2026.06.23 IPO

J-SOX改訂ポイントを2024年4月施行の実務目線で解説|評価範囲・IT統制・今後の見直し

J-SOX(内部統制報告制度)は、2023年4月7日に企業会計審議会が公表した改訂基準・実施基準が、2024年4月1日以後に開始する事業年度から適用されています。2008年の導入から約15年ぶりとなる本格改訂で、見直しは「内部統制の基本的枠組み」「経営者による評価範囲の決定」「IT統制の評価」「内部統制報告書の記載事項」の4領域に及びます。本記事では、これら改訂ポイントを一次情報に沿って整理したうえで、評価範囲の再スコーピングやIT統制への影響など、上場企業・IPO準備企業の実務担当者が施行後にまず着手すべき対応を具体的に示します。あわせて、「J-SOXは形骸化して意味がない」という批判への向き合い方と、数値基準の段階的削除など今後の見直し方向も扱います。

目次

まとめ|J-SOX改訂の要点と2024年4月施行後にまず着手する実務

改訂の核心は、評価範囲の決め方を「数値基準の機械的な当てはめ」から「リスクに基づく判断」へ転換した点にあります。具体的には、重要な事業拠点の選定で使われてきた「売上高等のおおむね2/3」「売上・売掛金・棚卸資産の3勘定」を、そのまま機械的に適用すべきではないと明確化されました。加えて、不正リスクへの対応、IT統制(委託先管理・サイバーリスク)、内部統制報告書での評価範囲の根拠開示が強化されています。

適用は2024年4月1日以後に開始する事業年度からで、3月決算会社なら2025年3月期が最初の対象です。施行後の実務でまず手をつけるべきは、評価範囲が広がる可能性がある拠点・プロセス(海外子会社、企業結合直後の拠点、独立性の高い事業)の洗い出しと、監査人との早期協議です。範囲拡大で工数が増えるため、キーコントロールの統廃合による効率化と同時に進めるのが現実的な順序になります。

一方で、ダイレクト・レポーティング(監査人が直接評価する方式)は今回も採用されず、制度の基本構造は維持されました。数値基準の段階的削除や非財務情報への拡張は「中長期的課題」として審議に残されており、今回の対応で終わりではない点も押さえておく必要があります。

J-SOX(内部統制報告制度)の基礎と2024年4月施行に至る改訂の経緯

J-SOXとは|金融商品取引法24条の4の4が定める内部統制報告制度

J-SOXは、上場会社などが財務報告の信頼性を確保するための内部統制を整備・評価し、その結果を「内部統制報告書」として開示する制度です。根拠は金融商品取引法第24条の4の4で、米国のSOX法(サーベンス・オクスリー法)にならって導入されたことから日本版SOX、J-SOXと呼ばれます。経営者が自社の内部統制を評価し、その評価結果を公認会計士・監査法人が監査する、という二段構えが基本構造です。読み方は「ジェイソックス」で、有価証券報告書とあわせて内閣総理大臣(実務上は金融庁)へ提出します。

2008年導入から15年ぶりの改訂|実効性懸念とCOSO2013という2つの背景

改訂の背景は大きく2つです。1つは制度の実効性への懸念で、経営者が評価範囲としていない拠点から開示すべき重要な不備が見つかる事例や、内部統制の有効性評価を訂正する際に理由が十分開示されない事例が一定数あったことが、金融庁の意見書で指摘されています。もう1つは国際的な枠組みとのずれです。内部統制の世界標準であるCOSO報告書は2013年5月に改訂されましたが、日本の基準はそれを取り込まないまま運用が続いていました。この2つを埋めるため、企業会計審議会の内部統制部会が2022年10月から審議を行い、改訂に至っています。

改訂の適用スケジュール|2024年4月1日以後開始事業年度・3月決算は2025年3月期

改訂基準・改訂実施基準は、2024年4月1日以後に開始する事業年度における内部統制の評価および監査から適用されます。「2024年4月から一律に始まる」という理解は不正確で、各社の決算期によって初回適用がずれる点に注意が必要です。3月決算会社は2025年3月期、12月決算会社は2025年12月期が最初の対象になります。最も早い3月決算会社では、2024年4月1日当日から改訂後のルールでの運用が始まります。

