J-SOX（内部統制報告制度）の対象となる企業は、内部統制報告書の提出が義務付けられています。

未提出もしくは虚偽内容の報告をした場合、罰則が科せられる可能性もあるため、制度の評価や監査対象、内部統制に必要な要素を把握し、準備を進めておくことが大切です。

本記事では、J-SOXの概要や監査対象、内部統制を整備する上で必要な3点セットについて分かりやすく解説します。J-SOXについて詳しく知りたい方は、ぜひ参考にしてください。

目次
J-SOX（内部統制報告制度）とは
J-SOX（内部統制報告制度）の評価・監査対象
J-SOX（内部統制報告制度）に関わる立場別の役割
内部統制に必要な3点セット
J-SOX（内部統制報告制度）の監査に向け整備を進めよう

J-SOX（内部統制報告制度）は財務報告の信頼性の確保を目的とし、2008年に導入されました。アメリカのSOX法にならい、その日本版として定められた制度です。

SOX法はアメリカで制定された法律で、企業会計と財務報告の信頼性を確保するためのものです。

J-SOXの対象は上場企業であり、本社をはじめ国内外の子会社や関連企業も含まれる点に留意が必要です。

対象となる企業は、財務報告における内部統制を整備し、適切に運用することが要求されます。加えて、内部統制が効果的に運用されているかを評価し、外部機関に報告・開示しなければなりません。

関連記事：アビタス CIA「J-SOX（内部統制報告制度）とは？2023年改訂内容を徹底解説」

そもそも内部統制は、4つの目的と目的達成のために必要な6つの基本的要素が定義されています。

4つの目的と6つの基本的要素は次の通りです。

項目	内容
4つの目的	業務の有効性及び効率性 報告の信頼性 事業活動に係る法令等の遵守 資産の保全
6つの基本的要素	統制環境 リスクの評価と対応 統制活動 情報と伝達 モニタリング ITへの対応

J-SOXでは財務報告に係る内部統制の有効性を重視しており、以下の評価の範囲に関する決定方法、またその根拠等を記録しなくてはいけません。

• 財務諸表の表示及び開示
• 企業活動を構成する事業又は業務
• 財務報告の基礎となる取引又は事象
• 主要な業務プロセス

評価の範囲に関しては、金額的な面だけでなく、社会や環境に関しての影響面を重視することも大切です。

関連記事：アビタス CIA「内部統制とは？4つの目的・6つの基本的要素を分かりやすく解説」

参照：金融庁企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」

※2024年4月1日以後開始する事業年度における財務報告に係る内部統制の評価及び監査から適用

J-SOXに関わる立場には、一般的に次の3つがあり、それぞれ役割が異なります。

• 経営者
• 内部監査部門
• 外部監査人

厳密には経営者および内部監査部門は立場が異なるものの同じ会社内であるため、経営者と外部監査人の2つの立場に役割を分ける場合もあります。

経営者には、自社の内部統制を整備・運用する役割と責任があります。

内部統制報告書の提出はJ-SOXにより上場企業の義務とされており、対象企業の場合は各事業年度の期末日時点の内部統制の有効性を評価し、結果を内部統制報告書に記載し外部に報告・開示しなければなりません。

経営者が全てを評価するのではなく、経営者の指揮下に評価を行う部署や機関を設置するケースも多くあります。

また、弁護士など内部統制における専門家のサポートを受ける場合もあるため、企業によって内部統制の評価方法は大きく異なります。

内部監査を行うかどうかについては、基本的には任意となります。

内部監査部門は、一般的に内部統制の有効性を評価するセクションです。

内部監査対応における内部監査部門の役割としては、アシュアランス（保証）やコンサルティング（指導）などが挙げられます。

役割	内容
アシュアランス	組織体のガバナンス、リスク・マネジメント、コントロールの各プロセスについて独立的評価を提供する目的で、証拠を客観的に検証し保証すること
コンサルティング	組織体ガバナンス、リスク・マネジメント、コントロールの各プロセスを改善する目的で行う助言やアドバイザリー業務

