IPO

J-SOX(内部統制報告制度)とは?対象企業・3点セット・罰則と2023年改訂後の実務を解説

J-SOX(内部統制報告制度)とは、金融商品取引法にもとづき、上場企業の経営者に財務報告の信頼性を確かめる仕組みの整備・評価を義務づける制度です。この記事では、米国のSOX法を参考に生まれた経緯と根拠条文、内部統制報告書の提出義務を負う対象企業の範囲、業務記述書などの3点セットを使った評価の流れ、虚偽記載や未提出に対する罰則、そして2023年に見直された基準の現行版までを順に整理します。あわせて、承認や職務分掌を手作業やスプレッドシートで回している統制がどの段階で限界を迎えるか、IT統制のシステム化や外注をどこで判断すべきかを、システム開発を発注する側の視点で具体的に示します。

目次

まとめ|J-SOX対応の対象企業・報告義務とシステム化の判断

J-SOXの対象は上場企業です。経営者が財務報告に関する内部統制を自ら評価し、その結果をまとめた内部統制報告書に監査法人または公認会計士の監査証明を付けて、有価証券報告書とあわせて開示します。非上場企業にJ-SOXの提出義務はありませんが、会社法が求める内部統制や、上場を見据えた準備として同じ考え方が役立ちます。

実務で効いてくるのは、評価対象になる業務プロセスの範囲と、それを支える証跡の残し方です。財務報告に直結する売上・購買・在庫・決算といったプロセスで、誰が承認し、どの証跡が残るかを説明できる状態が求められます。承認履歴が追えない、職務分掌が名ばかりになっているといった兆候が出たら、その領域こそシステムで統制を作り込むべき対象です。制度の全体像は親記事の内部統制の4つの目的と6つの基本的要素、会社法との違いを整理した記事で確認できます。

J-SOX(内部統制報告制度)の定義|根拠法とSOX法との関係

J-SOXは制度の通称です。正式には金融商品取引法が定める内部統制報告制度を指し、名称は米国の制度に由来します。まず言葉の由来と法的な位置づけを押さえると、後の対象範囲や評価手順の理解が早くなります。

米国SOX法を起点として生まれた日本版内部統制報告制度の背景

米国では2001年から2002年にかけてエンロンやワールドコムの不正会計が相次ぎ、投資家保護を目的にSOX法(サーベンス・オクスリー法)が2002年に成立しました。日本でも西武鉄道やカネボウの有価証券報告書虚偽記載が問題となり、これを受けて金融商品取引法に内部統制報告制度が組み込まれます。米国SOX法を下敷きにした日本の制度という意味で「日本版SOX法」「J-SOX」と呼ばれるようになりました。呼び名は俗称で、条文上は内部統制報告制度という名称が用いられます。

金融商品取引法24条の4の4を根拠とする内部統制報告書の提出義務

制度の中核は金融商品取引法24条の4の4第1項です。上場企業などに対し、事業年度ごとに内部統制報告書を作成し、監査証明を受けたうえで公衆の縦覧に供するよう求めています。ここでいう内部統制は財務報告に関わる範囲に絞られ、企業活動すべてを対象にするわけではありません。監査証明の根拠は同法193条の2第2項で、財務諸表監査とは別に、内部統制そのものを監査法人が確かめる建て付けになっています。制度は2007年に金融商品取引法として成立し、2008年4月1日以後に開始する事業年度から適用が始まりました。

会社法の内部統制と金融商品取引法によるJ-SOXの守備範囲の違い

内部統制を求める法律は金融商品取引法だけではありません。会社法も、大会社や委員会設置会社などに取締役会での内部統制システムの基本方針決定を求めます。両者は目的も対象も別物です。次の表で守備範囲を対比します。

観点 会社法の内部統制 金融商品取引法(J-SOX)
主な目的 業務全般の適正確保 財務報告の信頼性確保
対象 大会社・委員会設置会社など 上場企業など
求められる行為 取締役会での基本方針の決定 内部統制報告書の作成・提出と監査
外部監査 制度上の義務なし 監査法人・公認会計士の監査証明

