J-SOXという言葉をご存じでしょうか?多くの人にとって、あまり馴染みのない言葉かと存じます。SOXとは、アメリカにおいて制定されている企業における内部統制報告制度に関する法律(通称SOX法)です。これの日本版こそ、J-SOX法で、ビジネスパーソンにとって必須の知識です。そこで今回は、このJ-SOX(内部統制報告制度)について解説します。
J-SOXとは、2008年に導入された日本版の内部統制報告制度です。アメリカにおける巨大企業の相次ぐ不祥事に対応する形で制定されたSOX法ですが、企業組織における内部統制報告制度はそもそもその必要性を語られていたものです。そこで、日本への導入が検討され、独自のアレンジを加えられた結果、J-SOXとしての制度化に至りました。
SOX法制定の原因となったアメリカで生じた不祥事とは、主に企業における不正な会計処理事案です。かつてアメリカでは、企業のトップもしくは経理担当者が、企業の経理関係について単独で意思決定ができる状態でした。これでは、当たり前のように不正を行えますし、不正が露見する機会さえ生じません。
この事態に対応するには、企業における重要な意思決定については1人ではなく、2人以上の牽制の下で行うように統制する必要が生じます。その際、企業の外部の人間を意思決定に関わらせるのは、迅速な企業活動に弊害を生じます。したがって、内部統制システムを構築した上で、自社内で完結する形で複数人での意思決定を可能にする道が模索されたのです。
ただ、内部統制システムを構築するだけでは、不十分です。やがては全体的な腐敗を招きうるリスクが残るからです。そのリスクの顕在化を防ぐため、内部統制システムが正しく機能しているかを内部監査人等の第三者的側面を有する者にチェックさせ、経営者がこれを確認・宣言することも求められます。これにより、ある程度内部統制機能が行き届いていることを外部的に示せるのです。
さらに、完全な第三者性を有する監査法人のチェックが入れば、「経営者が評価した内部統制システムは有効に機能していること」は、殊更蓋然性を有することになります。
以上の観点から、日本で導入されているJ-SOX制度は、以下のように制度化されています。
上場企業が、事業年度ごとに、公認会計士又は監査法人の監査を受けた内部統制報告書を、有価証券報告書とあわせて提出することを義務化する
これがJ-SOXの正体です。
内部統制は4つの目的と目的を達成するための6つの基本的要素から構成されています。それぞれ下記で解説していきます。
内部統制が達成すべき4つの目的は次の通りです。
企業の活動の目的は、収益力を高めることにあります。この目的を達成するために、経営資産(ヒト/モノ/カネ/情報)をより有効に、より効率よく活用した事業活動が必要となります。
企業が開示する財務情報は、投資家など利害関係者にとって、投資判断や融資判断などを行う上で、とても重要な役割になっています。そのため財務報告に虚偽表示などが発生しないよう財務情報の信頼性を担保する仕組みが求められます。
法令や社会的規範などを守らないと、社会秩序を乱す企業として社会的信用を失うリスクが高くなります。そのために、法令の順守だけでなく独自の企業倫理や行動指針などを設定し、社員に徹底的に遵守するよう求める取り組みが必要となります。
有形無形にかかわらず企業が有する資産は、利益を生み出す源泉です。すべての資産の取得、使用、処分など一連の手続きを明確にし、適正管理・有効活用することが求められます。
内部統制の目的を実現する6つの基本要素は次の通りです。
統制環境とは,内部統制の目的を達成しようという企業全体の意識そのものです。企業に「内部統制は重要」と考えるマインドが無ければ、内部統制が形成されることが難しくなります。そのため、統制環境はもっとも重要かつ基本的なもといえます。
リスクの評価とは、その企業を取りまくリスクのうち、経営目標の達成を阻害する要因をリスクとして洗い出し、その重大性や発生可能性を検証することです。同じ阻害要因でも企業によっては重要性が異なるため、自社への影響の観点から評価する必要があります。
統制活動とは、経営者の指示や命令に適切に実行されるための方針や手続きのことをいいます。リスク評価の結果、重点的に統制すべき企業活動に対して、内部牽制、継続的な記録、実態調査などで統制します。
情報の伝達では、会社の組織間で共有すべき情報が正確に伝達されているかどうかが重要です。情報を取得したい組織が、適時・適切に情報を入手できること、情報を発信・共有したい組織が、関係部署に適時・適切に情報を発信できることがポイントとなります。
モニタリングとは、内部統制の仕組みが有効的に機能しているかを継続的に評価するプロセスです。モニタリングは二種類あり、日常業務の中で行われる上司や管理者のモニタリングと社内外の独立した組織による定期的なモニタリングがあります。
IT化が進んだ現在では、日常の企業活動を支えるものとなっており、必要不可欠な存在となっています。IT化に潜むリスクを考慮し、ITに関する内部統制を適切に構築することが求められます。ITへの対応は、「全般統制」と「業務統制」により統制されています。
J-SOXは、すべての企業に対して求められるものではありません。あくまでも上場企業だけが対象です。なぜなら、J-SOXの対象となる以上、厳しい内部統制システムを構築した上で、監査法人などの第三者の評価を受ける必要があり、かなりの手間と負担を強いられるからです。あまりにも小さい企業にとっては実践不可能ですし、したがって、大企業の中でも特に社会的な影響を考慮して、上場企業に限定された運用がなされているのです。
J-SOXの保護対象として主眼に置かれているのは株主です。J-SOXは、会社の所有者である株主保護が主たる目的の制度なのです。というのも、内部統制が機能していないと、経営者などによって粉飾決算などの会計上の不正処理が行われる可能性が生じます。これが世間に露見してしまうと、企業に対する評価は下がり、結果として株式価値の下落、株主の利益が棄損されてしまいます。特に、公開株式会社については、株主が流動的です。J-SOXの対象が上場企業に限定されているのはこれが理由です。
