メディア MEDIA
J-SOXにおける内部監査部門の役割とは?内部監査との違いも解説
企業における内部監査部門の役割は、事業規模や経営環境によって大きく異なります。特に上場企業では、通常の内部監査業務に加え、内部統制制度(J-SOX)への対応が求められます。J-SOXは、財務報告の信頼性を確保するために導入された制度ですが、内部監査との違いが分かりにくいと感じる方も多いのではないでしょうか。
そこで本記事では、J-SOXの目的や対象企業、内部監査との違い、J-SOX対応における内部監査部門の役割について分かりやすく解説します。
J-SOXとは
J-SOXは、企業の内部統制が適切に機能しているかを確認し、その結果を公的に報告する制度です。金融商品取引所に上場している企業はJ-SOXの適用対象となり、事業年度ごとに内部統制報告書を作成する義務があります。
そのうえで、公認会計士または監査法人が内部統制報告書を監査し、その内容を内部統制監査報告書にまとめます。作成された内部統制報告書及び内容統制監査報告書は、有価証券報告書とともに内閣総理大臣へ提出しなければなりません。
以下では、内部統制の基本的な概念やJ-SOXの目的、適用対象となる企業について詳しく解説します。
そもそも内部統制とはなにか
内部統制とは、企業が適切に業務を遂行し、経営目標を効率的かつ健全に達成するための仕組みのことです。これは経営層だけが取り組むものではなく、全ての従業員が日々の業務の中で意識し、遵守することが求められます。
金融庁は内部統制について、次のように定義しています。
「内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。」
引用:金融庁「財務報告に係る内部統制の評価及び監査の基準」
つまり、内部統制とは「企業の業務が適切に運営され、不正やミスが発生しないようにするための管理体制」を指します。例えば、経理部門において、仕訳の作成と承認が同一の担当者によって行われている場合、ミスが発生しやすくなります。
このようなミスを防ぐために、仕訳の作成者と承認者を分け、ダブルチェックする体制を構築することが内部統制の一環といえます。そして、その仕組みが適切に機能しているかを監査し、問題がないことを確認・報告するのがJ-SOXです。
J-SOXの目的
金融庁が定める「財務報告に係る内部統制の評価及び監査の基準」では、J-SOXの目的について次の記載があります。
「経営者による評価及び報告と監査人による監査を通じて財務報告に係る内部統制についての有効性を確保しようとするもの」
参照:金融庁「財務報告に係る内部統制の評価及び監査の基準」
このように、J-SOXは財務報告の信頼性を達成するための内部統制の整備及び運用を求めるものです。しかし、財務報告と組織の業務全体が密接不可分の関係にあることを考慮し、経営者は、内部統制の4つの目的(「業務の有効性及び効率性」「報告の信頼性」「事業活動に関わる法令等の遵守」「資産の保全」)について相互の関連性を理解したうえで、財務報告に関連する内部統制を構築するのが望ましいとされています。
J-SOXと内部監査の違い
「内部統制監査」と「内部監査」は、似た名称のため混同されがちですが、これらは目的や役割がまったく異なるので注意が必要です。
内部統制監査は、J-SOXの一環として行われるものであり、次の③を指します。
■J-SOXにおける内部統制報告書及び内部統制監査報告書の作成プロセス
- ① 従業員(内部監査人)がJ-SOXに基づいて内部統制評価を実施
- ② 内部統制の評価結果に基づき、内部統制報告書を作成
- ③ 公認会計士または監査法人が内部統制報告書を監査し、内部統制監査報告書を作成
つまり、内部統制監査はJ-SOXに基づいて実施される監査です。
一方、内部監査は、不正の防止や業務の効率化、経営目標の達成などを目的に、社内の独立した組織(監査部門)や従業員(内部監査人)が主体となって実施する監査です。内部監査は内部統制の一つとして位置づけられているため、J-SOX対応の一環として実施されるケースもあります。
両者の違いを整理すると、次の表のようになります。
| 内部統制監査 | 内部監査 | |
| 監査主体 | 監査法人・公認会計士 | 企業内部の監査部門 (会社の従業員など) |
| 主な目的 | 財務報告の信頼性確保 | 企業の経営活動の健全化 |
内部統制評価のプロセスと内部監査部門の役割
ここからは、J-SOXの一環として行われる内部統制評価のプロセスを確認しながら、内部監査部門の役割を確認していきましょう。