会社法は業務全般をカバーする代わりに、経営陣が方針を決める段階までを求めます。J-SOXは財務報告という一点に絞る代わりに、外部監査まで踏み込む点が違いです。自社が上場していないなら、まず会社法の側で規模要件に当たるかを確かめると、必要な対応を見誤りません。

J-SOXの対象企業と提出義務の範囲|上場企業と新規上場の猶予

「どこまでの会社が対象か」は最初に見極める関門です。上場している親会社だけでなく、連結子会社や関連会社まで評価が及ぶため、範囲の見立てを誤ると対応工数が跳ね上がります。

有価証券報告書の提出義務の有無からJ-SOX対象企業を判定する基準

内部統制報告書の提出義務を負うのは、金融商品取引法にもとづき有価証券報告書を提出する上場企業です。上場していれば原則として対象になり、非上場企業は提出義務を負いません。ここで注意したいのは、対象が「上場している法人」で切れるわけではない点です。評価は財務報告の信頼性を確かめるために行うため、連結財務諸表に取り込まれる子会社の業務プロセスも、金額的な影響が大きければ評価範囲に入ります。海外子会社を持つ場合は、現地の会計処理まで含めて範囲を検討します。

新規上場から3年間は内部統制監査が免除される特例と実務上の注意点

新しく上場した企業には負担を和らげる特例があります。新規上場から一定期間は、内部統制報告書について監査法人の監査証明を受けることを免除する選択ができます。これは内部統制府令が定める措置で、上場直後の体制構築に時間がかかる実情に配慮したものです。ただし免除されるのは外部監査であって、経営者自身による評価と報告書の作成まで免れるわけではありません。上場準備の段階から評価体制を組み、猶予期間を体制の定着に充てる進め方が現実的です。上場準備そのものの流れは、内部統制を含む上場準備で整える統制の全体像を解説した親記事とあわせて確認すると設計しやすくなります。

内部統制の評価から内部統制報告書の提出までの流れ|3点セットの役割

J-SOX対応は「文書をそろえて終わり」ではありません。業務を可視化し、統制が効いているかを自ら検証し、その結論を報告書にまとめて監査を受けるまでが一続きの作業です。ここで軸になるのが3点セットと呼ばれる文書群です。

業務記述書・フローチャート・RCMからなる3点セットの中身と役割

3点セットは、財務報告に関わる業務プロセスを見える化するための3種類の文書を指します。作成そのものは法令上の義務ではありませんが、評価の土台として用意するのが通例です。

  • 業務記述書:業務の手順、担当者、使うシステムを文章で書き起こし、各工程に潜むリスクを明らかにする文書
  • フローチャート:受注から入金までといった業務の流れを図で表し、承認や記帳のポイントを一目で追えるようにした図表
  • リスクコントロールマトリックス(RCM):工程ごとのリスクと、それを抑える統制活動を一覧で対応づけた表

3点のうち実務で要になるのはRCMです。リスクに対して統制が漏れなく割り当たっているかを、この表で点検します。業務記述書とフローチャートは、そのRCMを作るための下ごしらえと捉えると位置づけがはっきりします。

全社的な内部統制と個別業務プロセス統制による二段構えの評価手順

評価は二段構えで進みます。まず全社的な内部統制として、経営者の姿勢や社内規程、内部監査の仕組みといった土台を確かめます。ここが弱いと、個別の業務プロセスをいくら点検しても信頼性を担保できません。次に、売上や仕入といった財務報告への影響が大きい業務プロセスを選び、そこに組み込まれた統制が実際に機能しているかを検証します。統制のなかでも、システムのアクセス権限や自動計算の正しさを確かめるIT統制は、評価範囲の見極めが難しい領域です。IT統制の押さえどころはJ-SOX改訂の実務目線で評価範囲とIT統制を解説した記事で具体的に確認できます。