もちろん、これからIPOしようとしている会社にも内部統制システムの構築は求められます。IPOを目指す企業は証券会社や証券取引所の審査に通った後に上場会社となるわけですから、上場後のシステム構築を見据えれば、できるだけ早期のうちに内部統制の構築を進めるべきでしょう。
J-SOXは、あくまでも決算に係る内部統制に対して行われる監査及び報告です。つまり、すべての企業活動に対して求められるのではなく、「財務諸表等の決算書類を正しく作成する体制を整えられているのか」という観点が主眼に据えられます。
今現在、日本における内部統制システムは、以下の4つのポイントを押さえることを目的とされています。
1. 業務の有効性・効率性
2. 財務報告の信頼性
3. 法令遵守
4. 資産の保全
J-SOXは、この2つ目に対応する制度設計です。もちろん、各企業によって組織編制や関連会社の様相が異なるので詳細は異なりますが、あくまでもJ-SOXは「財務報告の信頼性」を担保することが目的です。そして、この財務報告の信頼性を担保するために行われる評価活動の対象として、以下の6項目の構築・運用状況が挙げられます。
1. 統制環境
2. リスクの評価と対応
3. 統制活動
4. 情報と伝達
5. モニタリング
6. ITへの対応
したがって、J-SOXでは、以上の6つのポイントをチェックすることで、財務報告の信頼性を確保できているかを評価することになります。
なお、これらの内部システムを構築するには、組織内部で入念な会議を繰り返し、適宜監査法人などの第三者の助力を得る必要があります。すべての企業において、企業内に財務システム構築に長けた人物がいるわけでもないので、特にIPOを目指す企業などにおいては、公認会計士などに外注することが頻発しています。
J-SOXの対象業務は、すべての企業活動ではありません。上述のように、あくまでも財務報告のために必要な限りにおいてなされるものです。そして、財務報告のために必要な範囲と言っても、例えば、すべての企業取引にチェックが入るわけではありません。そのようなことをしていたら、企業活動が阻害される結果、むしろ株主に対して悪影響を及ぼしてしまいます。
つまり、決算に関するものであっても、重要ではない業務については評価対象外とされます。
例えば、企業がコンプライアンスを重視しているかという「統制環境項目」について検討する際には、評価対象は売上高の約95%を対象とするだけで良く、かつ、売上高が少ない子会社等に関してはそもそも評価をする必要はありません。
また、「統制活動項目」について検討する際は、検討対象業務にある程度限定が加えられており、売上、売掛金、在庫という主要3勘定科目については基本的に評価対象となりますが、それ以外については、当該企業が特に重要視するものに限られます。売上高についても、全体の2/3を占めるもので良いとされています。
このような形で、企業活動を阻害しないレベルにおいて、J-SOXは運用されることになっています。
J-SOXは、まず内部チェック、次に第三者である監査法人等によるチェックが入ります。この二段階をクリアしてようやく内部統制報告書が提出されることになります。
具体的には、フローチャート、業務記述書、リスクコントロールマトリクスのいわゆる3点セットが用意され、企業が構築した財務報告に係る内部統制はこの3点セットに落とし込まれます。内部監査室や経営企画室等などの、企業における財務部門、営業部門、経理部門などとは一線を画する部署が、3点セット等の評価を行います。
実際、整備評価では1件サンプルを抽出して評価をし、運用テストではその業務の頻度に応じて1件~25件程度のサンプリングをして、承認印やダブルチェックの痕跡を確かめます。
このような入念な会社内部におけるチェック後、第三者機関である監査法人が再度チェックをします。そして、適正だと認められれば内部統制報告書が提出されます。
内部統制報告書は、①評価範囲の選定②整備状況の評価③運用状況の評価の3つから構成されています。
評価範囲の選定とは、内部統制報告書の評価対象を決定する手続きです。金額や構成比など量的重要性とリスクの大小や将来の影響度など質的重要性によって、全社的な内部統制・決算統制、業務プロセス評価範囲を決定します。
整備状況の評価とは、ルール・仕組みや体制及びその有効性を評価する手続きです。3点セット呼ばれる「業務記述書、フローチャート、リスクコントロールマトリクス」でルールや体制などの評価を行います。
運用状況の評価とは、経営者が構築した内部統制が、有効かつ継続的に実施されているかを確認・評価する手続きです。一定期間の証憑の確認、承認者などへのヒアリングなどの作業を組み合わせて実施されます。
内部統制における監査法人の役割は、内部統制監査と内部統制構築支援です。
内部統制監査は、企業の経営者が作成した内部統制報告書が、一般に公正妥当と認められる内部統制の評価の基準に照らして適正であるかを検証することです。監査法人は「無限定適正意見・限定付適正意見・不適正意見・意見不表明」のうちいずれかの意見を表明する責任があります。
上場を予定している企業やM&Aなど経営環境に大きな変化のあった企業などは、内部統制の(再)構築が必要となります。監査法人はそれぞれの強みを活かして、現状調査から体制の整備・構築支援、運用・定着化などの支援を行っています。
制度開始されてから10年を超えたJ-SOX(内部統制報告制度)。「コストがかかり過ぎる」「惰性で行われている」などネガティブな声も聞こえてくるようになりました。
内部統制監査はあくまで経営改善の手段です。経営環境変化に伴って内部統制の再構築を行うことで、経営者は自社の活動の見える化を進めることができます。
内部統制とは、企業統治を実現する企業活動の透明性を高める取り組みと理解することが重要です。