IPOに向けた準備をしている企業を中心に、重要なものとして『J-SOX』が挙げられます。2011年11月に最終改訂が行われて以降、15年程運用が積み重ねられてきましたが、今般、新たな改訂が行われ、2024年4月1日から施行されることとなりました。
この記事では、J-SOXの15年ぶりの改訂について、改正の経緯・趣旨、改定内容のポイントと今後の課題となる点、実務上想定される対応のポイントを解説していきます。
J-SOXは、現在施行中のものは2011年3月の改訂当時のものですが、内部統制・リスクマネジメントに関する国際的な議論の進展がありました。
例えば、グローバルスタンダードとして、SDGs・サステナビリティ、ESGなどが浸透しました。企業利益の追求そのものではなく、より根本的に事業を通じた社会課題の解決の視点が重要性を増すと共に、特に持続的な社会・環境の維持ないし発展に寄与するものであることに企業価値が見出されます。
こうした背景から、財務報告のみならず、非財務情報の可視化をすることが内部統制の重要な指標とされるようになりました。
また、内部統制の評価範囲などの従前の制度の仕組みについて、実効性について懸念の声があったことも挙げられます。その中で、2021年11月に金融庁が公表した「会計監査の在り方に関する懇談会(令和3事務年度)論点整理」において、国際的な内部統制・リスクマネジメントの議論の進展を踏まえて内部統制の実効性向上に向けた議論が必要である旨明記されました。
こうした経緯から、今般のJ-SOX改訂がなされたとされています。また、これまでに行われたJ-SOXの見直しは、主に制度の簡易化に主眼を置いていましたが、今回は制度の実効性確保に舵を切ったものであるとされています。
J-SOX改訂のポイントsection
改訂内容は、次の3つのセクションがあります。
- 内部統制の基本的枠組みについて
- 財務報告に係る内部統制の評価及び報告
- 財務報告に係る内部統制の報告
上記①から③ごとに内容をみていきましょう(金融庁|財務報告に係る内部統制の評価及び監査の基準(抄) 新旧対照表(以下「新旧対照表」と表記。))。
内部統制の基本的枠組みについて
この点については、次の5つの項目があります。
財務報告の信頼性から報告の信頼性へ
・サステナビリティ等に関わる非財務情報の重要性の高まりやCOSO報告書の改訂を受け、財務報告に限らないことが示されるもの
・組織内外の報告の信頼性の確保については非財務情報の可視化を含むものとしつつ、金商法上の内部統制報告制度そのものは、「財務報告の信頼性確保」を目的とすることも強調される
2010年代中ごろから、世界的に、SDGsやESGを軸とした企業経営の在り方が浸透し、2020年代前後にはグローバルスタンダートを形成したものであるといっても過言ではありません。
2021年のコーポレートガバナンス・コードの改訂の中でもサステナビリティに対する取り組み・開示が求められるようになり、上場企業を中心に、社会課題の解決に対するアプローチと位置づけから、サービスの価値ないしは企業価値の評価につながるような規準が形作られています。
そこから、未上場企業であっても、スタートアップやベンチャー企業を中心に、中小企業・未上場企業であっても、成長企業としてIPOを目指すようなフェーズに至っている企業にも、サステナビリティに関わる事項を1つの基準とすることが示されているといえます。
もっとも、J-SOXは、特にIPOにおける内部統制・ガバナンスのチェック水準を規律するものであることから、あくまで財務報告における信頼性を軸としている点は揺らがないものといえるでしょう。
リスク評価と対応
・不正に関するリスクへの考慮が追加情報と伝達において、
・情報の信頼性を確保するシステムの重要性が明記
・ITへの対応として、ITに関する委託業務に対する統制の重要性から、サイバーセキュリティの確保の重要性を記載
企業における事業活動も多様化していることで、不正の要因も広がっています。そのため、不正に関するリスクの考慮の幅を増やしていく必要があるといえます。