内部統制の基本的枠組みの改訂|「報告の信頼性」への拡大とガバナンス重視

「財務報告の信頼性」から「報告の信頼性」への用語拡大|非財務情報の包含

基本的枠組みでは、内部統制の目的の1つだった「財務報告の信頼性」が「報告の信頼性」へと言い換えられました。ESGやサステナビリティといった非財務情報の重要性が高まり、COSO報告書の改訂でも報告の範囲が財務に限られなくなったことを反映した変更です。ただし、金融商品取引法に基づくJ-SOXそのものの目的は、引き続き「財務報告の信頼性の確保」であると明記されています。つまり、非財務情報の内部統制が直ちに監査対象に加わったわけではなく、将来の検討に向けて概念の入り口を広げた、という位置づけで読むのが正確です。

リスクの評価と対応への不正リスクの明記|動機・機会・正当化の考慮

基本的要素の「リスクの評価と対応」では、評価の対象となるリスクに不正リスクが含まれることが明確化されました。改訂実施基準は、不正リスクの評価において、動機とプレッシャー・機会・姿勢と正当化(いわゆる不正のトライアングル)を考慮することの重要性を示しています。背景には、COSO2013が不正リスクへの対応を強調していることに加え、内部統制に起因する会計不正事例が近年も発生している現実があります。不正の早期発見には、現場が声を上げられる仕組みも欠かせず、独立性のある内部通報制度の設計と一体で整えると実効性が高まります。

経営者による内部統制の無効化への対策の例示|権限濫用の抑止

経営者が自らの権限で内部統制を無視したり機能させなくしたりする「内部統制の無効化(マネジメント・オーバーライド)」への対策の例示も追加されました。通常の統制は現場の不正を抑える設計になっていますが、その統制を作る側である経営者が逸脱した場合、現場統制だけでは防げません。改訂は、取締役会や監査役等による監督、職務分掌、想定外の仕訳のモニタリングなど、経営者の逸脱を牽制する仕組みを意識するよう促しています。会計不正の多くが経営者関与で発生してきた実態を踏まえた追記です。

ガバナンス・全組織的リスク管理との一体運用|3線モデルでの役割分担

内部統制を、ガバナンスおよび全組織的なリスク管理(ERM)と一体で整備・運用する重要性も示されました。具体的な統制例として、リスク管理の役割を3層に分ける「3線モデル」が挙げられています。

  • 第1線:業務部門が日常業務のなかで行うモニタリングを通じたリスク管理
  • 第2線:リスク管理部門などによる部門横断的なリスク管理
  • 第3線:内部監査部門による独立的評価と、取締役会・監査役等による監督・監視

3線モデルは新しい概念ではありませんが、基準に明示されたことで、内部監査部門の独立性や取締役会との連携を改めて点検する契機になります。形だけ3線を名乗っても、第3線が経営からの独立性を欠けば牽制は働きません。組織図上の線引きではなく、報告経路と権限が実際に分離されているかで評価すべきです。

経営者による評価範囲の決定の改訂|数値基準の機械的適用を脱するリスクアプローチ

「売上高のおおむね2/3」「3勘定」の機械的適用の見直し|質的重要性の重視

今回の改訂で実務インパクトが最も大きいのが、評価範囲の決め方です。重要な事業拠点を選ぶ際の目安だった「売上高等のおおむね2/3」、評価対象プロセスを選ぶ際の「売上・売掛金及び棚卸資産の3勘定」について、これらを機械的に適用すべきでないことが明確化されました。財務報告に与える影響の重要性(質的重要性)を勘案して範囲を決める、という考え方への転換です。全社的な内部統制が良好なら引き続き2/3が妥当と判断できる場面もありますが、形式的な比率の充足だけで範囲を確定させる運用は、改訂の趣旨に反します。

重要な事業拠点の選定指標の多様化|総資産・経常利益・売上原価も検討

選定に用いる指標を売上高だけに固定しない点も明確化されました。総資産・経常利益・税引前利益などの指標も、事業の実態に応じて検討対象になります。たとえばグループ全体の製品を生産する子会社では、連結消去後の売上高で測ると金額的重要性が見えにくくなるため、売上原価を指標に加えて分析する、といった調整が想定されます。単一指標で線を引くと取りこぼす拠点が出る、という前提に立った見直しです。

