同様に公認会計士(監査法人)の監査を受ける必要があります。
なるほど!
金融商品の取引の公正を目的として、投資家保護の観点から財務報告の信頼性に加えて、会社の体制としての内部統制の信頼性についても担保がされるようになったんだね。
J-SOXの4つの目的と6つの基本的要素
J-SOXで要求されている内部統制は、基本的な枠組みとして、4つの目的と6つの基本的要素で構成されています。
4つの目的
【業務の有効性と効率性】
1つ目の目的は事業活動の有効性、効率性を高めることです。適切に内部統制の仕組みを運用することで、日々の業務の中で人員、時間、お金などの組織の資源を合理的に使用することができ、業務の有効および効率性を達成できるとされています。
【財務報告の信頼性】
ここでの財務報告とは、有価証券報告書に記載される財務諸表および財務諸表に重要な影響を及ぼす可能性のある情報を意味します。有価証券報告書の財務数値が適切に開示されていない場合、投資家などの利害関係者が適切な投資の意思決定ができなくなります。そのような事態を防ぐためにも、内部統制の仕組みを使って、財務報告の信頼性を確保することが求められています。
【法令遵守】
金融商品取引法上の罰則は、有価証券報告書や内部統制報告書の虚偽記載などに限定されているため、実質的には法令遵守の対象は「財務報告の正確性確保にかかる法規」に限定されています。しかしながら、労働基準法を遵守するための労働時間の管理や、個人情報保護法を遵守するための個人情報管理など、近年の企業に対するコンプライアンスや法令遵守の関心は高まっています。このような世間に対する社会的信用の向上についても内部統制の適切な運用が貢献すると考えられています。
【資産の保全】
事業活動の源泉となる会社の資産は適切に管理される必要があります。資産の取得・使用・処分が正当に行われるように承認のプロセスなどを構築して、内部統制の仕組みを活用した業務の運用
6つの基本的要素
【統制環境】
組織の統制への意識に影響を与える気風の醸成することで、他の基本的要素の基盤となります。例えば、誠実さおよび倫理観として、経営が順調でない時にも経営者が虚偽の財務報告を働かないような倫理観や強固な意志を要求しています。また、ガバナンスに責任を負うものの参加として、取締役会や監査委員会のけん制も有効であるとしています。
【リスク評価と対応】
組織の目標達成に影響を与えるリスクを識別、分析および評価することによって、リスクへ適切に対応する一連のプロセスを指します。例えば、天災などの外的要因のリスクに対しては、保険への加入という方法でリスクを移転するという対策や、BCP(事業計画)で被害を最小限に抑えることでリスクを低減するという対策が有名なリスク評価と対応の事例です。
【統制活動】
経営者の命令・指揮が実行されることを確保するために定める方針や手続を指します。具体的には、規定や手順書の整備や職務分掌などが挙げられます。
【情報と伝達】
必要な情報が識別、処理され、関係者相互に正しく伝わることの確保されることを意味しています。例えば、社内でのメールやチャットツールを活用した情報伝達などが考えられます。その情報伝達手段に加えて、情報そのものの取り扱いの管理等についてもここでは含まれています。
【モニタリング】
内部統制の有効性を継続して評価するプロセスのことをモニタリングや監視活動と言います。モニタリングには、大きく①日常的監視活動と②個別的評価(独立評価)の2つに分けられます。
①の日常的監視活動とは、通常の事業活動の中に組み込まれており、管理、監督活動の一環として行われます。例えば、担当者による売掛金の管理台帳と会計システム上のデータの照合確認の作業結果を上長が承認するような手続があります。
②の個別的評価(独立評価)とは、内部監査人による内部監査や、経営者や監査役などによって実施される独立評価のことを指します。
【ITへの対応】
事業活動におけるITの利用が深く浸透している現状では、業務の過程において組織内外のITに対し適切に対応することが、内部統制の目的を達成するために必要不可欠となっています。注意したい点としては、内部統制のために新たなITシステムの導入を要求したり、既存のITシステムの入れ替えを強いるものではないということを補足します。
J-SOX制定の背景とは
エンロンやワールドコムなどの不正会計事件を契機に、米国企業でSOX法が制定されたことを受けて、日本でも内部統制の強化が求められるようになりました。
エンロン事件は、2001年にアメリカ合衆国のエネルギー取引会社であるエンロン社が倒産した事件です。この事件は、経営陣による不正会計と複数の法的違反行為が明らかになり、アメリカ経済界に大きな衝撃を与えました。
エンロン社は、エネルギー市場での取引を主な事業としていました。しかし、経営陣は、売上高を高めるために不正な会計処理を行っており、実際の業績を偽装していました。また、エンロン社は、債務を関連会社に移転させるなどの手法を用いて、財務状況を偽装していました。
この不正会計の発覚により、エンロン社は破綻し、従業員や株主、債権者などに多大な損害を与えました。また、エンロン社と関係が深かった会計事務所アーサー・アンダーセンも破綻し、アメリカの会計監査業界に大きな影響を与えました。
ワールドコム事件は、2002年にアメリカの通信会社であるワールドコム社が倒産した事件です。この事件は、経営陣による不正会計が明らかになり、アメリカ経済界に大きな衝撃を与えました。
ワールドコム社は、長距離通信サービスを提供する会社であり、アメリカ最大手の通信会社の一つでした。しかし、経営陣は、売上高を水増しするために不正な会計処理を行っており、実際の業績を偽装していました。また、ワールドコム社は、大量の債務を隠し、財務状況を偽装していました。
この不正会計の発覚により、ワールドコム社は破綻し、従業員や株主、債権者などに多大な損害を与えました。また、この事件は、アメリカの金融市場に大きな影響を与え、経済全体に悪影響を与えました。
Sarbanes-Oxley Act(サーベンズ・オクスレー法)「通称SOX法」は、2002年にアメリカ合衆国で制定された、企業の経営陣による不正行為を防止するための法律です。エンロン事件やワールドコム事件などの不祥事を受けて制定されました。財務情報の透明性と正確性の確保を目的に、企業の内部統制の構築を義務付けています。
J-SOXによるメリットとデメリット
J-SOXの概要については理解できました!必要性は分かったのですが、対応する際のメリットやデメリットについて知りたいです!