経営者評価から内部統制監査を経て内部統制報告書を提出するまでの手順

最終的な提出までは、おおむね次の順に進みます。

  1. 評価範囲の決定(全社的な内部統制と、対象とする業務プロセスの選定)
  2. 3点セットなどによる統制の整備状況の把握
  3. 統制が期間を通じて機能したかを確かめる運用状況の評価
  4. 不備の集計と、財務報告に与える影響の判断
  5. 内部統制報告書の作成と、監査法人による内部統制監査
  6. 有価証券報告書とあわせた提出・開示

監査法人が示す意見には、無限定適正意見、限定付適正意見、不適正意見の3種類があります。評価の結果として統制に不備があっても、その事実を報告書に正直に記載していれば、記載自体が虚偽になるわけではありません。隠すことが問題であって、不備の存在そのものが直ちに罰則につながるわけではない点は、対応方針を決めるうえで押さえておく値打ちがあります。

虚偽記載・未提出時の罰則と2023年改訂後の適用スケジュール

制度である以上、守らなかった場合の帰結があります。あわせて、2023年に基準が見直された結果、いつからどの会社に新しい基準が適用されるのかを整理します。

内部統制報告書の虚偽記載や未提出に科される罰則と免責される条件

内部統制報告書に重要な事項について虚偽の記載をした場合、金融商品取引法197条の2などにもとづき、個人に5年以下の懲役または500万円以下の罰金が科されえます。法人に対しては、同法207条1項2号により5億円以下の罰金という重い定めが置かれています。金額の大きさは、財務報告の信頼を損なう行為への抑止という制度の狙いを反映したものです。報告書を提出しない場合も罰則の対象になります。ここでも要点は同じで、不備を正直に開示する分には刑事罰の対象にならず、事実を偽ったり開示を怠ったりする行為が罰則に結びつきます。条文番号や適用の詳細は年度で見直されうるため、実際の対応時は当時点の一次情報で確認してください。

2023年改訂の基準が2024年4月以後の事業年度から適用される流れ

内部統制報告制度は2008年の適用開始から運用が続き、2023年に基準および実施基準が15年ぶりに大きく見直されました。見直された基準は、2024年4月1日以後に開始する事業年度から適用されます。3月決算の会社であれば、2025年3月期からが新しい基準の対象という時間軸です。改訂では、評価範囲の決め方をリスクの大きさに応じて考える方向が明確になり、経営環境の変化に合わせて範囲を見直す姿勢が求められるようになりました。改訂で何がどう変わったかという中身は、2023年改訂の現行版と基準・実施基準の違いを整理した記事で詳しく確認できます。ここでは、旧基準の記憶で対応を固定せず、当時点の現行基準に照らして評価範囲を見直す姿勢が要る、という点を押さえておけば十分です。

手作業のJ-SOX対応が限界を迎える条件とシステム化の判断基準

ここからは発注者視点での判断です。J-SOX対応は文書作成の作業と見られがちですが、実務の負担はむしろ日々の統制を回し、証跡を残し続けるところに生じます。どこまで手作業で耐え、どこからシステムに委ねるか。条件を切って言い切ります。

スプレッドシートによる内部統制の運用がリスクに変わる3つの兆候

次のいずれかが当てはまるなら、スプレッドシートと手作業による統制は限界に近づいています。

  • 承認の履歴が追えない:誰がいつ承認したかが後から証明できず、監査で説明に窮する
  • 職務分掌が崩れている:申請者と承認者、記帳者と照合者が同一人物になり、けん制が効かない
  • 証跡が人手のコピーに依存する:月次でファイルを手作業で束ね、転記ミスや上書きが起きる余地がある

3つのうち最初の2つが同時に起きている状態は、統制の設計そのものが破綻している合図です。人を増やして回すより、承認と記録の流れをシステムに固定するほうが、監査対応と日常運用の双方で負担が軽くなります。