また、今後の企業では、より社内のコミュニケーションや情報の伝達の仕組みが重要になります。情報の正確性を担保しつつ、いかにリスク判断を最適に行うか、またそのシステムがなければ、内部統制の実効性が確保されないためです。
これに関連して、ITへの対応に関し、サイバーセキュリティの重要性が増しています。特に、人材の流動性の高まりなどから企業が外部に業務を委託することも少なくないため、企業が保有する情報をいかに保護していく仕組みを作るかという点は、重要度が高いものと考えられます。
経営者による内部統制の無効化
・内部統制を無効にさせる行為に対する内部統制の例示 など
ここにいう「例示」としては、次のようなものが挙げられています(新旧対照表17頁)。
- 適切な経営理念等に基づく社内の制度の設計・運用
- 適切な職務の分掌
- 組織全体を含めた経営者の内部統制の整備及び運用に対する取締役会による監督
- 監査役等による監査及び内部監査人による取締役会及び監査役等への直接的な報告に係る体制等の整備及び運用
内部統制の関係者の役割と責任
・監査役等について、内部監査人や監査人との連携と、能動的な情報入手の重要性 など
内部統制とガバナンス及び全組織的なリスク管理
・一体的な整備運用の重要性と、3線モデル等を例示
3線モデルは、内部統制、ガバナンスと組織横断型の全社的なリスク管理に関する体制整備の考え方です。「1線目に業務部門内での日常的なモニタリングを通じたリスク管理、第2線をリスク管理部門などによる部門横断的なリスク管理、そして第3線を内部監査部門による独立的評価として、組織内の権限と責任を明確化」するものです。(新旧対照表21頁)
| 業務部門内での日常的なモニタリングを通じた リスク管理の内容 | リスク管理部門による 部門横断的にリスク管理の 内容 | 内部監査部門による リスク管理の評価・フィードバック |
3線モデルによって、業務部門単体での業務フローに係る縦軸のリスク管理と、部門横断型の横軸のリスク管理、そして独立的な評価を行う監査との関係が可視化されます。これらの機能を取締役会又は監査役等による監督・監視と適切に連携させることが重要です。
財務報告に係る内部統制の評価及び報告
この点については、次のようなポイントが挙げられます。
- 経営者による内部統制の評価範囲の決定
- 評価範囲における留意点の明確化
- 重要な不備が識別された時点を含む会計期間の評価範囲に含めるべきであること
- 評価範囲に含まれない期間の長さの適切な考慮
- 内部統制の評価の計画段階及び状況の変化等があった場合において必要に応じた監査人協議の実施 など
- ITを利用した内部統制の評価
- IT環境の変化を踏まえた内部統制評価の頻度の決定
- 監査人との協議の実施
- 財務報告に係る内部統制の報告
- J-SOXにおける記載事項の明記
- 重要な事業拠点の選定において利用した指標等の判断事由の記載
- 開示すべき重要な不備を報告した場合における是正状況を付記事項とすること
ポイントとしては、これまで評価範囲外としてきた特定の事業拠点や業務プロセスの部分です。
今回のJ-SOXの改訂では、そうした評価範囲外の部分についても、今後評価範囲に含めることの必要性を検討することや、重要な不備が指摘された場合はその時点を起点として会計期間を評価範囲に含めることが明記された点が挙げられます。
また、重要な事業拠点の選定として利用した判断事由について、具体例を多彩に明記している点もポイントです。さらに、その選定においてどのような指標を用いたのか、そしてその理由を明らかにすることも重要です。
加えて、リスクの変化についても留意すべきことが明記され、そのファクターとして考えられるものが列挙されています。
財務報告に係る内部統制の報告
- 監査人が実効性ある内部統制監査を実施するため、財務諸表監査の実施過程での監査証拠の活用の明確化
- 監査人の独立性確保の明確化
- 内部統制評価の範囲外からの不備を識別した場合における経営者との協議 など
J-SOXの制度構築にあたって課題として指摘されている点section
内部統制部会の審議では、今回J-SOXの改訂に関して、またこれに付随する問題点・課題として、次のようなことが指摘されました。
