すべての上場企業は、財務報告の信頼性を確保するため、金融商品取引法に定められた内部統制報告制度(J-SOX)に対応しなければいけません。
この記事では、内部統制報告制度(J-SOX)について簡単にまとめました。
内部統制報告制度(J-SOX)の成り立ち
J-SOXはどうしてできたの?
アメリカで、エンロンやワールドコムの粉飾事件をきっかけに、財務報告の虚偽問題の対応策として、2002年にSOX法が制定されました。
この法律は、米国の証券取引委員会(SEC)登録企業の経営者が、財務報告に係る内部統制の有効性を評価した「内部統制報告書」を作成すること、公認会計士等がこれを監査すること等を規定するものでした。
日本でも、有価証券報告書の虚偽記載が行われ、後に多くの開示企業が訂正報告書を提出するに至った西武鉄道事件や、多額の粉飾決算が発覚したカネボウ事件が起こり、資本市場において財務報告の信頼性が失墜する事態が発生しました。
そのため、金融商品取引法において、以下のようにSOX法と類似の定めがなされました。
第二十四条の四の四 有価証券報告書を提出しなければならない会社のうち、有価証券の発行者である会社その他の政令で定めるものは、内閣府令で定めるところにより、事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した報告書(以下「内部統制報告書」という。)を有価証券報告書と併せて内閣総理大臣に提出しなければならない。
同一九三条の二
2 金融商品取引所に上場されている有価証券の発行会社その他の者で政令で定めるものが、第二十四条の四の四の規定に基づき提出する内部統制報告書には、その者と特別の利害関係のない公認会計士又は監査法人の監査証明を受けなければならない。
この条文が「内部統制報告制度」、またはアメリカのSOX法にならって「J-SOX」と呼ばれています。
ただし、金融商品取引法には、この条文以外に財務報告に係る内部統制について具体的にどうすればよいのか定められていません。
じゃあ具体的な決まりはないの?
金融庁の企業会計審議会が、2007年に「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」を公表しました。
この意見書中の「財務報告に係る内部統制の評価及び監査の基準」(以下、「内部統制基準」)および「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、「実施基準」)において、財務報告に係る内部統制についての詳細なガイドラインが示されました。
※以下URLは「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(令和元年12月6日)
https://www.fsa.go.jp/news/r1/sonota/20191213_naibutousei/1.pdf
この後にも、金融庁や公認会計士協会より追加的な指針等が公表され、日本の内部統制報告制度(J-SOX)は導入・実施されていきました。
内部統制報告制度(J-SOX)の概要
内部統制報告制度(J-SOX)では、すべての上場企業に対して、以下を対応が求めています。
- 経営者が財務報告に係る内部統制の有効性を評価し、内部統制報告書を作成する
- 監査人が内部統制報告書を監査する
対象企業
上場企業は、事業年度ごとに、有価証券報告書とあわせて内部統制報告書の内閣総理大臣への提出を義務付けられています。
ただし、新規上場後の3年間は、資本金100億円以上または負債1,000億円以上の企業を除き、内部統制報告書の監査を免除されます。
※内部統制報告書の提出は必要です。
内部統制監査
公認会計士または監査法人は、経営者が作成した内部統制報告書を監査し、「内部統制監査報告書」により、内部統制報告書の妥当性について意見を表明します。
監査対象はあくまで経営者の内部統制評価に対してであり、内部統制の有効性に関して直接的に意見表明するものでありません。
なお、内部統制監査は、財務諸表監査を行う監査法人等が行うものとされています。
内部統制報告制度(J-SOX)実施の流れ
J-SOXでは実際には何をするの?
実施基準等で示された内部統制報告制度(J-SOX)実施のおおまかな流れは以下のとおりです。
トップダウン型リスクアプローチ
内部統制の評価は一般的に、全社的な観点で整備する内部統制(全社的な内部統制)と、個別の業務プロセスに焦点を当てて整備する内部統制(業務プロセスに係る内部統制)に大別されます。
内部統制報告制度(J-SOX) では、評価手順において、トップダウン型リスクアプローチが採用されています。
トップダウン型リスクアプローチとは、全社的な内部統制の有効性をまず評価し、その評価結果を踏まえて、財務報告に係る虚偽記載リスクに重点を置き、業務プロセスの範囲を絞り込んで評価する手法です。
なお、評価範囲については連結ベースで検討します。
具体的には評価を以下の手順で行います。
Step1 全社的な内部統制の評価
すべての事業拠点について、全社的な観点で、チェックリスト等を利用して評価します。
ただし、財務報告に対する影響がわずかな事業拠点(例:連結売上高が全体の5%以内の連結子会社)については、評価範囲から除くことが可能です。
Step2 決算・財務報告プロセスに係る内部統制のうち、全社的な観点での評価
経理規程や決算関連マニュアル、経理・財務の分離、教育制度等、全社的な観点で整備された決算・財務プロセスに係る内部統制について、チェックリスト等を利用して評価します。
Step3 業務プロセスの評価対象の選定
1.重要な事業拠点の選定
選定の指標として、たとえば、連結売上高の3分の2程度の拠点を選定します。
2.評価対象とする業務プロセスの識別
1)事業目的に大きく関わる勘定科目(一般的に、売上、売掛金、棚卸資産)に至る業務プロセス
2)財務報告への影響について重要性が大きい業務プロセス
(個別に評価する決算・財務報告プロセスを含む)
- リスクが大きい取引を行う事業又は業務に係る業務プロセス(デリバティブ取引、価格変動の激しい棚卸資産を抱える事業又は業務等)
- 見積りや経営者の予測が伴う重要な勘定科目に係る業務プロセス(引当金、減損、繰延税金資産等)
- 非定型・不規則な取引など、虚偽記載リスクが高い業務プロセス(期末に集中する取引、過年度推移から突出した取引等)
3.全社的な内部統制の評価結果により、業務プロセスの評価範囲を調整
※評価範囲については、監査人と協議する必要があります。
Step4 業務プロセスの評価
評価対象として選定された業務プロセスを、3点セット(業務フローチャート、業務記述書、リスク・コントロール・マトリクス)等により評価します。
経営者による内部統制の報告
事業年度ごとに、財務報告に係る内部統制について評価した報告書「内部統制報告書」を、有価証券報告書とあわせて内閣総理大臣に提出します。
もし期末日時点で「開示すべき重要な不備」がある場合は、評価結果として開示しなければいけません。
監査人による内部統制の監査
財務諸表監査を行う外部監査人(公認会計士または監査法人)が、経営者が作成した内部統制報告書の妥当性を監査し、意見を表明します。