前述のようにJ-SOXの目的は「業務の有効性と効率性」、「財務報告の信頼性」、「法令遵守」、「資産の保全」でした。
これら4つの目的を達成することで、企業にとっては主に以下の3つのメリットがあります。
- 組織の透明性向上
- 業務の効率性向上
- 社会的信用の向上
【組織の透明性向上】
J-SOXでは、内部統制報告書の提出という形で、内部統制の状況の開示が要求されています。会社の状況が公開されることで、健全な企業経営が前提となり、組織としての透明性の向上が期待されます。
【業務の効率性向上】
J-SOXで要求されている内部統制を実装することで、業務の標準化や改善がなされます。適切なルールや手順が定められるため、業務の無駄や重複を減らすことができ、業務の効率化につながるとされています。
【社会的信用の向上】
J-SOXに対応することで会社としてのコンプライアンスの向上が期待されます。コンプライアンスへの対応によって、企業価値が向上し、資金調達や企業取引、採用活動などもより円滑に行うことができるようになるでしょう。
J-SOX対応によるデメリットには、コンサルティングやツールの導入費用、内部の教育、リソース拡大などのコスト面が挙げられます。
社内の知見だけでのJ-SOX対応はハードルが高かいため、専門家のコンサルティングなどの外部知見を取り入れて対応を進めることが一般的です。また、場合によっては、内部統制の実装のために新たにワークフローツールなどの新規システムを導入するケースもあります。
加えて、内部でのナレッジ醸成のための教育費用や、内部監査部門の新設などによる人員配置の増加も想定されます。
内部統制の具体例
「内部統制」という言葉なんとなく分かるけど、実際にどのようなものが内部統制になるのかを知りたいです。
内部統制の種類は大きく分けて、①予防的統制と②発見的統制の2種類があります。
予防的統制とは、リスクが起きないように未然に防ぐ、起こさせないための統制のことを指します。
例えば、営業活動において、取引を行う相手企業に対しては、与信の調査などを実施して信頼のある得意先であることが確認できてから取引を行いますよね。この受注業務のリスクとして、「社内で承認された信用のある得意先以外と取引を行ってしまう」ことが想定できるでしょう。そのようなリスクを未然に防ぐ統制として、得意先マスタに登録されている業者以外の情報が入力できないようにシステムで制御することが挙げられます。
得意先マスタに登録されていない業者から発注があった場合に、営業担当者が発注情報を入力しようとすると、システムが未登録の得意先であることを通知し、入力を許可しないという制御が予防的統制となります。
一方、発見的統制とは、リスクがともなう事象が発生した際に、事後的に気付くための統制ことを言います。
例えば、「架空の売上が計上される」というリスクに対して、「営業管理部門の担当者が、月次で1件あたり100万円を超える受注について、その実在性を確認する」という統制が挙げられます。
システム上の登録データから1件あたり100万円を超える受注データを抽出し、抽出した受注データと受注伝票を照合し、実在する注文情報であることを確認することで架空の売上が計上されていた場合には、事後的に気付くことができます。
J-SOX対応の流れ
具体的な内部統制についてはよくわかりました!
J-SOXに対応するための流れが知りたいです!
