J-SOXの改訂ポイントと対応を考察
内部統制報告制度、通称J-SOXが改訂されています。2024年4月以後の事業年度から改訂が適用されていますが、影響が大きいと言われる改訂ポイントを整理していきます。
そもそもJ-SOXとは、金融商品取引法に基づく内部統制報告制度のことを指し、アメリカのSOX法にちなみ日本版SOX法ということでJ-SOXと呼ばれています。J-SOXが導入されたのは2008年のことですので、既に16年程の年数が経過しています。この期間に、時代の変化やテクノロジーの進化がありますので、改訂するのは至極当然のことと考えております。
本稿では大きな改訂ポイントの整理を通して、何が変わったのかを理解いただくことを目的とし、網羅性を求めておらず且つ細かい対応方法などを意見するものではないことを予めお断りしておきます。コンサルの基礎知識のインプットとしてなど参考にしていただければ幸いです。
目次
1.改訂の背景
改訂の背景としては主に2つ挙げられます。
1つ目は、既存の内部統制報告制度ではカバーしきれない事例があり、実効性に関する懸念がある点です。
内部統制の評価範囲外ではあるものの開示すべき重要な不備が明らかになるケースや、内部統制の有効性の評価が訂正されるも十分な理由開示が行われないケースが一定程度見受けられたとしています。
2つ目は、国際的な内部統制の枠組みは、経済社会の構造変化やリスクの複雑化に伴い改訂されたものの、日本の内部統制報告制度では、これらの点に関する改訂は行われてこなかった点が挙げられます。
つまり、国際的な内部統制・リスクマネジメントの進展も踏まえ、内部統制の実効性向上を今回の改訂の目的ととらえることができます。こういった背景を踏まえ、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」が金融庁から発表されました。
2.評価及び監査の基準・実施基準の構成
「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、評価及び監査の基準・実施基準)は3部構成となっており、Ⅰ部が内部統制の基本的枠組み、Ⅱ部が財務報告に係る内部統制の評価及び報告、Ⅲ部が財務報告に係る内部統制の監査となっています。
今回、Ⅰ部とⅡ部の改訂点が重要ポイントなので、この2点に絞って整理します。
3.Ⅰ部 内部統制の基本的枠組みの変更点
内部統制の基本的な枠組みは、4つの目的と6つのプロセスから構成されます。4つの目的を達成するための6つのプロセスを基本的要素と位置付けています。
内部統制の基本的な枠組み概念図
上記の概念図の中で、青色点線で囲った部分が今回の主たる改訂ポイントとなります。
3-1.内部統制の目的での改訂点
内部統制の目的における主たる改訂ポイントは1つです。
内部統制の4つの目的
1.業務の有効性及び効率性
2.報告の信頼性
3.事業活動における法令の遵守
4.資産の保全
元々「財務報告の信頼性」となっていたものが、「報告の信頼性」に変更となっています。これは、サステナビリティ等の非財務情報に係る開示の進展や重要性の高まりを受けてのこととなっています。しかし、J-SOXとしてはあくまで「財務報告の信頼性」の確保を目的としているため、緊急の対応は求められないものの、今後もサステナやESGの高まりは続くと思われますので、いずれの対応は求められそうです。
3-2.内部統制の基本的要素での改訂点
基本的要素での主たる改訂ポイントは4つとなります。モニタリングも改訂ポイントはありますが、その他3つの方が重要なため、同3点について説明します。
6つの基本的要素
1.統制環境
2.リスクの評価と対応
3.統制活動
4.情報と伝達
5.モニタリング
6.ITへの対応
3-2-1.リスクの評価と対応
不正に関するリスクの考慮の重要性が追加されました。
財務報告の信頼性を担保するために、不正リスクを念頭に置く必要があるとし、不正リスク要因を加味した上で評価範囲を考慮することが求められることとなりました。また、リスクは変化するものであるとし、リスク対応を適時見直すことが必要となりました。
