J-SOX制度
内部統制報告制度 / Japanese Sarbanes-Oxley Act
基本定義
J-SOX制度とは、金融商品取引法に基づき、上場会社等に対して財務報告に係る内部統制の評価と報告を義務付ける制度。2008年4月1日以後開始する事業年度から適用され、経営者による内部統制報告書の作成と、公認会計士または監査法人による監査が求められる。
制度の概要
| 根拠法令 | 金融商品取引法第24条の4の4(内部統制報告書の提出義務) |
|---|---|
| 適用対象 | 有価証券報告書の提出義務を有する上場会社等 |
| 施行時期 | 2008年4月1日以後開始する事業年度から適用 |
| 主な提出書類 | 内部統制報告書(経営者評価)、内部統制監査報告書(監査人監査) |
| 提出期限 | 有価証券報告書と併せて提出(事業年度終了後3ヶ月以内) |
内部統制の6つの基本的要素
内部統制は以下の6つの基本的要素から構成される。これらの要素が適切に整備・運用されることで、財務報告の信頼性が確保される。
評価の流れ
経営者による内部統制の評価は、以下の手順で実施される。
内部統制の評価範囲
全社的な内部統制
連結ベースで、売上高等の一定割合(概ね95%)を目安に重要な事業拠点を選定。全社的な内部統制が有効でない場合、業務プロセスの評価範囲を拡大する必要がある。
業務プロセスに係る内部統制
重要な事業拠点における企業の事業目的に大きく関わる勘定科目(売上、売掛金、棚卸資産等)に至る業務プロセスを評価。財務報告への影響が大きいプロセスを追加。
主要用語一覧
内部統制報告書
ないぶとうせいほうこくしょ / Internal Control Report
経営者が財務報告に係る内部統制の有効性を評価した結果を記載した報告書。有価証券報告書と併せて内閣総理大臣に提出する。内部統制が有効であるか、開示すべき重要な不備があるかを報告する。
内部統制監査報告書
ないぶとうせいかんさほうこくしょ / Internal Control Audit Report
公認会計士または監査法人が、経営者による内部統制報告書の内容を監査した結果を記載した報告書。経営者の評価が適正であるかについて意見を表明する。
3点セット
さんてんせっと / Three-Point Set
業務プロセスに係る内部統制の文書化における基本的な3つの文書の総称。フローチャート(業務の流れ図)、業務記述書(業務の詳細説明)、リスク・コントロール・マトリックス(RCM:リスクと統制活動の対応表)から構成される。
フローチャート
ふろーちゃーと / Flowchart
業務プロセスの流れを図式化した文書。取引の開始から財務諸表に計上されるまでの情報の流れ、関係する部門・担当者、使用するシステム・帳票を視覚的に表現する。
業務記述書
ぎょうむきじゅつしょ / Process Narrative
業務プロセスの内容を文章で詳細に説明した文書。取引の発生から記録までの各ステップ、関係する担当者の役割、使用する証憑・システム等を記載する。
リスク・コントロール・マトリックス(RCM)
りすく・こんとろーる・まとりっくす / Risk Control Matrix
財務報告の信頼性に影響を与えるリスクと、それに対応する統制活動を一覧表にまとめた文書。リスクの内容、統制活動の内容、統制の種類(予防的/発見的)、実施頻度、担当者等を記載する。
ウォークスルー
うぉーくするー / Walkthrough
業務プロセスに係る内部統制の整備状況を評価する手続。取引を1件選び、取引の開始から財務諸表への計上までの流れを追跡し、文書化された内部統制が実際に整備されているかを確認する。
サンプリング
さんぷりんぐ / Sampling
内部統制の運用状況を評価するため、母集団から一定数のサンプルを抽出してテストを行う手続。統計的サンプリングと非統計的サンプリングがある。一般的に25件程度のサンプル数が目安とされる。
ロールフォワード
ろーるふぉわーど / Roll Forward
期中に実施した内部統制の評価結果を期末日まで延長(更新)する手続。期中評価から期末日までの間に内部統制に重要な変更がないことを確認し、追加的なテストを実施する。
キーコントロール
きーこんとろーる / Key Control
財務報告の信頼性を確保するうえで特に重要な統制活動。業務プロセスに係る内部統制の評価において、すべての統制を評価するのではなく、キーコントロールを識別して重点的に評価する。
IT全般統制
あいてぃーぜんぱんとうせい / IT General Controls (ITGC)
業務処理統制が有効に機能するための基盤となるIT統制。プログラムの開発・変更管理、プログラムとデータへのアクセス管理、コンピュータ運用管理、システムソフトウェアの取得・保守管理等を含む。
IT業務処理統制
あいてぃーぎょうむしょりとうせい / IT Application Controls
業務処理の中に組み込まれたIT統制。入力情報の完全性・正確性・正当性を確保する統制、例外処理の適切性を確保する統制、データの維持管理に係る統制等を含む。
開示すべき重要な不備
かいじすべきじゅうようなふび / Material Weakness
財務報告に重要な影響を及ぼす可能性が高い内部統制の不備。この不備が期末日時点で存在する場合、内部統制報告書において「内部統制は有効でない」と報告する必要がある。旧称は「重要な欠陥」。
不備
ふび / Deficiency
内部統制が存在しない、または規定された内部統制では内部統制の目的を十分に果たすことができない状態。不備の重要性に応じて「不備」「重要な不備」「開示すべき重要な不備」に区分される。
決算・財務報告プロセス
けっさん・ざいむほうこくぷろせす / Financial Closing and Reporting Process
決算手続および財務報告の作成に関する業務プロセス。個別財務諸表・連結財務諸表の作成、開示書類の作成等を含む。財務報告への影響が大きいため、原則としてすべての事業拠点で評価対象となる。
経営者評価
けいえいしゃひょうか / Management Assessment
経営者が自社の財務報告に係る内部統制の有効性を評価すること。J-SOXでは、経営者が主体的に内部統制を評価し、その結果を内部統制報告書として報告することが求められる。
IPO準備における実務上のポイント
- 上場申請時点でJ-SOX対応体制の整備状況が審査される。上場後速やかに内部統制報告書を提出できる準備が必要。
- 3点セットの整備には相当の時間を要するため、N-2期頃から着手することが望ましい。
- IT全般統制の整備(特にアクセス管理、変更管理)は、システム構築時から計画的に対応する必要がある。
- 内部監査部門の設置と人員確保が重要。評価の客観性を確保するため、被評価部門から独立した体制が求められる。
- 監査法人との早期の連携により、評価範囲や文書化の水準について事前に合意を得ることが効率的。
2023年4月に内部統制報告制度の実施基準が改訂され、2024年4月1日以後開始する事業年度から適用される。主な改訂点として、IT統制の重要性の明確化、不正リスクへの対応強化、内部統制の限界に関する記述の追加等がある。
IPOに精通した公認会計士の力で
あなたの会社のIPOを成功に導きます
株式会社プライムコンサルティングは、IPOを支援する専門家集団です。
監査法人・主幹事証券の立場からIPOを一貫して支援してきた実績を基に伴走します。
オンライン相談対応