質的重要性が高い拠点の例示|海外拠点・企業結合直後・独立性の高い拠点

金額基準で範囲外になりがちでも、リスクの観点では重要となる拠点が例示されました。具体的には、本社の管理が届きにくい海外拠点、統制が未整備な企業結合直後の拠点、中核事業から外れて独立性の高い拠点などです。実効性懸念のきっかけになった不備の多くが、こうした「小さいが管理の目が薄い」拠点で起きてきました。海外展開している企業ほど評価範囲が広がる可能性があり、範囲を絞るなら量的重要性だけでなく質的重要性を加味した理由を整理し、監査人の合意を得ておく必要があります。

評価範囲外で識別した不備への対応|当該会計期間を評価対象に追加

評価範囲に含めていなかった拠点やプロセスから開示すべき重要な不備が識別された場合、その不備が判明した時点を含む会計期間の評価範囲に含めることが適切である、と明確化されました。あわせて、評価範囲に含まれない期間が長くなりすぎないよう留意すべきとされています。範囲外で見つかった不備をその年度の評価から切り離す、という運用は通用しなくなったと理解すべきです。範囲決定は経営者の責任ですが、計画段階や状況変化時には監査人と協議することが適切とされ、事後の手戻りを避ける意味でも早期のすり合わせが現実的です。

IT統制評価の改訂|ローテーション評価の見直しと委託先・サイバーリスク対応

IT業務処理統制のローテーション評価の見直し|年数の機械的適用の否定

IT統制では、評価頻度の考え方が見直されました。自動化されたIT業務処理統制は仕組みで担保されるため、過年度の評価結果に依拠して数年に一度テストする「ローテーション評価」が認められてきました。改訂は、この頻度を「3年に1回」などの年数で機械的に決めるのではなく、IT環境の変化を踏まえて慎重に判断すべきとしています。クラウド移行やシステム刷新が頻発する環境では、前年度の結果に依拠できず毎年評価が必要になる場面が増えます。ローテーションを続ける場合は、その妥当性を監査人と協議しておくのが安全です。

外部委託先(クラウド等)の管理とSOCレポートの活用|評価範囲の拡大

情報システムの開発・運用・保守を外部に委託している場合の管理も、評価上の論点として明確化されました。委託しているからといって評価対象外にしていると、選定・契約・モニタリングの評価が漏れている、と指摘されるおそれがあります。実務では、委託先からSOCレポート(受託業務に係る内部統制の保証報告書)を取得し、報告書のどの範囲が自社の委託業務に対応するかを照合する対応が一般的です。委託先を介してIT統制の評価範囲が広がる可能性を見込み、スケジュールに余裕を持たせておく必要があります。クラウド事業者の管理水準を見極める観点では、ISMS(ISO/IEC 27001)に基づく情報セキュリティ運用の考え方が委託先評価の物差しとして役立ちます。

サイバーリスク・特権ID管理への対応|情報セキュリティ確保の明記

サイバーリスクの高まりを受け、情報セキュリティの確保に注力することが基準に明記されました。J-SOXの内部統制監査そのものは、詳細なセキュリティ監査までは求めません。とはいえ、IT全般統制の評価では、クラウドの特権ID管理、ネットワークアクセスの管理、物理的アクセスの管理などが確認対象になり得ます。監査人からサイバー対策の状況についてヒアリングや追加対応を求められる可能性があるため、特権アカウントの棚卸しとアクセスログの記録は早めに整えておくべきです。ここは過剰投資にも注意が要り、財務報告に影響しない領域まで統制を広げると工数だけが膨らみます。財務報告との関連で線を引くのが妥当です。

内部統制報告書の記載事項の改訂|評価範囲の根拠と是正状況の開示拡充

内部統制報告書への評価範囲決定根拠の記載|指標・割合・判断事由

内部統制報告書に記載すべき事項も明示されました。最も重要なのは、評価範囲を決めた際の判断事由などを記載する点です。多くの企業は重要な事業拠点の選定に使った指標とその一定割合(売上高の何%、総資産の何%など)や、評価対象に選んだ勘定科目を従来から記載してきました。改訂後は、それに加えて「なぜその指標・割合・勘定科目で範囲を決めたのか」という根拠まで踏み込んで書くことが適切とされています。範囲決定がリスクアプローチに変わった以上、その判断プロセスを外部に説明できる形で文書化しておくことが前提になります。