不正リスクや統制について、関連部署を巻き込んでセルフチェックを行い、適宜見直す様な体制構築が求められそうです。
リスクの評価の対象となるリスクには、不正に関するリスクも含まれる。不正に関するリスクの検討においては、様々な不正及び違法行為の結果発生し得る不適切な報告、資産の流用及び汚職について検討が必要である。不正に関するリスクの評価においては、不正に関する、動機とプレッシャー、機会、姿勢と正当化について考慮することが重要である |
評価及び監査の基準・実施基準より変更点抜き出し
3-2-2.情報と伝達
大量のデータを扱う際のデータの信頼性について強調され、そのためにデータを扱うシステムの有効性に関する重要性が追加されました。PwCあらた監査法人では対応ポイントとして、IT部門と連携し、IT統制の整備・運用、評価、改善のサイクルを回していくことを挙げています。
大量の情報を扱い、業務が高度に自動化されたシステムに依存している状況においては、情報の信頼性が重要である。信頼性のない情報は、経営者の誤った判断等につながる可能性がある。情報の信頼性を確保するためには、情報の処理プロセスにおいてシステムが有効に機能していることが求められる。 |
評価及び監査の基準・実施基準より変更点抜き出し
3-2-3.ITへの対応
ITに関わる外部への業務委託における委託先の統制の重要性が追加されました。また、サイバーリスクの高まりを踏まえたサイバーセキュリティへの対応が重要であるとされました。
これまで委託先の統制評価を行ってこなかった場合にはIT部門と連携した上で委託先の統制状況の確認が求められそうです。サイバーセキュリティについては、不正リスク同様にサイバーリスク対応を適宜見直す様な体制構築が求められそうです。
また、情報システムの開発・運用・保守などITに関する業務の全て又は一部を、外部組織に委託するケースもあり、かかるITの委託業務に係る統制の重要性が増している。さらに、クラウドやリモートアクセス等の様々な技術を活用するに当たっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティの確保が重要である。ITへの対応を基本的要素に加えたことは、組織に深くITが浸透している現状では、業務を実施する過程において組織内外のITに対し適切に対応することが、内部統制の目的を達成するために不可欠となっていることを示したものであって、組織に新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない。 |
評価及び監査の基準・実施基準より変更点抜き出し
3-3.基本的枠組みにおけるその他の改訂点
上記概念図以外に、内部統制の基本的枠組みとして、「内部統制の限界」、「内部統制の関係を有する者の役割と責任」、「内部統制とガバナンス及び全組織的なリスク管理」といった重要ポイントがあり、いずれも大きな変更はないものの複数の事柄について例示や重要性の追記などがなされています。
その中でも「内部統制の限界」について1つご紹介します。これまでは、経営者による内部統制の無効化が内部統制の限界として挙げられていましたが、今回は内部統制の無視又は無効化のリスクを低減する対策例が追記されました。また、適切な統制を整備運用していくことで、経営者だけで内部統制を無効化することは困難になるとも言及しました。一方で、経営者以外の業務プロセス責任者によっても内部統制の無効化がなされる可能性も示されています。
4.Ⅱ部 財務報告に係る内部統制の評価及び報告
Ⅱ部の「財務報告に係る内部統制の評価及び報告」における大きな改訂点として、「財務報告に係る内部統制の評価とその範囲」と「財務報告に係る内部統制の評価の方法」の2つに関わるものをご紹介します。
4-1.財務報告に係る内部統制の評価とその範囲における改訂点
同項目でも複数の改訂がされておりますが、中でも内部統制の評価範囲の決定における改訂が大きなポイントです。
これまで、評価対象とする重要な事業拠点や業務プロセスを選定する指標について、「売上高等のおおむね2/3」や「売上、売掛金及び棚卸資産の3勘定」が例示されていましたが、これらを機械的に適用すべきではないと、判断事由についての改訂が行われました。
