J-SOX対応

内部統制報告制度（J-SOX）の概要

内部統制報告制度（J-SOX）は、金融商品取引法に基づき、上場企業に対して財務報告に係る内部統制の有効性を評価し、内部統制報告書を提出することを義務付ける制度です。2008年4月以降に開始する事業年度から適用されており、IPOを目指す企業にとっては、上場申請前の段階から本制度への対応を進めることが不可欠です。

J-SOXの目的は、財務報告の信頼性を確保することにあります。経営者は、自社の内部統制が有効に機能しているかを自ら評価し、その結果を「内部統制報告書」として開示します。この報告書に対して、監査法人が「内部統制監査報告書」を発行するという二重のチェック体制が制度の根幹です。

内部統制の4つの目的と6つの基本的要素

4つの目的

内部統制は以下の4つの目的を達成するために企業内に構築されるプロセスです。これらの目的は相互に関連しており、いずれか一つでも欠けると内部統制全体の有効性に影響を及ぼします。

• 業務の有効性及び効率性：事業活動の目的の達成のため、業務の有効性及び効率性を高めること
• 財務報告の信頼性：財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること（J-SOXの主たる対象）
• 事業活動に関わる法令等の遵守：事業活動に関わる法令その他の規範の遵守を促進すること
• 資産の保全：資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ること

6つの基本的要素

上記4つの目的を達成するために、内部統制は以下の6つの基本的要素から構成されます。

• 統制環境：組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与える基盤。経営者の誠実性、経営方針、組織構造、人事政策などが含まれる
• リスクの評価と対応：組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセス
• 統制活動：経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続。承認、検証、照合、実物資産の保全などが含まれる
• 情報と伝達：必要な情報が識別、把握及び処理され、組織内外の関係者に正しく伝えられることを確保すること
• モニタリング：内部統制が有効に機能していることを継続的に評価するプロセス。日常的モニタリングと独立的評価に分けられる
• ITへの対応：組織目標を達成するために予め適切な方針及び手続を定め、業務の実施においてITを有効かつ効率的に利用すること

全社的な内部統制の整備

全社的な内部統制（CLC：Company Level Control）は、企業全体に広く影響を及ぼす内部統制を指します。経営理念や倫理規程、取締役会や監査役の機能、人事制度、ITガバナンスなど、組織レベルで整備すべき統制です。

実務上は、金融庁の「財務報告に係る内部統制の評価及び監査の基準」に定められた42項目の評価項目を基に、自社の状況に応じた評価を実施します。評価項目には、経営者の姿勢、組織構造、権限と責任の付与、人的資源に対する方針と管理、モニタリング活動などが含まれます。

業務プロセスに係る内部統制の整備

評価対象プロセスの選定

業務プロセスに係る内部統制の評価では、まず財務報告に重要な影響を及ぼす業務プロセスを選定します。具体的には、売上高等の一定割合を基準として重要な事業拠点を選定し、それらの拠点における重要な勘定科目に関連する業務プロセスを評価対象とします。

一般的には、売上高の概ね3分の2程度をカバーする事業拠点を選定し、売上、売掛金及び棚卸資産に関連する業務プロセスを評価対象とします。加えて、財務報告への影響を勘案して、個別に評価対象に追加すべき業務プロセスを検討します。これには、見積りや経営者による予測を伴う重要な勘定科目に係るプロセス、リスクが大きい取引を含むプロセス、非定型・不規則な取引に係るプロセスなどが含まれます。

3点セットの作成

業務プロセスに係る内部統制の文書化においては、以下の「3点セット」と呼ばれる文書を作成します。これらは内部統制の評価の基礎となる重要な文書であり、正確かつ網羅的に作成する必要があります。

1. 業務記述書（ナラティブ）

業務記述書は、対象となる業務プロセスの流れを文章で詳細に記述した文書です。取引の開始から記帳に至るまでの一連の流れについて、担当部署、使用するシステム、主要な手続、承認プロセスなどを具体的に記載します。

