J-SOX(内部統制報告制度)は上場企業に対して財務報告に係る内部統制の評価・報告を義務付ける制度で、IPO準備企業は上場申請の2〜3期前から対応が必要です。業務記述書・フローチャート・リスクコントロールマトリクスの「3点セット」作成と、IT全般統制の整備が対応の中核です。
J-SOX(金融商品取引法に基づく内部統制報告制度)は、上場企業に対して「財務報告に係る内部統制の評価・報告」を義務付ける制度です。2008年の施行以来、上場企業の経営管理に大きな影響を与え続けています。
IPO準備企業にとっては、上場申請の2〜3期前からJ-SOX対応を意識した体制整備が必要です。本記事では、J-SOX対応の実務ステップを、3点セットの作成から監査対応まで解説します。
本記事は「中小企業に必要な内部統制|基本の考え方と構築ステップ」シリーズの一部です。
本記事はStartLinkの「経営管理DX完全ガイド」関連記事です。
本記事を読むことで、DXを「掛け声」で終わらせず、実際の業務改善につなげるための具体的な道筋が見えてきます。推進担当者の方はもちろん、経営層の方にもおすすめの内容です。
J-SOXでは、経営者が「財務報告に係る内部統制は有効であるか」を評価し、その結果を「内部統制報告書」として開示する義務があります。
| 項目 | 内容 |
|---|---|
| 対象企業 | 金融商品取引法の適用を受ける上場企業 |
| 評価対象 | 財務報告に係る内部統制 |
| 評価主体 | 経営者(代表取締役) |
| 監査主体 | 監査法人(内部統制監査) |
| 報告書 | 内部統制報告書(有価証券報告書と同時提出) |
J-SOXでは、全社的な内部統制と業務プロセスに係る内部統制の2つを評価します。
全社的内部統制: 連結ベースで全グループ会社が対象
業務プロセスに係る内部統制: 以下の基準で評価対象プロセスを選定
J-SOX対応の核心は「3点セット」と呼ばれる文書化です。
| 文書 | 内容 | 目的 |
|---|---|---|
| 業務記述書 | 業務の流れを文章で記述 | 業務プロセスの可視化 |
| フローチャート | 業務の流れを図で表現 | 視覚的な理解促進 |
| リスクコントロールマトリクス(RCM) | リスクと統制の対応表 | 統制のカバレッジ確認 |
RCMの基本構成:
| リスク | リスク内容 | 統制活動 | 統制の種類 | 実施者 | 頻度 |
|---|---|---|---|---|---|
| R1 | 売上の架空計上 | 受注書と出荷報告の突合 | 手動 | 経理部 | 日次 |
| R2 | 売掛金の回収漏れ | エイジング分析と督促 | 手動 | 経理部 | 月次 |
| R3 | 不正な値引き | 値引き承認フロー | IT自動 | システム | 都度 |
ITシステムに依存する統制が多いため、ITの全般統制(IT General Control)の整備が重要です。
| 統制領域 | 内容 |
|---|---|
| アクセス管理 | ユーザー権限の設定・見直し・棚卸 |
| プログラム変更管理 | システム変更の承認・テスト・移行手順 |
| 運用管理 | バックアップ、障害対応、ジョブスケジュール |
| 開発管理 | 新規システム開発の要件定義・テスト・承認 |
整備した統制が実際に機能しているかを、サンプリングによるテストで確認します。
| テスト方法 | 内容 |
|---|---|
| 質問 | 担当者への聞き取り |
| 観察 | 業務の実行状況を現場で確認 |
| 閲覧 | 証憑・承認記録の確認 |
| 再実施 | 統制手続を評価者が実際にやり直す |
内部統制の評価結果について、監査法人の内部統制監査を受けます。監査法人との円滑な連携のためには、以下がポイントです。
3点セットの初回作成は労力がかかります。しかし、一度作成すれば翌年以降は差分更新で済みます。外部のJ-SOXコンサルタントを活用して初回作成を効率化するのも有効です。
クラウドサービス(SaaS)を多数利用している場合、各サービスのアクセス管理・変更管理が統制対象になります。SaaS管理ツールの導入や、定期的なアクセス権限の棚卸を仕組み化しましょう。
「重要な欠陥」と判定されると、内部統制報告書に不適正意見が付されます。不備が発見された場合は、影響の大きさを速やかに評価し、是正措置を期末までに完了させることが重要です。
営業プロセスに係る内部統制では、CRMのデータが統制の証跡として活用できます。HubSpotの監査ログ機能では、データの作成・変更・削除の履歴が自動記録されるため、「いつ」「誰が」「何を」変更したかのトレーサビリティが確保されます。
内部統制の基本で解説した承認フローやアクセス制御もCRMで実装できるため、営業プロセスの統制活動をシステム化できます。IPO準備のスケジュールと合わせて、J-SOX対応の計画を立てましょう。
J-SOX対応の実務ガイドを実務に落とし込むには、CRMツールの活用が不可欠です。詳しくは「CRM導入の進め方完全ガイド|準備・ツール選定・データ移行・定着化の全ステップ」で解説しています。
J-SOX対応の実務ガイドに取り組むなら、CRMツールの活用が効果的です。以下の記事でHubSpotを使った具体的な実践方法を解説しています。
業務記述書(業務の流れを文章で記述)、フローチャート(業務の流れを図で表現)、リスクコントロールマトリクス(リスクと統制の対応表)の3つの文書を指します。J-SOX対応の核心であり、初回作成には労力がかかりますが、翌年以降は差分更新で済みます。
上場申請の2〜3期前(N-2期〜N-3期)から対応を開始すべきです。直前2期分の監査証明が必要なため、N-3期に監査法人を選定しショートレビューを受け、N-2期で3点セットの作成とIT全般統制の整備を進めるスケジュールが標準的です。
アクセス管理(ユーザー権限の設定・見直し・棚卸)が最重要です。クラウドサービス(SaaS)を多数利用している場合、各サービスのアクセス権限の定期的な棚卸を仕組み化してください。退職者のアカウント放置は内部統制上の重大なリスクとなります。
内部統制やコンプライアンス体制の構築でお悩みの方は、CRMを活用したデータ管理・監査証跡の整備をStartLinkがサポートします。実務に即した体制づくりをご提案します。
まずはお気軽にご相談ください。現状の課題をヒアリングし、最適なアプローチをご提案します。
カテゴリナビゲーション: