経営

金融商品取引法の内部統制(J-SOX)とは?内部監査の役割と会社法との違いを解説

経営リスクナビ編集部

上場企業にとって、金融商品取引法が定める内部統制報告制度(J-SOX)への対応は、企業の信頼性を担保する上で不可欠な責務です。しかし、その具体的な要求事項や内部監査が果たすべき役割は複雑で、正確な理解がなければ適切な体制構築は困難といえるでしょう。財務報告の信頼性を確保するためには、内部統制の目的や評価プロセス、会社法との違いを正しく把握することが求められます。この記事では、金融商品取引法に基づく内部統制の枠組み、内部監査の具体的な役割と目的、そして評価の実務プロセスについて詳しく解説します。

金融商品取引法と内部統制

内部統制報告制度(J-SOX)の概要

金融商品取引法が定める内部統制報告制度(通称J-SOX)は、企業の財務報告の信頼性を確保するための仕組みです。過去に国内外で発生した大規模な粉飾決算事件を背景に、投資家保護と資本市場の信頼性向上を目的として導入されました。この制度により、上場企業は自社の財務報告に係る内部統制を整備・運用し、その有効性を自ら評価して報告する責任を負います。

制度の核心は、経営者による自己評価と、独立した監査法人による監査という二重のチェック体制にあります。経営者は事業年度ごとに内部統制報告書を作成・提出し、公認会計士または監査法人がその報告書に対して監査証明を行います。これにより、内部と外部双方の視点から財務報告の適正性を担保します。

効率的かつ効果的な評価を実現するため、実務上はリスクの高い領域に重点を置くアプローチが採用されます。以下に本制度の主な特徴を挙げます。

J-SOXの主な特徴
  • 経営者による自己評価と、公認会計士または監査法人による監査という二重のチェック体制
  • 全社的な内部統制の評価結果に基づき、重要なリスクに絞って評価するトップダウン型リスクアプローチ
  • 親会社だけでなく、国内外の連結子会社や関連会社も含む企業グループ全体が評価対象

財務報告に係る内部統制の4つの目的

金融商品取引法が求める内部統制は、以下の4つの目的を達成するために整備・運用されます。これらは相互に関連し合いながら、企業の健全な経営を支える基盤となります。

内部統制の4つの目的
  • 業務の有効性及び効率性:事業活動の目標達成のため、経営資源を無駄なく合理的に活用する。
  • 財務報告の信頼性:投資家の判断材料となる財務情報に虚偽記載が生じないよう保証する(J-SOXの中心目的)。
  • 事業活動に関わる法令等の遵守:会社法や金融商品取引法などの法令や社会規範を守り、コンプライアンス違反によるリスクを回避する。
  • 資産の保全:企業の資産が不正や誤謬なく、正当な手続きで取得・使用・処分されるよう管理する。

内部統制を支える6つの基本的要素

内部統制は、個別のルールや手続きの集合体ではなく、以下の6つの基本的要素が有機的に連携して機能するシステムです。これらは、金融庁の実施基準において、内部統制の有効性を判断する際の評価の枠組みとして示されています。

内部統制を構成する6つの基本的要素
  • 統制環境:組織の気風を決定し、他のすべての要素の基盤となる。経営者の姿勢や倫理観が重要。
  • リスクの評価と対応:組織目標の達成を阻害するリスクを識別・分析し、適切に対応するプロセス。
  • 統制活動:経営者の指示が実行されることを確保するための具体的な方針や手続き(職務分掌など)。
  • 情報と伝達:必要な情報が組織内外の関係者に、正確かつ適時に伝達される仕組み。
  • モニタリング(監視活動):内部統制が有効に機能しているかを継続的に監視・評価するプロセス。
  • IT(情報技術)への対応:業務や統制活動で利用されるIT環境に適切に対応し、その信頼性を確保する。

内部監査の役割と目的

経営者による評価活動の支援

内部監査部門は、経営者の代理人として内部統制の評価実務を担い、その活動を支援する重要な役割を果たします。経営者には内部統制を評価・報告する最終責任がありますが、広範な業務のすべてを直接監督することは困難です。そこで、専門知識を持つ内部監査部門が経営者の手足となり、各業務プロセスの状況を客観的に評価します。

内部監査部門による支援は、主に以下のプロセスで進められます。

経営者評価の支援プロセス
  1. 業務プロセスの可視化と文書化:フローチャートや業務記述書、リスクコントロールマトリクス(RCM)を作成・更新する。
  2. 整備・運用状況の評価:設計された統制が有効か(整備状況)、継続的に実行されているか(運用状況)を客観的な証拠に基づき検証する。
  3. 不備の報告と改善支援:発見した不備を経営者に報告し、現場部門の是正措置を支援・フォローアップする。

このような一連の活動を通じて、経営者は自社の内部統制の有効性について合理的な保証を得ることができ、適正な内部統制報告書を作成することが可能になります。

独立した立場からの客観的評価

内部監査の信頼性は、業務執行ラインからの独立性と、評価における客観性によって担保されます。自己の業務を評価する場合、問題点を過小評価したり見過ごしたりするバイアスが生じがちです。そのため、業務遂行部門から独立した第三者的な視点からの評価が不可欠となります。

客観的評価を支える要素
  • 組織的な独立性:業務執行部門から指揮命令を受けない、経営トップの直轄組織として設置されることで、社内のしがらみに影響されず公正な監査が可能となる。
  • 専門的能力と倫理観:会計・IT・業務に関する高度な専門知識と、先入観を排し証拠に基づき判断する職業的懐疑心を保持することが求められる。

独立性と客観性が確保された内部監査は、外部の会計監査人との連携においても重要です。会計監査人は、企業の内部監査機能が有効であると判断した場合、その評価結果を自らの監査手続の一部として利用することができ、監査全体の効率化につながります。

円滑な評価に向けた内部監査部門と関連部署の連携

内部統制の評価を円滑かつ効果的に進めるためには、内部監査部門と社内外の関係部署との緊密な連携が不可欠です。内部監査部門が一方的に評価を行うのではなく、各部署と協力関係を築くことで、より実効性の高い内部統制システムの構築・運用が可能となります。

円滑な評価のための連携
  • 現場の業務部門との連携:内部統制の意義を共有し、やらされ感ではなく、業務改善に資する前向きな活動として協力体制を築く。
  • 外部監査法人との連携:評価の計画段階から評価範囲やリスク認識について事前に協議し、期末間近での手戻りや認識の齟齬を防ぐ。

内部統制の評価プロセス

評価の基本方針と実施計画の策定

内部統制の評価は、経営者による基本方針の策定から始まります。トップマネジメントが財務報告の信頼性確保への強いコミットメントを示すことで、全社的な協力体制を構築しやすくなります。その後、内部監査部門などが中心となり、具体的な実施計画を策定します。

評価準備のプロセス
  1. 基本方針の策定:経営者が内部統制の重要性を示し、評価の目的や体制など、全社的な取り組み方針を明示する。
  2. 実施計画の策定:評価スケジュール、担当部署、人員体制などを具体的に計画し、文書化する。
  3. 評価範囲の検討:前年度の結果や事業環境の変化を踏まえ、重点的に評価すべき事業拠点や業務プロセスを特定する。
  4. 監査法人との協議:策定した計画を外部監査人と共有し、専門的な視点からその妥当性について確認・協議する。

全社的な内部統制の評価

評価プロセスは、まず個別の業務プロセスよりも上位の階層である全社的な内部統制の評価から着手します。これは、特定の業務に限定されず、企業グループ全体の財務報告に広範な影響を及ぼす統制基盤を対象とします。この評価は、原則として親会社だけでなく、すべての連結子会社を含めた企業集団全体が対象となります。

評価にあたっては、金融庁の実施基準に示された項目などを参考に、独自のチェックリストを用いて行われることが一般的です。評価項目には、組織の根幹に関わる内容が含まれます。

全社的な内部統制の評価項目例
  • 統制環境:経営理念の浸透、取締役会・監査役会の機能、公正な人事方針など。
  • リスクの評価と対応:不正リスクを含む、全社的なリスク識別・評価プロセスの適切性。
  • 情報と伝達:内部通報制度の有効性や、経営層と現場間のコミュニケーション経路。
  • モニタリング:内部監査部門の活動状況や、不備の是正プロセスの実効性。

全社的な内部統制が有効であると判断されれば、後続の業務プロセス評価の範囲を合理的に絞り込むことが可能になります。

業務プロセスに係る内部統制の評価

全社的な内部統制の評価後、財務報告の重要な勘定科目に至る個別の業務プロセスについて評価を行います。ここでは、売上、売掛金、棚卸資産など、事業の根幹に関わるプロセスが主な対象となります。

