J-SOXの改訂内容2023年版を解説

【公認会計士 椎名 潤 氏監修】

J-SOXとは、日本における「内部統制報告制度」のことです。日本に内部統制が導入されたのは、2000年代初期に米国で起きた企業の不正会計事件がきっかけです。この事件を機に、米国では企業改革法（SOX法）が成立し、「内部統制報告制度」が制定されました。日本もこの流れを受けて、2006年に日本版のJ-SOXが誕生しました。J-SOX導入により、上場企業を中心に、企業の財務報告の信頼性を確保するための適切な内部統制の構築が義務付けられました。

2023年4月7日に、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準（以下「内部統制基準及び実施基準」）」の改訂版が公表されました。

参照：「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」の公表について

過去のJ-SOXの改訂は、内部統制手続の効率化や、基準上の不明瞭な文言の明確化の目的で行われました。一方で今回の改訂は、財務報告に係る「内部統制の実効性確保」という、従来とは異なる観点での改訂と言えます。 本記事では、今回のJ-SOX改訂の内容や、改訂後の影響について解説します。

J-SOX改訂の背景

「内部統制基準及び実施基準」によると、J-SOX導入後およそ15年が経過した中で、内部統制の目的の一つである「財務報告の信頼性」の向上については、一定の効果があったものと考えられています。 その一方で、以下2点のような事例が検出された企業が、毎年一定数確認されています。

・内部統制の評価範囲外で、開示すべき重要な不備が検出される

・内部統制の有効性評価結果が訂正される際の、十分な理由の説明が無い

これを機に、内部統制の実効性確保への懸念についての意見が、日本公認会計士協会を中心とした各識者から寄せられるようになりました。このような経緯から、J-SOXの更なる見直しが進められました。

J-SOX改訂の概要

2023年4月7日付で公表された「内部統制基準及び実施基準」の改訂項目は、
Ⅰ.内部統制の基本的枠組み
Ⅱ.財務報告に係る内部統制の評価及び報告
Ⅲ.財務報告に係る内部統制の監査
の3点について行われました。

今回の改訂のうち、特に重要な論点は、
・報告の信頼性(Ⅰ.内部統制の基本的な枠組み)
・経営者による内部統制の評価範囲の決定(Ⅱ.財務報告に係る内部統制の評価及び報告)
にあると考えられます。

参照：財務報告に係る内部統制の評価及び監査の基準（抄） 新旧対照表 - 金融庁

J-SOX主な改訂ポイント

ここでは、今回のJ-SOX改訂における重要な論点について解説します。

報告の信頼性

2008年頃にJ-SOXが導入されて以降、社会的要請や経済環境の変化に伴い、企業が開示する情報は多様化してきています。特に近年は、サステナビリティ等の「非財務情報」の開示が、世界的に注目されています。サステナビリティは、従来のような、企業が適正な財務諸表を開示すること、すなわち「財務情報」のみならず、例えば資源の再利用、プラスチックの使用量減少や、ボランティア等に関する活動内容といった「非財務情報」についても積極的に開示していくことが、企業価値の更なる向上につながっていくという考え方です。

このような非財務情報に係る開示の進展を踏まえ、内部統制の目的の一つである財務報告の信頼性を「【報告】の信頼性」へ拡大されることとなりました。「Ⅰ.内部統制の基本的枠組み」では、報告の信頼性に関する定義が明記されました。報告の信頼性とは「組織内及び組織の外部への報告(非財務情報を含む)の信頼性を確保することをいい、同時に企業外部への報告のみならず、企業内部での報告についても適用される概念」と整理されました。

経営者による内部統制の評価範囲の決定

J-SOX導入後、内部統制の評価範囲外から「開示すべき重要な不備」が毎年検出され、特に「開示すべき重要な不備は無い」と開示した後に、「開示すべき重要な不備が存在した」旨の訂正内部統制報告書が提出されるという懸案事項が一定数検出されたことを受けて、今回の改訂項目と扱われました。なお「開示すべき重要な不備」とは、財務報告に重要な影響を及ぼす可能性が高い、財務報告に係る内部統制の不備をいいます。

上述の評価範囲の決定に関する懸案事項は、内部統制の評価対象とされる重要な事業拠点や業務プロセスの選定指標である「売上高等の概ね2/3」や「売上、売掛金及び棚卸資産の3勘定」といった数値基準の例示に依存しすぎていたのが原因であると考えられています。すなわち、定量的な例示に偏重して評価範囲を決定し、質的な側面でリスクの高い事業拠点や業務プロセスを含めることが十分にできていなかったと考えられています。