前年度の開示すべき重要な不備の是正状況|付記事項への記載追加

前年度に開示すべき重要な不備を報告していた場合、その是正状況を内部統制報告書の付記事項に記載することが項目として追加されました。記載例としては、年度初めに新たな手順書を作成して業務手順の浸透を図っている、といった具体的な改善アクションです。不備を出して終わりではなく、翌期にどう直したかまで開示させることで、訂正の繰り返しを抑える狙いがあります。是正の経緯・対応策・進捗を、決算前にまとめておく運用が必要になります。

訂正内部統制報告書の開示拡充|府令改正による経緯・理由の記載

内部統制の有効性評価を後から訂正する際の開示も拡充されました。これは基準本体ではなく、2023年6月の内部統制府令およびガイドラインの改正で対応された部分です。訂正内部統制報告書では、開示すべき重要な不備について、訂正の対象となった報告書の「評価の範囲、基準日及び評価手続に関する事項」が適切だったか、当該不備が評価範囲に含まれていたかどうかを記載することとされました。2024年4月1日以後に提出する訂正報告書からは、府令案の段階にあった経過措置が削除され、例外なく拡充後の開示が求められます。

改訂後にまず着手すべき実務対応と「形骸化」批判への向き合い方

改訂後にまず着手する評価範囲の再スコーピング|早期着手の優先順位

施行後の実務でまず取り組むべきは、評価範囲の再スコーピングです。範囲が広がる可能性のある領域は、改訂前から特定できます。優先順位をつけて進めるなら、次の順序が現実的です。

  1. 初回適用年度までに、どこまで対応が必要かを監査人と協議する
  2. 改訂の趣旨に沿ったスコーピングを試行し、範囲が変わり得る拠点・プロセスを洗い出す
  3. 追加候補のプレ評価(文書作成と試行的なテスト)を実施する
  4. 不足が見つかった統制を再構築し、本番評価に間に合わせる

海外拠点や企業結合直後の拠点は、内部統制の構築自体に時間がかかります。範囲に入る可能性が高いと判断したら、本番年度を待たずに着手しておくのが安全です。

評価工数の増加への効率化|キーコントロールの統廃合という打ち手

評価範囲の拡大と、不正リスク・IT対応といった評価手続の追加で、全体の工数は増える方向に働きます。範囲を広げる一方で何も手を打たなければ、現場が回らなくなります。打ち手は、評価項目そのものの効率化です。同じリスクを複数のコントロールで二重に押さえている箇所を洗い出し、キーコントロールに集約して評価対象を減らす。この統廃合は範囲拡大とセットで進めるべきで、増えるぶんと減らすぶんを同時に設計するのが、工数を破綻させないコツです。

「J-SOXは意味ない・形骸化」批判への向き合い方|改訂が突いた論点

「J-SOXは書類づくりばかりで意味がない」という声は実務で根強くあります。この批判は的外れではありません。今回の改訂自体が、評価範囲の機械的な当てはめや、不備の理由を開示しない運用といった「形骸化」を問題視して行われたものだからです。つまり制度が無意味なのではなく、比率を満たすためだけの作業に陥った運用が問題でした。改訂後に同じ姿勢を続けると、根拠の説明を求められた段階で立ち行かなくなります。逆に言えば、リスクの高い拠点・プロセスに評価資源を寄せ、低リスク領域を絞る運用に切り替えれば、工数を増やさずに実効性を上げられます。形骸化を脱する具体的な分かれ目は、評価範囲の決定に「自社固有のリスクに基づく理由」を持てるかどうかです。

今後のJ-SOX見直しの方向性|数値基準の段階的削除・非財務情報・監査方式

数値基準(2/3等)の段階的削除の検討|審議会が示した中長期課題

今回の改訂は完成形ではありません。意見書は、「売上高等のおおむね2/3」「3勘定」といった数値基準について、機械的な適用を促さないよう、基準・実施基準における段階的な削除を含む取扱いを今後検討する、と明記しています。つまり中期的には、こうした目安そのものが基準から消える可能性があります。現時点で比率を残す運用は否定されていませんが、「比率があるから安心」という前提は崩れつつあります。範囲決定をリスクベースで説明できる体制を今から作っておくことが、将来の基準変更への備えにもなります。

