近年、企業を取り巻くリスクや社会的責任が大きく変化するなか、「J-SOX（内部統制報告制度）」も2024年4月1日をもって大きな改正を迎えました。上場企業やIPOを目指す企業にとって、今回のJ-SOX改正は単なる制度対応にとどまらず、ガバナンスや内部統制のあり方そのものを見直す絶好のチャンスです。

しかし、制度のポイントや実務上の留意点を正しく押さえなければ、形だけの対応になってしまうリスクもあります。

本記事では、J-SOX改正の背景や主な改正ポイント、そして企業が取るべき具体的な実務対応まで、わかりやすく整理します。貴社の内部統制強化や持続的な成長につなげるためのヒントを、ぜひ見つけてください。

J-SOX（内部統制報告制度）とは？

J-SOX（内部統制報告制度）は、金融商品取引法に基づき、主に上場企業が自社の内部統制の有効性を評価し、その結果を報告・開示する制度です。2008年に米国のSOX法や国内の不正会計事件（西武鉄道やカネボウなど）を背景に導入され、投資家保護や企業の信頼性向上が大きな目的とされています。

内部統制の4つの目的としては、業務の有効性・効率性、報告の信頼性、事業活動に関わる法令等の遵守、資産の保全が挙げられ、それらを確立・維持するために6つの基本的要素（統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応）が設定されています。

経営者はこれらを整備し、内部統制報告書を作成して監査法人の監査を受けることで、財務報告の信頼性を確保する責任を果たすことが求められるのです。

J-SOXについて、詳細は以下の記事もご参照ください。前提知識はこちらで解説しています。
J-SOX法（内部統制報告制度）とは？内部統制報告制度の目的や罰則まで詳しく解説

J-SOX改正の背景

J-SOX（内部統制報告制度）は導入から十数年が経過し、企業のガバナンスや財務報告の透明性向上に一定の効果を上げてきました。しかし、近年は実効性に対する課題や国際的な内部統制基準とのギャップが指摘されるようになり、見直しの必要性が高まっています。

ここでは、J-SOX改正の背景として、制度の実効性に関する懸念や、国際動向への対応が求められる理由を整理します。

内部統制報告制度の実効性に対する懸念の高まり

企業が実施する内部統制評価では、評価範囲の外で重大な不備が見つかるケースが後を絶ちません。また、報告書の訂正理由が十分に説明されないまま修正されることもあり、財務報告の信頼性が揺らいでしまう場面も見受けられていました。

これでは、投資家保護という制度本来の目的から逸脱してしまうおそれも否めません。

こうした背景から、「もっと実効性のある内部統制に見直すべき」との声が強まり、評価範囲や開示手続きのルールも、より厳格な見直しが求められるようになりました。

国際的な内部統制基準の変化（COSO改訂など）への対応

海外の内部統制基準として、2013年にCOSOフレームワークが改訂され、経済社会の変化やリスクの複雑化を踏まえた新たな視点が加わりました。さらに、サステナビリティやESG情報など非財務情報の重要性が世界的に高まるなか、IT統制やリスク管理の強化も求められています。

一方、日本のJ-SOXではこれらへの対応が遅れており、今回の改正で国際基準との整合性を高める必要性が生じたのです。こうした動きを踏まえ、日本企業もグローバルな視点で内部統制を再構築することが急務となっています。 

内部統制の基本的枠組みの改訂ポイント

内部統制報告制度の改正においては、企業が取り組むべき内部統制の「目的と構成要素」そのものが見直されている点が大きな特徴です。

ここでは、「財務報告の信頼性」から「報告の信頼性」へと目的が拡大される点や、不正リスク・IT統制への対応強化、そして経営者不正への対応策やガバナンス強化など、内部統制の枠組みに関する重要な改訂ポイントを順に確認していきましょう。

「財務報告の信頼性」から「報告の信頼性」へ目的範囲を拡大

従来のJ-SOXは財務報告の信頼性を重視してきましたが、サステナビリティやESGなど非財務情報が経営判断にも重要な役割を果たすようになり、企業が開示するあらゆる情報の正確性と透明性が強く求められています。

こうした状況を受け、今回の改正では内部統制の目的範囲を「財務報告の信頼性」から「報告の信頼性」へ拡大し、企業は財務以外の情報についても整備・評価を強化することになりました。

ただし、金融商品取引法上の内部統制報告制度の目的は「財務報告の信頼性」を確保することであり、「報告の信頼性」という表現はあくまで企業実務の運用上での考え方の広がりを示すものです。