一般的に、内部統制評価のプロセスは次の6つに分かれます。
- 内部統制の評価範囲の決定
- 全社的な内部統制の評価
- 決算・財務報告に係る内部統制の評価
- その他の業務プロセスに係る内部統制の評価
- 不備への対応の検討
- 内部統制の報告
それぞれについて詳しく解説していきます。
内部統制の評価範囲の決定
内部統制評価は、評価範囲を決めることから始まります。具体的には、次のような作業により評価範囲を決定します。
- 企業の財務報告に与える影響が大きい重要な業務を特定
- 各業務やプロセスに対するリスク評価を実施
- 評価に用いる基準や方法を決定
- 評価範囲を文書にして関係者に共有
このように、評価範囲をあらかじめ明確にしておくことで、関係者への伝達、リスクの見逃し防止、内部統制評価の有効性の確保につながります。
全社的な内部統制の評価
内部統制評価の評価範囲を決定した後は、各項目の評価を進めます。その際、最初に評価するのは企業全体の内部統制です。
金融庁は、全社的な内部統制に関する評価項目の例を次の6つのカテゴリに分けています。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
6つのカテゴリには、次のような評価項目の例が挙げられています(一部を抜粋)。
■統制環境
- 経営者は、信頼性のある財務報告を重視し、財務報告に係る内部統制の役割を含め、財務報告の基本方針を明確に示しているか。
- 適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。
■リスクの評価と対応
- 信頼性のある財務報告の作成のため、適切な階層の経営者、管理者を関与させる有効なリスク評価の仕組みが存在しているか。
- リスクを識別する作業において、企業の内外の諸要因及び当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか。
■統制活動
- 信頼性のある財務報告の作成に対するリスクに対処して、これを十分に軽減する統制活動を確保するための方針と手続を定めているか。
- 経営者は、信頼性のある財務報告の作成に関し、職務の分掌を明確化し、権限や職責を担当者に適切に分担させているか。
■情報と伝達
- 信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内の全ての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。
- 会計及び財務に関する情報が、関連する業務プロセスから適切に情報システムに伝達され、適切に利用可能となるような体制が整備されているか。
■モニタリング
- 日常的モニタリングが、企業の業務活動に適切に組み込まれているか。
- 経営者は、独立的評価の範囲と頻度を、リスクの重要性、内部統制の重要性及び日常的モニタリングの有効性に応じて適切に調整しているか。
■ITへの対応
- 経営者は、ITに関する適切な戦略、計画等を定めているか。
- 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
引用元:金融庁「財務報告に係る内部統制の評価及び監査の基準」
実務では、上記6つのカテゴリの各項目についてチェックリストを作成したうえで評価を行います。
決算・財務報告に係る内部統制の評価
企業全体の内部統制を評価した後は、決算および財務報告に関連する内部統制に焦点を当てて評価します。
本プロセスでは、はじめに、決算および財務報告に関連する内部統制を「企業全体の観点から評価」します。その際は、監査法人が作成するチェックリストを用いることが多く、具体的な項目として、連結会計における方針や財務諸表の作成手順などが評価の対象となります。
次に、決算および財務報告に関連する内部統制を「個々の業務プロセスの観点から評価」します。その際は、各勘定科目をもとに不正やミスが発生しやすいプロセス、重要度の高い業務を特定し、個別評価を行います。
その他の業務プロセスに係る内部統制の評価
決算および財務報告に関連する内部統制を評価した後は、その他の業務プロセスに関連する内部統制を評価します。
本プロセスでは、個別具体的な業務プロセスを把握しやすくするために、次の「J-SOX3点セット」を作成するケースがあります。
- 業務記述書
- フローチャート
- リスクコントロールマトリクス(RCM)
これらの書類をもとに各業務プロセスを正確に理解したうえで評価を進めます。
業務記述書