非財務情報・サステナビリティ開示への内部統制の拡張という論点

目的が「報告の信頼性」へ広がったことと連動し、サステナビリティ等の非財務情報の取扱いも中長期的課題に位置づけられました。現時点でJ-SOXの目的は財務報告の信頼性確保のままで、非財務情報の内部統制が直ちに監査対象に加わるわけではありません。ただし、サステナビリティ開示の制度化が国内外で進むなか、開示情報の信頼性を担保する内部統制の議論は避けられません。財務報告の統制で培った評価の枠組みを、将来の非財務情報統制に転用できるよう意識しておくと、二重の体制構築を避けられます。

監査方式の変更(ダイレクトレポーティング)と会社法との一体化の検討

監査方式の見直しも論点に残りました。米国SOX法は監査人が内部統制を直接評価するダイレクト・レポーティングを採用していますが、日本は経営者評価を監査人が監査する方式を維持し、今回も変更されませんでした。二重評価を避けて負担を抑える設計が継続されたかたちです。一方で、過去には監査方式をダイレクト・レポーティングへ変更すべきとの提言もあり、中長期の検討課題として残されています。さらに、金融商品取引法(J-SOX)と会社法の内部統制をどう一体的に扱うかも、部門間調整を伴う長期的なテーマとして残されています。

よくある質問

J-SOX改訂をめぐって実務でよく寄せられる疑問を、施行後の前提で整理します。

J-SOXとSOX(米国SOX法)の違いは何ですか?

最大の違いは監査方式です。米国SOX法は、外部監査人が内部統制を直接評価するダイレクト・レポーティングを採用しています。これに対しJ-SOXは、経営者が自社の内部統制を評価し、その評価結果を監査人が監査する方式です。二重評価を避けて企業負担を抑える狙いがあり、内部統制監査は財務諸表監査と同一の監査人が一体的に実施します。今回の2023年改訂でもこの基本構造は変わっていません。なお、J-SOXは2008年に米国SOX法を参考に導入されたため、日本版SOXと呼ばれます。

J-SOX対応は義務ですか?対象となる企業の範囲は?

金融商品取引法により、上場会社などには内部統制報告書の提出と監査が義務づけられています。任意ではありません。対象は上場会社本体だけでなく、財務報告に重要な影響を及ぼす連結子会社も評価範囲に含まれます。非上場の子会社は、それ自体の内部統制報告は必須ではありませんが、親会社の評価範囲に入る場合は対象になります。今回の改訂で評価範囲がリスクベースに変わったことで、これまで範囲外としてきた海外子会社などが新たに対象へ加わる可能性がある点に注意が必要です。

改訂で「3点セット」の作成・整備は変わりましたか?

3点セット(業務記述書・業務フローチャート・リスクコントロールマトリクス)の作成様式が、改訂で新たに法定義務化されたわけではありません。J-SOXはもともと特定の文書様式を一律に強制していないためです。ただし、評価範囲の決定がリスクアプローチに変わったことで、評価対象となる業務プロセスが増える可能性があります。その結果として、新たに範囲入りした拠点・プロセスについて3点セット相当の文書を整備する作業が発生し得ます。様式の義務化ではなく、対象範囲の拡大を通じて実務量に影響する、という理解が正確です。

J-SOX改訂は会社法上の内部統制にも影響しますか?

今回の改訂が直接対象としたのは、金融商品取引法に基づくJ-SOX(財務報告に係る内部統制)です。会社法の内部統制は、大会社や指名委員会等設置会社などに取締役会での内部統制システムの構築・決定を求めるもので、財務報告に限らず業務の適正性全般を対象とします。両者は目的と範囲が異なるため、J-SOX改訂が会社法の規定を直ちに変えるものではありません。ただし、金融商品取引法と会社法の内部統制をどう一体的に運用するかは中長期的な検討課題とされており、将来的な整理に向けて両制度の関係を把握しておくと役立ちます。

内部統制報告書に虚偽記載があった場合の罰則は?

内部統制報告書に重要な事項の虚偽記載をした場合、金融商品取引法第197条の2に基づき、5年以下の拘禁刑(懲役)または500万円以下の罰金、もしくはこれらの併科の対象となり得ます。法人に対しては両罰規定が定められています。報告書の不提出も罰則の対象です。罰則の有無以上に実務上の打撃が大きいのは、訂正報告や開示すべき重要な不備の公表による市場からの信頼低下です。不備を出さない体制づくりと、出た場合に理由と是正状況を適切に開示する準備の両方が求められます。

関連記事

資料請求

RELATED POSTS 関連記事

一覧へ戻る