法制度上は引き続き「財務報告」を対象とする点に変わりはなく、非財務情報に関する整備や評価は、各企業の自主的な取り組みとして求められていくことになります。

不正リスク・IT統制など内部統制の基本要素を強化

近年の不正会計事案やサイバー攻撃の増加を背景に、内部統制では不正リスクとIT統制がこれまで以上に重視されています。

リスク評価の段階で不正リスクを明確に洗い出すとともに、クラウドやテレワークの普及で複雑化するIT環境にも柔軟に対応できる統制活動が求められるようになりました。

今回の改正は、こうした実態を踏まえた統制強化を促すことで、潜在的な不正やセキュリティリスクを早期に発見・防止し、企業全体の信頼性をより一層高めることを目指しています。

経営者不正への対応策を明示

経営者自らが内部統制を無視、あるいは無効化してしまう不正リスクに対しては、従来より一段と厳しい対応策が求められています。

改正では、経営者による不正の発生を抑止・早期発見するため、職務分掌の明確化や監視体制の強化など具体的な方針が示されました。

取締役会の監督機能を高めるほか、内部監査部門が経営層に対して直接報告できるルートを整備するなど、企業のガバナンス全体で不正リスクに対処する仕組みを構築することが重要となります。

関係者の役割と責任を明確化しガバナンスを強化

改正では、取締役会や監査役、内部監査部門といった主要な関係者の役割や責任を一層クリアにし、それぞれがどのように内部統制に関与し、リスクをモニタリングしていくかを明確に示すことが求められています。

特に、いわゆる「3線モデル」の導入・整備を通じて、業務を直接担当する第1線、リスク管理機能を担う第2線、そして独立した視点で監視・検証する第3線の連携を強化することが重要です。

これにより、組織全体で不正リスクやITリスクなどに素早く対応できるガバナンス体制が築かれ、企業がステークホルダーからの信頼を高める土台となります。

内部統制の評価・報告プロセスの改訂ポイント

内部統制報告制度の改正においては、企業がどのように内部統制を評価し、報告書にまとめるかという「評価・報告プロセス」の再構築が大きなテーマになっています。

従来、評価範囲は定量基準を軸に決められがちでしたが、改正では定性的なリスク要素もより重視する姿勢が求められるようになりました。

ここでは、こうした改訂の背景と具体的なポイントを順に確認していきましょう。

内部統制評価範囲の決定方法を見直し

内部統制評価範囲の決定にあたっては、これまで財務数値を中心とした定量基準が主流でしたが、近年の不正リスクやITリスクの高まりにより、定性的な重要性への配慮が不可欠となっています。

本改正では、業務プロセス全体を把握しながらリスクアプローチに基づいた範囲設定を行い、評価の妥当性と抜け漏れの防止を徹底することが重視されます。また、組織の実情に合わせた評価範囲の見直しが、監査効率や開示の透明性向上にもつながる点が強調されています。

ITを利用した内部統制評価の頻度を環境変化に応じて見直し

近年、クラウドやリモートワークをはじめとするIT環境の急速な進化に伴い、内部統制の評価手法や頻度も柔軟に見直す必要性が高まっています。本改正では、業務のデジタル化状況やリスクの変化に合わせて、従来の年次評価だけでなく、より短期的かつ継続的な点検を行うことが推奨されます。

これにより、不正やシステム障害などの潜在リスクを早期に発見し、迅速に対策を講じる体制が求められるのです。

内部統制報告書の記載事項を拡充

本改正では、内部統制報告書の記載内容をより充実させ、透明性と説明責任を高めることが重視されています。具体的には、評価範囲をどのような基準やリスクアプローチで決定したのか、その根拠を明確に示すとともに、重大な不備や潜在的なリスクが発生した場合の影響や是正措置もより詳しく記載することが求められます。

また、IT統制や不正リスクへの対応状況について、どのような手順で評価し、どの程度の頻度でモニタリングしているかも重要な情報です。こうした記載事項の拡充により、投資家やステークホルダーに対して、企業が内部統制に真剣に取り組んでいることを示し、市場からの信頼を一層高めることが狙いとされています。

内部統制監査の改訂ポイント

J-SOX改正に伴い、企業が行う内部統制監査も大きく見直されることになりました。

ここでは、財務諸表監査の証拠を活用した効率化の推進や、評価範囲外で発生した不備への対応強化など、改正の主要なポイントを整理してご紹介します。

財務諸表監査の証拠を活用した内部統制監査の効率化

内部統制監査と財務諸表監査を明確に切り離すのではなく、財務諸表監査で得られた証拠を内部統制監査にも活用する取り組みが強化されています。

これにより、両監査の重複部分を削減し、効率的な監査プロセスを実現できるだけでなく、監査範囲の網羅性や品質も高めやすくなります。

改正では、この一体的な監査の実践が求められ、監査人と経営者の連携強化が企業全体の信頼性向上につながると期待されています。

評価範囲外で判明した不備への対応

内部統制評価で想定していなかった範囲で不備が見つかった場合でも、速やかに経営者と監査人が協議し、適切な修正や開示を行うことが改正で強調されています。従来は評価対象外として扱われやすかった部分でも、重大なリスクが潜んでいる可能性があるため、早期に把握し是正措置を講じることが求められるのです。