業務記述書とは、内部統制の対象となる業務について「いつ・どこで・誰が・何を・なぜ・どのように」という5W1Hの視点から詳細に記述した文書です。この書類には、業務の目的や範囲、具体的な手順、担当者、実施時期などが明確に整理されており、関係者が業務内容を正確に理解できるようになっています。
以下に金融庁が公開している業務記述書のサンプルを示します。
-726x1024.png)
画像元:金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」
金融庁が公表しているサンプルでは、卸売販売のプロセスが工程ごとに文書化されており、業務の流れが一目で把握できるようになっています。手順を可視化することで、担当者だけでなく関係者全体が業務の進め方や潜在的なリスクを容易に把握できる点が大きな特徴です。
また、業務記述書は業務の可視化・標準化を促進し、リスクの洗い出しや統制の評価を行ううえでも活用できるため、内部統制の構築・運用には欠かせない文書といえます。
フローチャート
フローチャートは、業務記述書の内容を補完し、業務の流れを図で示したものです。文章では伝わりにくい業務の流れを直感的に理解できるようになります。
特に、手続が複雑な業務や複数の部署が関与する業務では、フローチャートを活用することで、関係者全員が業務の全体像を把握しやすくなる点が特徴です。
内容自体は前述の業務記述書と被るので、フローチャートに業務の詳細を加えることで、業務記述書の作成を省略するケースもあります。ただし、業務内容が複雑な場合や文書として詳細な記録を残す必要がある場合には、業務記述書と併せて整備するとよいでしょう。
以下は、金融庁が公開しているフローチャートのサンプルです。
-730x1024.png)
画像元:金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」
リスクコントロールマトリクス
リスクコントロールマトリクスは、業務記述書やフローチャートをもとに、業務に潜むリスクとその統制を整理した一覧表です。この資料を作成することで、業務ごとにどのようなリスクが存在し、それに対してどのような統制が機能しているのかが明確になります。
また、監査時には、リスクが適切に管理されていることを証明する資料としても活用できます。業務の透明性を確保し、J-SOXの要件を満たすうえで、重要な資料です。
以下は、金融庁が公開しているリスクコントロールマトリクスのサンプルです。
-850x1024.png)
画像元:金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」
不備への対応の検討
「全社に関連する内部統制」「決算および財務報告に関連する内部統制」「その他の業務プロセスに関連する内部統制」の評価を終えた後は、評価の過程で明らかになった不備にどのように対応すべきかを検討します。
その際、前述したリスクコントロールマトリクスの内容を参考にしたうえで「リスクの防止」「リスクの発見」という2つの観点から具体的な対応方法を決めていきます。
内部統制の報告
不備への対応方法を決定した後は、内部統制報告書を作成します。内部統制報告書には、提出先、提出日、会社名などの基本情報に加え、以下の5項目の記載が必要です。
- 財務報告に係る内部統制の基本的枠組みに関する事項
- 評価の範囲、基準日及び評価手続に関する事項
- 評価結果に関する事項
- 付記事項
- 特記事項
また、企業の会計期間の最終日までに是正できなかった不備についても記載する必要があります。そのうえで、会計期間の最終日から3カ月以内に、内部統制報告書を内閣総理大臣および監査法人宛に提出します。
内部統制監査で評価されるポイント
従業員(内部監査人)が、J-SOXの一環として行う内部監査では、自社の業務プロセスにおける内部統制を評価するために、次のポイントをチェックします。
- a.実在性-資産及び負債が実際に存在し、取引や会計事象が実際に発生していること
- b.網羅性-計上すべき資産、負債、取引や会計事象を全て記録していること
- c.権利と義務の帰属-計上されている資産に対する権利及び負債に対する義務が企業に帰属していること
- d.評価の妥当性-資産及び負債を適切な価額で計上していること
- e.期間配分の適切性-取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること
- f.表示の妥当性-取引や会計事象を適切に表示していること
