閉じる

ちょこ解 15年ぶりのJ-SOX法改正 主な変更点

ちょこ解シリーズ

最終更新日:2024/8/22

J-SOX(内部統制報告制度)が、2008年の制度開始から15年振りに改正され、 2024年4月以降の決算期から適用されています。その内容は、評価範囲の拡大や、ITを利用した業務の対応についてなど、幅広いものとなっています。

経営者による内部統制の評価範囲の決定についてはリスクに基いて決めるように改めて促すほか、ITの委託業務に係る統制の重要性が増していること、サイバーリスクの高まり等を踏まえて情報システムへのセキュリティの確保が重要である旨が、明確に記載されました。

「J-SOX(内部統制報告制度)」とは

「J-SOX」は、有価証券報告書提出義務を負う上場企業を対象に、財務報告の信頼性の確保を目的として2008年に導入されました。上場企業の経営者は、財務報告に係る内部統制を整備し、その運用状況、有効性について責任を持ち、その評価結果を「内部統制報告書」で提出することが義務となります。J-SOXが定義する内部統制とは、「業務の有効性と効率性」「財務報告の信頼性」「法令等の遵守」「資産の保全」という4つの目的が達成されている状態にするための、規則や業務プロセスの仕組みとなります。

米国では、2002年に「SOX法(上場企業会計改革および投資家保護法)」が制定されました。2006年に成立した「金融商品取引法」に記された、会社の財務計算に関する書類や、その他の情報の適正性を確保する体制、すなわち企業の内部統制に関する規定がSOX法と同様の内容を定めていることにちなみ、日本版SOX法(J-SOX)と呼ばれています。

改正の背景

今回の改正には、背景として以下の2点があります。

1つ目は、経営者による内部統制の評価範囲外で開示すべき重要な不備が明らかになる事例や、内部統制の有効性の評価が訂正される際に、十分な理由の開示がない事例が一定程度見受けられたことから、J-SOXの実効性に関する懸念が指摘されている、という点です。

2つ目は、国際的な内部統制の枠組みについて、2013年5月にCOSO報告書が経済社会の構造変化やリスクの複雑化に伴う内部統制上の課題に対処するために改訂されました。しかし、J-SOXではこれらの点に関する改訂が行われていなかった、という点です。

以上のようなJ-SOXをとりまく環境への対応として、今回の改正が行われています。

主な変更点

主な変更点は、以下の3点です。

(1)「報告の信頼性」対象範囲の拡大

  • 内部統制の目的の1つである「財務情報の信頼性」が、「報告の信頼性」へと変更されました。
    J-SOXが財務報告を中心に据えている、という点は変わりません。しかし、大型設備のような製造資本、特許等の知的資本、そして人的資本等の非財務情報や、事業に影響が大きい関係業務や組織の信頼性も重視すること、としています。
  • 上記のような非財務情報を取り扱うシステム等も評価対象となります。
  • 内部要因である不正リスクを考慮することの重要性、対策として考慮すべき事項が明示されました。

(2)ITを利用した業務の変化、関連範囲の拡大による変更

  • ITの委託業務に係る統制の重要性が増していること、情報漏洩やサイバーリスクの高まりを踏まえて、セキュリティ確保の重要性が記載されています。
  • IT全般統制の運用評価は、前年度の整備状況と重要な変更がない場合は評価結果を継続利用することができますが、その場合でも、機械的に適用するのではなく、IT環境の変化を考慮して評価実施の頻度を検討するべき、としています。
  • 手作業によるIT業務処理よりも、自動化されたIT業務処理統制を無効化することは困難ですが、それを過信しないことが重要です。また電子記録について変更の痕跡が残り難い場合は、内部統制無効化の発見が遅れることに留意するようにと注意しています。

(3)監査対象範囲の拡大

  • 評価対象の選定における指標はあくまでも例示であり、機械的に判断するのではなく、財務報告への影響を適切に判断、検討することが求められます。従来は対象外とされていた非上場子会社等についても、業務プロセスや事業範囲を考慮して評価対象に含めることも考えられます。その場合は、選定理由も含めた記載が必要となります。
  • 評価範囲の決定は経営者が行いますが、「経営者による内部統制の無効化」のリスクに対し、取締役会での監督・監視や、監査人による監査が必要です。監査人の役割、責任、スキル等の重要性が増すとともに、独立性の確保を図る必要があります。

今回のJ-SOX法改正では、内部統制監査の範囲が拡大しました。それによって、これまでは評価対象外としてきたグループ会社や特定の事業拠点、業務プロセスについても関係してくる可能性が出てきています。また、重要な不備が指摘された場合は、その時点を含む会計期間を評価範囲に含めることが明記されています。

これまでは対象外であった企業においても、今後は、内部統制を意識したシステムの導入を検討することが重要となってきます。会計業務はもちろん、稟議や販売等の関連する周辺の業務も含めて、アクセス管理や操作ログ、承認履歴などの整合性も考慮すべきでしょう。業務ごとに適切なシステムを導入することも可能ですが、各業務を跨いで利用できるシステムであれば、データベースの一元管理や、アクセス制御の整合性も確保できます。効率的な業務運用が期待できるシステムの導入をお勧めします。

製品お役立ち情報Contents

ご購入前の
製品/サービス
お問い合わせContact

企業のDX化や業務効率化に関するお悩みは「株式会社 OSK」へお気軽にご相談ください。

×

Cookieの利用について

このウェブサイトはクッキーを使用しています。このサイトを使用することにより、サイトの利用条件に同意したことになります。