特に、開示すべき不備の程度や影響範囲を適切に判断し、ステークホルダーに対して十分な説明責任を果たすことが重要となります。結果として、内部統制の実効性を高めるうえで、評価範囲外の不備対応も監査全体の信頼性向上に寄与するといえるでしょう。

不正リスクに対応する統制強化と社内教育の徹底

不正リスクへの対策は、企業の内部統制において欠かせない要素の一つです。J-SOX改正では、不正の発生を防ぎ早期に発見するための統制活動の強化と、従業員一人ひとりのコンプライアンス意識を高める社内教育の重要性が、あらためて強調されています。

ここでは、「統制強化」と「社内教育」をキーワードに、どのように不正リスクを予防し、早期に発見・対処していくかを具体的に見ていきましょう。

統制強化：不正リスクに対応するため、統制活動の強化や監視体制を整備

不正リスクにしっかり対応するためには、統制活動の強化と監視体制の整備が欠かせません。

不正リスク評価は一度きりで終わるものではなく、定期的に実施し、リスクの変化に合わせて対応策を見直していく必要があります。そのうえで、予防統制や発見統制といった実務的な対策を充実させることが重要です。

たとえば、不正を未然に防ぐためのチェック体制の強化や、問題が発生した際に迅速に発見できる仕組みづくりが求められます。また、グループ全体で統一した内部統制の整備・運用を進めることで、組織横断的に不正リスクへの対応力を高めることができます。

社内教育：従業員への教育や意識啓発を通じて、不正リスクに対する感度を高める

不正リスクの早期発見や未然防止を実現するうえでは、従業員一人ひとりの意識向上が不可欠です。コンプライアンス研修やeラーニングを活用し、内部統制の基本知識や不正行為の事例を幅広く学ぶ機会を設けることで、現場レベルのリスク感度を高められます。

さらに、相談窓口やホットラインの周知徹底により、不正の兆候に気づいた際に迅速な報告・対応が行いやすい環境を整備することも重要です。

J-SOX改正への実務対応とスケジュール

J-SOX改正が実際に施行されるまでに、企業は自社の内部統制を再評価し、必要に応じた改善計画を迅速に策定する必要があります。特に、不正リスク対策やIT統制の強化など新たに盛り込まれた改正点を踏まえ、実務面での準備を進めることが重要です。

ここでは、改正内容の把握と影響分析から始まり、対応計画の策定や教育研修の実施を経て、継続的な改善へとつなげるための基本的な流れを示します。

改正内容の把握と影響分析

J-SOX改正の主要ポイントを正確に捉え、自社業務にどのような影響が及ぶかを分析することは、改正対応の第一歩です。

具体的には、評価範囲の拡大やIT統制の強化などの新要件を踏まえ、各部門・業務フローの見直しを行います。そこで抽出される課題は、優先度の高い改善策や必要なリソースを決定する上でも重要な手がかりとなるため、改正内容の理解と影響分析を慎重に進めることが欠かせません。

対応計画の策定と実行

J-SOX改正への対応では、まず改正内容による自社への影響を整理し、優先順位をつけて対応計画を立てることが重要です。

影響度の高い業務やプロセスから順に、必要な改善策や強化ポイントを明確にします。その上で、内部監査部門やIT部門など関係部署と連携しながら、実行スケジュールを作成し、進捗をしっかり管理します。

全員が同じ方向を向いて行動できるよう、定期的な情報共有やコミュニケーションも欠かせません。

教育・研修の実施と継続的な改善

J-SOX改正にしっかり対応するためには、従業員一人ひとりが制度を正しく理解し、実務に活かせる状態を目指すことが重要です。改正ポイントや新たな手順については、部門や役割ごとに合わせた教育・研修を計画的に実施しましょう。

また、一度きりの研修にとどまらず、eラーニングの活用や定期的なフォローアップによって、社内全体の意識とスキルを高め続けることが大切です。あわせて、現場の課題や気づきをフィードバックとして取り入れ、内部統制の仕組み自体も継続的に見直していく姿勢が求められます。

まとめ：J-SOX改正に対応し、内部統制の強化を図ろう

J-SOX改正は単なる制度対応にとどまらず、企業経営の土台を強固にする絶好の機会です。報告の信頼性やガバナンスの強化、不正リスクへの備え、そして社内教育の徹底など、すべては「持続的な企業価値向上」につながっています。

改正ポイントを自社の実情に照らし合わせて着実に対応し、経営層から現場スタッフまで一丸となって内部統制のレベルアップを目指しましょう。

OAGビジコムでは、J-SOX対応に関するご相談や実務支援、社内研修の企画など、企業ごとの実情に即したきめ細かなサポートを行っています。

お困りごとやご不安があれば、どうぞお気軽にご相談ください。