参照:金融庁「財務報告に係る内部統制の評価及び監査の基準」
これらのチェックを通じて、業務プロセスに不正または誤謬による虚偽記載が発生するリスクがあるかどうかを確認します。そのためには、不正または誤謬が発生した際に、上述のa〜fのどの項目に影響を及ぼすかを把握しておきましょう。
内部統制に関与する者の役割と責任
金融庁が定める「財務報告に係る内部統制の評価及び監査の基準」では、内部統制に関与する者として、以下5つの主体が挙げられています。
- 経営者
- 取締役会
- 監査役等
- 内部監査人
- 組織内のその他の者
ここからは、立場ごとに求められる役割・責任について解説します。
経営者
経営者は、組織の代表として業務執行の権限を持つと同時に、取締役会が決定する基本方針に基づき、内部統制の整備・運用を担う責任を負います。有価証券報告書を提出する立場でもあるため、開示書類の信頼性を確保する最終責任を果たさなければなりません。
J-SOXにおいても、内部統制報告書の提出は経営者の役割です。財務報告に関わる内部統制の適正な整備・運用が求められ、それらを適切に評価し、報告することが義務付けられています。そのため、経営者は社内の各組織を統率しながら、内部統制の強化に取り組む必要があります。
実務面では、経営者が中心となり、J-SOX対応プロジェクト・チームを編成し、内部統制の構築・評価を進めるケースが一般的です。これは全社的、あるいは子会社を含む企業グループ全体で推進していかなければならないため、リーダーシップも求められます。
取締役会
取締役会は、内部統制の整備及び運用に関する基本方針の決定機関です。経営者の業務執行を監督する立場にあるため、内部統制の構築と運用が適切に行われているかについても、その責任を担います。
また、取締役会は「全社的な内部統制」の中核をなす存在であり、同時に「業務プロセスに係る内部統制」の統制環境を形成する一要素でもあります。そのため、方針決定だけでなく、企業全体のガバナンスを支える根幹として機能しなければなりません。
経営者による内部統制の運用が適正であるか。その評価と監督も、取締役会に求められる役割です。
監査役等
監査役等は、取締役などの職務執行を監査する責任を担います。監査の対象は会計分野に限定されず、業務監査も含まれます。そのため、監査役等は、財務報告の信頼性を確保する内部統制だけでなく、企業全体の内部統制が適切に整備及び運用されているかどうかを監視し、検証する役割を担います。
また、監査役等は取締役の職務を監督する立場にあるため、企業の統制環境やモニタリング体制にも影響を与えます。特に、経営層がどのように内部統制を整備・運用しているかを確認し、必要に応じて改善を促すことが重要です。監査の視点から適切な指摘を行い、ガバナンスの強化につなげることも監査役等の役割といえるでしょう。
内部監査人
内部監査人は、必要な場合に経営者の直属として設置される役割です。そして経営者の指示のもと、内部統制の整備及び運用状況に対する検討・評価を行います。また、場合によっては内部統制の整備及び運用状況の改善を促すこともあります。
このような内部監査人は、内部監査の対象となる業務から独立した立場でなければなりません。なぜならば、内部監査では対象の業務やプロセスに関する客観的な評価が求められるためです。
組織内のその他の者
組織内のその他の者には、正規の従業員のみならず、短期や臨時の従業員も含まれます。これらの者は、日常業務を通じて内部統制の整備及び運用において一定の役割を担います。
例えば、部署の管理者は、部署内の従業員により不正やミスを防止及び発見する形で内部統制の整備及び運用における一定の役割を担うでしょう。また、役職を持たない従業員であっても、不正やミスを防止するために定められたルールやマニュアルに沿って日常業務を担当したり、違反行為等を発見した際に上司に報告したりすることで内部統制の整備及び運用における一定の役割を担っています。
まとめ
本記事では、J-SOXの目的や対象企業、内部監査との違い、J-SOX対応における内部監査部門の役割について詳しく解説しました。
J-SOX対応は、金融商品取引法に基づき、全ての上場企業に義務付けられています。しかし、企業の状況によってその対応も一様ではありません。例えば、企業の業種や規模、企業のビジネスに影響を与える外部環境や法規制により、内部統制の整備及び運用のために求められる内容は異なってきます。内部監査部門は、こうした違いを正しく理解し、企業の状況に応じた適切な対応を進めることが重要です。
関連記事
このページをシェアする