J-SOX対応の流れは、大きく分けて5つに分解することができます。
- 対象範囲の決定
- 内部統制の文書化
- 内部統制の評価
- 不備改善・不備の影響評価
- 評価結果の開示
対象範囲の決定
J-SOX対応の最初のステップは、「対象範囲の決定」です。まずは全社的な内部統制の評価の範囲を定めます。原則すべての事業拠点が評価対象となりますが、「財務報告への影響が僅少である事業拠点」については評価対象から外すことができます。例えば、グループ会社において、全体の売上に占める割合が小さい子会社を評価対象外とすることができます。
一般的には、グループ売上の95%に入らないような連結子会社を評価対象から外すことができますが、量的な基準を設定しつつも、事業内容などの質的な要素も踏まえて評価対象を決定する必要があります。全社的な内部統制の評価範囲の決定においては、監査法人との協議をして、合理的な範囲で対象を決定することが重要です。[実施基準Ⅱ2.(2)]
全社的な内部統制の評価範囲が決定した後は、業務プロセスの評価の範囲の決定を行います。①重要な事業拠点を選定し、その事業拠点において②重要な業務プロセスを識別します。
売上高等の金額の高い拠点から合算していき、連結ベースの売上高等の一定の割合に達している事業拠点を評価の対象とします。[実施基準Ⅱ2.(2)①]
一般的には連結ベース売上高の概ね3分の2程度が対象とされています。他にも、内部取引消去前の売上高を用いる場合や連結総資産など追加的な指標を用いる場合もあります。
重要な事業拠点における、企業の事業目的に大きくかかわる勘定科目に関連する業務プロセスは原則として、すべてを評価対象とする。[実施基準Ⅱ2.(2)②イ]
主要3勘定と呼ばれる売上、売掛金、棚卸資産は、原則としてすべて評価対象となります。銀行などは預金、貸出金、有価証券が該当します。
重要な業務プロセスが決定された後は、各業務プロセスから業務プロセス統制として、マニュアルの業務処理統制とIT業務処理統制(ITAC)を識別します。IT統制についての詳細は、こちらの記事をご参照ください。
内部統制の文書化(3点セット)
全社的な内部統制、IT統制および評価対象となった業務プロセス統制について文書化を実施する必要があります。
業務プロセス統制の文書化には、①業務記述書、②フローチャート、③リスク・コントロール・マトリクス(RCM)のいわゆる3点セットを作成します。
業務記述書とは、業務の流れを文章で説明した書類のことです。取引の発生から財務報告までの一連の流れについて、業務の詳細を記述します。
営業プロセスを例に業務記述書のサンプルを掲載します。
業務の流れを図で説明した資料です。業務記述書は文章で業務を詳細に記載しているのに対して、フローチャートは取引の発生から財務報告までの一連の流れを表現しているので、概要や各業務の繋がりを掴むのに優れています。
営業プロセスを例にフローチャートのサンプルを掲載します。
リスク・コントロール・マトリクス(RCM:Risk Control Matrix)とは、業務において想定されるリスクとそのコントロールの対応表のことです。こちらの表に、統制状況の評価結果まで文書化を行うことが一般的です。
営業プロセスを例にRCMのサンプルを掲載します。
内部統制の評価
内部統制の評価および監査は年間を通じて実施されます。
1年間の監査計画を策定し、全社的な内部統制、業務処理統制、IT全般統制(ITGC)、IT業務処理統制(ITAC)を評価していきます。各統制については、整備評価・運用評価をそれぞれ行います。
不備改善・不備の影響評価
上記、内部統制の評価を実施する中で、統制の不備が検出されることがあります。検出された不備については改善措置を実施し、不備の是正を行う必要があります。
J-SOXでは、期末時点の統制の状況についての結果を開示するため、検出された不備については可能な限り期末までに是正に努めましょう。期末までに是正されなかった不備については、「残存不備」として、翌期以降の監査で改善の確認が実施されます。
改善されなかった不備については、その影響度を評価します。不備の重要性を金額的重要性、質的重要性の観点から開示すべき重要な不備に該当するかを検討する必要があります。
- 単独で、または複数組み合わせて、財務報告に重要な影響を及ぼす可能性が高い内部統制の不備[内部統制基準Ⅱ1(4)、実務上の取扱い187項]
- 内部統制の不備のうち、一定の金額を上回る虚偽記載、または質的に重要な虚偽記載をもたらす可能性が高いもの[実施基準Ⅱ1②ロ、実務上の取扱い188~194項]
金額的重要性は、「連結総資産」、「連結売上高」、「連結税引前利益」などに対する比率で検討します。質的重要性は例えば、上場廃止基準、財務制限条項、関連当事者取引、大株主の状況などの影響の程度を踏まえて検討されます。
評価結果の開示
期末日までに、開示すべき重要な不備が改善されなかった場合は、どうなるのですか。
内部統制の評価時点は、期末日であり、期末後に実施した是正措置は、期末日おける財務報告に係る内部統制の評価には影響しません。ただし、内部統制報告書の提出日までに実施した是正措置がある場合は、その内容を内部統制報告書に付記事項として記載ができます。[実施基準Ⅱ.3.(5②②]
まとめ
- J-SOXは内部統制の強化を目的とした法律
- J-SOX対応には業務の効率化や財務状況の見える化、組織の透明性の向上、法令遵守による企業の社会的信用の向上などのメリットがあるが、コスト負担の増加や人員配置の増加などのデメリットもある
- J-SOX対応には、評価範囲の決定、内部統制の文書化、内部統制の評価、検出された不備の影響評価および不備改善、評価結果の開示などが必要