今回の改訂に向けての内部統制関係者間の議論では、この数値基準は、J-SOX開始当初の円滑な対応のための措置として導入された指標でしたが、上述の内部統制の実効性への懸念も踏まえ、これを撤廃すべきとの主張がありました。一方で、評価範囲を検討する際の明瞭な判断基準であり、判断の効率化につながる等の一定のメリットもあるため残すべきとの主張もありました。結果的に「内部統制基準及び実施基準」上、数値基準自体は残りましたが、その位置付けはあくまで例示にすぎず、機械的に適用すべきでない旨が強調されました。

適用時期

今回改訂された「内部統制基準及び実施基準」の適用時期は、2024年4月1日以降に開始する事業年度より適用が開始されることとなります。国内において比較的会社数の多い3月決算及び12月決算会社の場合、最初に改訂の影響を受ける会計期間は以下の通りです。

・3月決算会社：2024年4月1日～2025年3月31日
・12月決算会社：2025年1月1日～2025年12月31日

改訂後の影響

ここでは、今回のJ-SOX改訂により生じる主な影響について解説します。

内部統制報告への影響

今回のJ-SOX改訂により、企業が作成する「内部統制報告書」上、評価範囲の決定において、今後は以下①～③の要素の具体的な判断根拠を文書化することが求められます。
① 重要な事業拠点の選定時に利用した指標と一定割合
② 評価対象とする業務プロセスの識別において選定した重要な勘定科目
③ 個別に評価対象に追加した事業拠点及び業務プロセス

上記①～③に関する具体的な文書化の方法については、現時点では明らかにされていないため、今後内部統制報告書の改訂後のひな型や記載上の留意点等の公表が待たれるところです。

評価範囲への影響

上述の通り、今回の改訂では、重要な事業拠点や業務プロセスの選定の判断要素となる数値基準や勘定科目の例示を、機械的に適用すべきではない旨が明記されました。この趣旨は、財務報告に対する金額的な影響のみでなく、質的な重要性も加味した上での評価範囲の検討方法を整理すべき点にあります。 なお、「質的な重要性」の検討上考慮するリスクについては、「Ⅱ.財務報告に係る内部統制の評価及び報告」において、以下の例示のような状況で発生する可能性がある旨が明記されています。

・規制環境や経営環境の変化による競争力の変化
・新規雇用者
・情報システムの重要な変更
・事業の大幅で急速な拡大
・生産プロセス及び情報システムへの新技術の導入
・新たなビジネスモデルや新規事業の採用又は新製品の販売開始
・リストラクチャリング
・海外事業の拡大又は買収
・新しい会計基準の適用や会計基準の改訂

現状、改訂後の内部統制の評価範囲の検討方法に関する具体的な実務指針は未整備ですが、適用時期に間に合うように事前に監査法人と協議し、改訂後の内部統制実務を見据えた具体的な対応方針の検討を早いうちから進めることが望まれます。

まとめ

先述の通り、今回のJ-SOX改訂の趣旨は、内部統制の実効性確保を向上する点にあります。この実効性確保に懸念が生じた背景としては、J-SOX導入からおよそ15年が経過した中で、企業における内部統制の評価範囲や評価対象プロセスが毎年固定化されてしまった点や、グローバル化やDX(デジタルトランスフォーメーション)化といった事業環境の著しい変化の影響を適切に反映しきれていなかった等の要因が考えられます。

今回のJ-SOX改訂を機に、各企業が自社の市場環境や事業上のリスク等を適切に理解・分析し、改めて自社の内部統制の在り方を見直すことが、より高度な内部統制の実効性確保へつながっていくと考えられます。現時点では、改訂版の「内部統制基準及び実施基準」の適用に当たり必要となる具体的な実務の進め方については不明確な部分が多い状況です。今後日本公認会計士協会から改訂版の実務指針が公表される想定であり、詳細レベルの改訂の動向については引き続き留意が必要です。

特に3月決算会社の適用開始時期までは1年を切っており、決して十分な時間があるとは言えません。改訂版「内部統制基準及び実施基準」の内容やその改訂趣旨、及び各企業ごとの実情・特性を踏まえた対応計画の策定や評価範囲の検討については、監査役や監査法人等と連携の上、改訂版の実務指針公表を待たずに進めることが、今後の効果的かつ効率的なJ-SOX対応につながっていくと考えられます。

低コストでセキュリティ対策を始めるなら

• 「セキュリティ対策が求められているが、予算が限られている」
• 「ひとり情シス状態で、管理負担が大きい」

こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。

予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。

弊社の「漏洩チェッカー」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。

ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点も「漏洩チェッカー」の特徴です。

まずは無料で資料をダウンロードしてお確かめください。

漏洩チェッカー：https://stmn.co.jp/roei-checker/
運営会社：株式会社スタメン（東証グロース市場4019）