業務プロセス評価の流れ
  1. 3点セットの作成・更新:業務記述書、フローチャート、リスクコントロールマトリクス(RCM)を整備し、業務とリスク、統制活動を可視化する。
  2. 整備状況の評価:1件の取引を最初から最後まで追跡するウォークスルーを実施し、統制の設計がリスクを低減する上で有効かを確認する。
  3. 運用状況の評価:複数の取引サンプルを抽出し(サンプリングテスト)、統制が対象期間を通じて継続的に実行されているか客観的な証拠に基づき検証する。

ITに係る内部統制の評価

現代の企業活動は情報システム(IT)に大きく依存しているため、ITに係る内部統制の評価は極めて重要です。この評価は、IT全般統制とIT業務処理統制の2つに大別されます。

ITに係る内部統制の分類
  • IT全般統制(ITGC):システム環境全体の信頼性を確保する統制。システムの開発・変更管理、利用者IDなどのアクセス管理、バックアップなどの運用管理が対象。
  • IT業務処理統制(ITAC):個別の業務アプリケーション内でデータが正確に処理されることを保証する自動化された統制。入力データのチェック機能などが該当。

近年では、クラウドサービスの利用や外部委託先の管理、サイバーセキュリティ対策の有効性評価なども、IT統制の重要な論点となっています。

評価範囲の選定における実務上の留意点

業務プロセスの評価範囲を選定する際は、連結売上高の一定割合(例えば3分の2)といった定量的な基準だけでなく、質的な重要性を考慮することが不可欠です。金額的なインパクトが小さくても、財務報告に与える影響が大きいリスクを持つプロセスは、評価対象に含める必要があります。

質的重要性が高い業務プロセスの例
  • 複雑な会計処理や経営者の見積りが伴う勘定科目(引当金、のれんなど)
  • デリバティブ取引など、価格変動リスクが大きい金融商品に関連するプロセス
  • 過去に不正や重要な誤謬が発見された事業拠点や業務プロセス
  • 組織再編や新規事業の開始など、大きな事業環境の変化があった領域

会社法上の内部統制との違い

目的の違い(財務報告の信頼性 vs 業務の適正性)

金融商品取引法と会社法が求める内部統制は、その目的と保護する対象が異なります。金融商品取引法が主に投資家保護を目的とするのに対し、会社法は株主や債権者を含むより広範なステークホルダーの保護を目的としています。

項目 金融商品取引法(J-SOX) 会社法
主な目的 財務報告の信頼性の確保 業務の適正性の確保
保護対象 投資家 株主、債権者など多様なステークホルダー
焦点 開示情報の正確性、特に会計情報に直結するプロセス コーポレートガバナンス全般(法令遵守、リスク管理など)
目的の比較

対象範囲の違い(上場企業 vs 大会社など)

内部統制システムの整備が義務付けられる企業の範囲も、両法で異なります。

項目 金融商品取引法(J-SOX) 会社法
対象企業 すべての上場企業 大会社(資本金5億円以上または負債200億円以上)など
評価単位 企業グループ全体(国内外の連結子会社等を含む) 主に当該企業単体(ただしグループ管理体制も含む)
対象企業の比較

監査主体の違い(会計監査人 vs 監査役など)

内部統制の有効性を誰がチェックするのかという点も、両法で大きく異なります。金融商品取引法では外部の専門家が、会社法では社内の機関がその役割を担います。

項目 金融商品取引法(J-SOX) 会社法
監査主体 会計監査人(外部の公認会計士・監査法人) 監査役・監査等委員・監査委員(社内の機関)
役割 経営者の内部統制報告書に対する意見表明 取締役の職務執行の適法性・妥当性の監視
立場 企業から独立した第三者 経営陣から独立した社内機関
監査主体の比較

内部統制報告書・監査報告書

内部統制報告書の主な記載事項

内部統制報告書は、経営者が事業年度末時点における自社の財務報告に係る内部統制の有効性について、評価結果を公式に表明する書類です。有価証券報告書とあわせて内閣総理大臣宛てに提出されます。

内部統制報告書の主な記載項目
  1. 財務報告に係る内部統制の基本的枠組みに関する事項:経営者の責任、準拠基準、内部統制が持つ固有の限界などを記載。
  2. 評価の範囲、基準日及び評価手続に関する事項:評価対象の決定根拠や実施した手続きの概要を記載。
  3. 評価結果に関する事項:内部統制が有効か、あるいは重要な不備があるかという結論を明記。
  4. 付記事項:期末日後に内部統制に重要な影響を及ぼす事象が発生した場合などに記載。
  5. 特記事項:その他、特筆すべき事項がある場合に記載。