内部監査の目的・やり方などもっと詳しく知りたい方は下記の記事をご覧ください。

関連記事：アビタス CIA「内部監査（業務監査）とは？目的・やり方・チェックリストを解説」

参照：内部監査人協会（IIA）情報／CBOK調査結果（CBOK利害関係者レポート）「アシュアランスおよびコンサルティング業務における最適なバランスについて━━内部監査リーダーからの実践的な洞察」

J-SOXにおける外部監査人の役割は、経営者が内部統制の評価結果をまとめた内部統制報告書を独立した立場から監査することです。

監査対象はあくまで経営者がまとめた内部統制報告書の内容に虚偽がないかであり、基本的に内部統制の有効性を確かめる監査には関与しません。

ここでは、内部統制の整備および構築を行う上で必要とされている次の3点セットについて解説します。

• 業務記述書
• フローチャート
• リスクコントロールマトリックス（RCM）

経営者が内部統制の全てを実施するケースもあります。しかし、今回は経営者とは別に部署や機関が設置されていると仮定して、解説していきます。

業務記述書は、企業の財務報告における業務内容や手順などを明文化した書類です。

業務がいつ・どこで・どのように行われているのかなどの詳細が記載されており、業務フローにおける作業内容や現場担当者の理解度を知ることが可能です。

業務記述書を作成することで、業務フローの有効性を判断するために必要な業務を標準化し明確にできます。加えて、企業の内部統制の評価基準を明確にするという役割も担います。

金融庁が公表している業務記述書の参考例を見てみましょう。

引用：金融庁企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」p.100

参考例は、受注・出荷・売上計上・請求についての業務フローを詳しく記載するようになっており、手順を理解しやすくなります。

各業務フローにおいて発生する可能性のあるリスクも把握しやすくなるでしょう。

フローチャートとは、端的に言うと業務プロセスを可視化したものです。取引から会計処理までの流れを明確にするために作成します。

金融庁が公表している参考例を見てみましょう。

引用：金融庁企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」p.99

参考例は、得意先や社内の各部門、システムのそれぞれが業務でどのように関わっているかを一目で認識できるような図になっています。

業務における全てのプロセスを1枚の図にまとめることで、業務への共通認識が持てるようになるでしょう。

リスクコントロールマトリックス（RCM）とは、業務によって生じる可能性のあるリスクとそのリスクに対応する手段を「対応表」としてまとめた表です。

金融庁が公表している参考例を見てみましょう。

引用：金融庁企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」p.101

リスクコントロールマトリックスには次のような内容がまとめられています。

• 業務内容
• 業務によって生じうるリスクの内容
• リスクへの対応
• リスクコントロールの整備および運用の状況の評価方法

各業務フローで発生することが想定されるリスクと対応が、一目で把握できるようになっています。

J-SOXにより、上場企業には内部統制報告書の提出が義務付けられています。

内部統制報告書には、経営者が内部統制の運用状況を評価した結果がまとめられています。

監査が適切に行われず、虚偽の内容を報告した場合、法人には5億円以下の罰金が科せられる可能性も想定されます。そのため、適切に内部統制の整備および運用、監査を実施することが大切です。

適切に内部統制の監査を実施するためには、業務記述書・フローチャート・リスクコントロールマトリックスの3点セットが必要です。

3点セットに記載する内容を把握し、内部統制の整備を進めましょう。

内部統制に関する知識を身につけるためには、CIA（公認内部監査人）の資格取得がおすすめです。CIAとは、内部監査人としてのスキルや能力を証明できる唯一の国際的な資格です。

国際資格の専門校であるアビタスでは、CIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識に加え、ティーチングスキルにも優れているのが魅力です。

また、通信・通学を併用できるコースを用意しており、忙しい社会人でも効率よく学習を進められます。CIAをはじめとする内部統制に関する資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。