基幹システムでIT統制を作り込むべき業務と手作業で足りる業務

すべてをシステム化する必要はありません。判断の軸は「財務報告への影響の大きさ」と「取引の反復性」です。売上計上、仕入・買掛、在庫評価、決算仕訳といった、金額が大きく毎日繰り返される業務は、承認フローとアクセス権限、自動計算をシステムに組み込む値打ちがあります。ワークフローで承認者を固定し、権限を職務に応じて分け、変更履歴を自動で残せば、3点セットが求める統制の多くをシステム側で満たせます。一方、年に数回しか発生せず金額も限られる例外処理まで作り込むのは過剰です。そこは手続きと記録の運用で担保し、投資を反復業務に集中させます。財務報告に直結する基幹プロセスの統制をシステムで固めたい場合は、基幹システム開発でIT統制と業務プロセスを設計から支援するサービスのように、内部統制の要件を織り込んで設計できる開発先に相談すると、監査対応まで見据えた作り込みがしやすくなります。

内製と外注を分ける判断基準と、避けるべきシステム導入の進め方

体制構築を内製するか外注するかの分かれ目は、統制設計の知見が社内にあるかどうかです。経理と情報システムの双方に、J-SOXの評価範囲と証跡要件を理解した人材がいるなら、既存の会計システムの設定変更で足りることもあります。そうした人材が薄い場合、要件定義から外部に委ねたほうが、監査で通用する統制を短い期間で組めます。避けるべきなのは、監査で指摘を受けてから慌ててシステムを入れる進め方です。事業年度の途中で統制を差し替えると、その期は「期間を通じて運用された」と評価しづらく、翌期まで有効性の主張が持ち越しになります。導入するなら、評価対象となる事業年度の開始前に稼働させ、期首から証跡を積み上げる段取りが要ります。

J-SOX(内部統制報告制度)の対象・3点セット・罰則に関するよくある質問

J-SOXの対象や実務でつまずきやすい点について、検索で多い質問に順に答えます。

J-SOXと内部統制はどう違いますか?

内部統制は、業務を正しく回し不正や誤りを防ぐための仕組み全般を指す広い言葉です。J-SOX(内部統制報告制度)は、そのうち財務報告の信頼性に絞って、上場企業の経営者に評価と報告書の提出を義務づける金融商品取引法上の制度を指します。内部統制という土台のうえに、上場企業向けの報告の仕組みとしてJ-SOXが載っている関係です。

非上場企業もJ-SOXの対応が必要ですか?

非上場企業に内部統制報告書の提出義務はなく、J-SOXそのものの対応は不要です。ただし不正やミスを防ぐ内部統制は規模を問わず求められ、会社法が大会社などに整備を求める場合があります。将来の上場を見据えるなら、上場準備の一環として財務報告に直結する統制から段階的に整えておくと、上場申請時の負担を抑えられます。上場準備そのものの進め方は、上場準備の全体スケジュールと内部統制対応の進め方で解説しています。

J-SOXの3点セットは必ず作らなければなりませんか?

3点セット(業務記述書・フローチャート・RCM)の作成そのものは法令上の義務ではありません。ただし、統制を効率よく把握し、監査で説明できる状態を作るために、実務では作成するのが通例です。特にRCMは、リスクに統制が漏れなく割り当たっているかを点検する軸になるため、簡略化しても何らかの形で用意するケースが多くなっています。

J-SOX対応にかかる期間はどのくらいですか?

評価は事業年度を通じた統制の運用状況を確かめるため、対象となる期の期首から期末まで、証跡を積み上げる前提で動きます。体制がない状態から始める場合、業務プロセスの可視化と3点セットの整備、システム面の準備を含めると、稼働開始の準備だけで数か月単位を見込むのが現実的です。評価対象の事業年度が始まる前に体制を立ち上げる段取りが要ります。

2023年の改訂で何が変わりましたか?

2023年に基準と実施基準が15年ぶりに見直され、2024年4月1日以後に開始する事業年度から適用されます。評価範囲をリスクの大きさに応じて考え、経営環境の変化に合わせて見直す方向が明確になった点が大きな変更です。具体的な変更点は改訂の解説記事に譲りますが、旧基準のままの範囲設定を続けず、当時点の現行基準で評価範囲を再点検する姿勢が求められます。

関連記事

資料請求

RELATED POSTS 関連記事