内部統制監査報告書の概要

内部統制監査報告書は、経営者が作成した内部統制報告書に対し、外部の監査法人が監査を実施した結果と意見を表明する文書です。この第三者による証明が、経営者の自己評価の信頼性を担保します。監査意見には、監査の結果に応じていくつかの種類があります。

監査意見の種類
  • 無限定適正意見:経営者の報告書がすべての重要な点において適正であると認める意見。
  • 限定付適正意見:一部に不適切な点があるものの、全体としては適正であるとする意見。
  • 不適正意見:経営者の報告内容に重大な虚偽があり、適正でないとする意見。
  • 意見不表明:重要な監査手続が実施できず、意見を形成できない場合。

よくある質問

J-SOXの対象となる企業は?

金融商品取引法に基づく内部統制報告制度(J-SOX)の対象となる企業の範囲は、以下の通りです。

J-SOXの対象範囲
  • 原則:金融商品取引所に株式などを上場しているすべての企業。
  • 評価単位:親会社だけでなく、国内外の連結子会社や持分法適用関連会社も含む企業グループ全体。
  • 新規上場企業:上場初年度から報告書の提出義務がある(ただし、一定の条件下で監査は3年間免除される特例あり)。

内部統制に重要な不備が見つかった場合は?

内部統制の評価過程で不備が発見された場合、その重要度に応じた対応が必要です。特に、財務報告に重大な影響を及ぼす「開示すべき重要な不備」に該当するかどうかが焦点となります。

重要な不備発見時の対応フロー
  1. 是正措置の実施:発見された不備は、原則として事業年度の末日(期末日)までに是正します。
  2. 重要性の評価:期末日までに是正が間に合わない場合、その不備が財務報告に与える影響の大きさを金額的・質的に評価します。
  3. 開示:影響が大きい「開示すべき重要な不備」に該当すると判断された場合、内部統制報告書でその内容と是正方針を開示します。

重要な不備を開示しても直ちに罰則が科されるわけではなく、透明性の高い情報開示と迅速な改善が市場の信頼を維持する上で重要です。

内部監査・監査役監査・会計監査人監査の違いは?

これら3つの監査は、それぞれの主体、目的、立場が異なり、相互に連携することで企業のガバナンスを多角的に支えることから「三様監査」と呼ばれます。

監査の種類 実施主体 主な目的 立場
内部監査 内部監査部門(社内組織) 業務の改善、経営目標の達成支援 経営者の指揮下
監査役監査 監査役・監査役会(社内機関) 取締役の職務執行の監督 株主の負託を受けた独立機関
会計監査人監査 公認会計士・監査法人(外部) 財務情報や内部統制報告書の信頼性保証 独立した第三者
三様監査の比較

金融商品取引法と会社法の両対応は必要ですか?

上場している大会社など、両方の法律の要件を満たす企業は、双方への対応が必要です。それぞれの法律が求める内部統制の目的は異なりますが、実務上は統合的なガバナンスシステムとして整備・運用することが効率的です。

両法対応のポイント
  • 対象企業:上場しており、かつ大会社(資本金5億円以上または負債200億円以上)である企業は、両方の法律に対応する必要がある。
  • 統合的な運用:別々の体制を構築するのではなく、統合的なコンプライアンス・リスク管理体制として整備・運用することが望ましい。
  • 相乗効果:金融商品取引法への対応(財務報告プロセスの整備)は、結果として会社法が求めるリスク管理体制の強化にもつながる。

まとめ:金融商品取引法と内部監査の要点を理解し、実効性ある体制を構築する

金融商品取引法が定める内部統制報告制度(J-SOX)は、財務報告の信頼性を確保するために上場企業に課された重要な義務です。内部監査部門は、経営者に代わって評価実務を担い、独立した客観的な立場からその有効性を検証する中心的な役割を果たします。評価プロセスは全社的な統制から個別の業務プロセス、IT統制へと進み、その有効性について経営者が最終的な責任を負います。まずは自社の評価範囲やプロセスが、金融庁の実施基準に照らして適切であるかを確認し、体制を見直すことが重要です。内部統制の有効性評価や不備への対応は専門的な判断を要するため、必要に応じて監査法人などの外部専門家へ相談することも検討しましょう。



Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

記事URLをコピーしました