これに合わせて、複数の事業拠点を有する場合には、評価対象とする事業拠点を売上高等の重要性により決定するべきであることが加えられました。また、長期間にわたり評価対象外であった拠点やプロセス、不備の発生状況等を再度検討することも求められるようになりました。今回、評価対象に追加すべき重要性の高い業務プロセスも例示されました。
さらに、評価範囲の計画時に監査法人との協議も求められるようになりました。
これまでの様に売上高で評価範囲を決めていた場合には、判定指標の見直しが必要になります。その上で、子会社や海外拠点、特定の業務プロセスを評価範囲に入れるべきか見直し検討をすべきということになります。独自に決定するのではなく、監査法人と協議し、どこまでを評価範囲にして、どういった基準で選定したのか決め、監査法人と握る必要があります。特に、総合商社のような子会社を多く保有するケースにおいては、適切な論拠の下、統制対象企業の再抽出が求められることになりそうです。
本項目における変更点としては、リスク・アプローチ*を徹底していきましょうということにまとめることができます。形式的な基準で判断するのではなく、充分にリスクを考慮して評価範囲を決めるべきという考え方です。なお、今回の改訂では定量基準は撤廃されていませんが、いずれは無くなると言われています。
*リスク・アプローチ: 監査を効果的・効率的に進めるための手法。監査の人員や時間などの監査資源が有限であるため、 すべての項目に対して総括的に監査を行うのではなく、経済環境、会社の特性などを勘案して、財務諸表の重要な虚偽表示に繋がるリスクのある項目に対して重点的に監査資源を投入し、効果的・効率的に監査を行う手法。(日本公認会計士協会HPより引用)
4-2.財務報告に係る内部統制の評価の方法における改訂点
同項目でも複数の改訂がされておりますが、中でも大きなポイントは、ITを利用した内部統制の評価について留意すべき点が追記されたことでしょう。
一例をあげますと、これまでIT統制の運用状況の評価について、一定の複数会計期間内に一度の頻度で実施とされていたものが、IT環境の変化を踏まえて慎重に判断し、必要に応じて(場合によっては年度単位で)監査人と協議した上で評価の実施をするものとなりました。
5.まとめ
今回J-SOXの改訂で重要となるポイントに絞ってご紹介を致しました。
シンプルにまとめると、今回の改訂を受けて取るべき対応としては以下の様になるのではないでしょうか。
・定量的な財務情報以外も報告できるように徐々に準備しましょう
・不正リスクを検知及び対応できる体制を構築しましょう
・IT統制の整備・運用、評価・改善のサイクルを回しましょう
・外部委託先の統制もしっかり確認しましょう
・評価範囲を質的な観点で見直しましょう
・リスク・アプローチに向けた準備も少しずつ進めていきましょう
この様に書くとシンプルですが、実際に対応するとなると、全社に渡り、難易度の高いこととなります。事業会社と監査法人だけで対応するのではなく、コンサルファームの出番もあるかもしれません。
直近だとKADOKAWAのランサムウェアのケース、グリコのシステム不具合のようなケースから企業活動全体が損なわれるケースなど多岐にわたるリスクが経営には潜んでおります。内部統制は仕組みでのカバーリングの概念が強く、自社は大丈夫という考えに依拠してしまいがちで、うっとうしく思う経営幹部・実地担当者も多いと思います。法的な義務といえども、これらを逆に上手く活かしている成功事例もあり、今後触れてみたいと思います。
[v274]
執筆者
-
外資自動車メーカー2社を経験した後、コダワリにジョイン。
コンサルティングワークもこなす傍ら、人材紹介事業の事業責任者やコダワリの人材開発業務や採用統括業務など含めて幅広に従事。
著書紹介
おすすめサービス
執筆者
-
外資自動車メーカー2社を経験した後、コダワリにジョイン。
コンサルティングワークもこなす傍ら、人材紹介事業の事業責任者やコダワリの人材開発業務や採用統括業務など含めて幅広に従事。