作成にあたっては、現場担当者へのヒアリングを実施し、実際の業務の流れを正確に把握することが重要です。マニュアルや規程に記載された手続と実態が乖離していないかも確認します。

2. フローチャート

フローチャートは、業務プロセスの流れを視覚的に表現した図です。業務記述書の内容をフロー図として可視化することで、プロセスの全体像を把握しやすくなります。部門間の業務の受け渡し、システムとの連携、書類の流れなどを明確に示します。

一般的には、横軸に担当部署やシステムを配置し、縦軸に業務の流れを時系列で表現するスイムレーン形式が用いられます。各工程には、処理内容、使用帳票、統制活動の有無などを記載します。

3. リスク・コントロール・マトリックス（RCM）

RCMは、業務プロセスにおけるリスクとそれに対応する統制活動（コントロール）を対応付けた一覧表です。各リスクに対して、どのような統制活動が存在し、それがどの程度有効に機能しているかを評価するための文書です。

RCMには、リスクの内容、アサーション（実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性）、統制活動の内容、統制の種類（予防的/発見的）、手動/自動の区分、キーコントロールか否かの判定などを記載します。

内部統制の評価プロセス

整備状況の評価

整備状況の評価では、内部統制が適切に設計され、実際に業務に組み込まれているかを検証します。具体的には、ウォークスルーテストと呼ばれる手法を用いて、業務プロセスの開始から終了まで一つの取引を追跡し、3点セットに記載された統制活動が実際に実施されているかを確認します。

ウォークスルーテストでは、取引の発生から記帳に至るまでの過程で、承認手続が行われているか、照合作業が実施されているか、例外処理が適切にハンドリングされているかなどを確認します。問題が発見された場合は、3点セットの記載内容の修正や、統制活動自体の見直しを行います。

運用状況の評価

運用状況の評価では、整備された内部統制が一定期間にわたって継続的に有効に機能しているかを検証します。サンプリングテストにより、評価対象期間中の取引からサンプルを抽出し、キーコントロールが実際に実施されていたかを確認します。

サンプル数は、統制の実施頻度や対象の母集団の規模に応じて決定します。一般的に、日次の統制であれば25件程度、月次であれば2件程度、四半期ごとであれば1件といった基準が用いられますが、監査法人との事前協議のうえで適切なサンプル数を決定することが重要です。

不備の評価と是正

評価の結果、内部統制の不備が発見された場合は、その不備が「重要な欠陥」に該当するかどうかを評価します。重要な欠陥とは、財務報告に重要な虚偽記載をもたらす可能性が高い内部統制の不備を指し、金額的重要性と質的重要性の両面から判断します。

重要な欠陥が発見された場合、内部統制報告書において「内部統制は有効でない」旨を記載する必要があります。IPO審査においては、重要な欠陥が存在する状態は原則として上場承認が困難になるため、申請前に十分な是正期間を確保することが重要です。

経営者評価と内部統制報告書

J-SOXの最終的な成果物は「内部統制報告書」です。経営者は、事業年度ごとに財務報告に係る内部統制の有効性を自ら評価し、その結果を内部統制報告書として作成します。この報告書は有価証券報告書と併せて内閣総理大臣に提出されます。

経営者評価にあたっては、全社的な内部統制の評価結果と業務プロセスに係る内部統制の評価結果を総合的に判断し、財務報告に係る内部統制が有効であるか否かの結論を導きます。この経営者評価に対して、監査法人が内部統制監査を実施し、内部統制監査報告書を発行します。

IPO準備企業が留意すべき実務上のポイント

• 早期着手の重要性：内部統制の構築には相当の時間と工数がかかるため、N-3期から計画的に着手することが望ましい
• 監査法人との連携：3点セットの作成方針や評価範囲の決定については、監査法人と早期に協議し、手戻りを防ぐ
• 現場の巻き込み：内部統制は管理部門だけでなく全社的な取り組みであるため、現場の理解と協力が不可欠
• コスト意識：過度な内部統制は業務効率を低下させるため、リスクベースで重要な統制に絞る
• 継続的な改善：一度構築した内部統制も、事業環境の変化に応じて継続的に見直し・改善する