- サステナビリティ等の非財務情報の内部統制報告制度における取扱いについては、当該情報の開示等に係る国内外における議論を踏まえて検討すべきではな
- いか。
- ダイレクト・レポーティング(直接報告業務)を採用すべきかについては、内部統制監査の在り方を踏まえ、検討すべきではないか。
- 内部統制監査報告書の開示の充実に関し、例えば、内部統制に関する「監査上の主要な検討事項」を採用すべきかについては、内部統制報告書における開示
- の進展を踏まえ検討すべきではないか。
- 訂正内部統制報告書について、現在監査を求めていないが、監査人による関与の在り方について検討すべきではないか。
- 経営者の責任の明確化や経営者による内部統制無効化への対応等のため、課徴金や罰則規定の見直しをすべきではないか。
- 会社法に内部統制の構築義務を規定する等、会社法と調整していくべきであり、将来的に会社法と金融商品取引法の内部統制を統合し、内部統制の4つの目的
- をカバーして総合判断できるようにすべきではないか。
- 会社代表者による有価証券報告書の記載内容の適正性に関する確認書において、内部統制に関する記載の充実を図ることを検討すべきではないか。
- 定期的な開示から臨時的な開示に金融商品取引法が動いているのであれば、臨時報告書についても内部統制を意識すべきではないか。
引用元:金融庁(企業会計審議会)|財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書) 令和5年4月7日 2頁
これらの課題は、今後のJ-SOX改訂の具体案を作っていく上での支店となる要素になると考えられます。
今後の実務上の対応ポイント3つsection
今後の実務上の対応として想定されるものとして、どのようなものがあるでしょうか。本記事では、次の3つについて解説していきます。
非財務情報の可視化
コーポレートガバナンス・コードにおいても、サステナビリティに関する事項の開示について定められていますが、J-SOXとの関係でも、非財務情報について項目を整理しつつ、項目ごとの自社の状況を棚卸ししていく必要があると考えられます。
また、これまで評価対象として考慮してこなかった業務プロセスや重要な事業拠点も、評価の必要性を検討するため棚卸しして検討していく必要があると考えられます。
業務管理などにおけるIT化の推進
DX推進により、様々な業務管理や業務におけるコミュニケーションでの情報システムを推進していくことがポイントです。
重要な点として、業務の管理事態のIT化も必要ですが、その業務管理その他業務処理の適性を担保するための内部統制評価についても、ITによるシステム的かつ客観的な評価フローを構築する対応がポイントになります。
さらに、ITによる業務管理や処理の統制では、AIの活用の場面が多角化していくと考えられますが、次に述べるような情報セキュリティのシステムを検討することも重要です。
そして、現状の業務プロセスの中にアナログ・紙媒体のものが介在している可能性も考慮しつつ、ITによる業務処理とそれによる内部統制が及ぶ範囲を検討し、どのように収れんさせていくのかを検討する必要もあるでしょう。
情報セキュリティシステムに関する棚卸し
IT化に伴い、企業の情報をいかに社内外からの漏洩リスクから守るかが重要になります。その際に、情報セキュリティの現状のシステムについて棚卸しをして、リスクの特定作業から検討していくことが重要です。
また、漏洩に関する保護も重要ですが、サーバーダウンなどによる重要な企業情報や経営資源の消失へのリスクマネジメントも重要です。データセンターの技術などがありますが、その活用なども含め、社内の情報リソースを災害的な要因による消失を防止するための施策を行っていくことが求められるでしょう。
まとめ
最後に、本記事の内容を3つにまとめます。
- 今回のJ-SOXの改訂は、内部統制報告制度の実効性を高める観点を基点とするものである。
- 改訂の内容は、内部統制の基本的枠組み、財務報告に係る内部統制の評価及び報告、そして財務報告に係る内部統制の報告の3つを軸としている。
- 非財務情報を含む報告、ITによる内部統制の構築と評価、評価範囲の確定における範囲の見直しの視点など多岐に渡るポイントがある。
