J-SOX内部統制をめぐる昨今の状況
上場会社を対象とした、金融商品取引法に基づく“財務報告に係る内部統制の経営者による評価と公認会計士等による監査”(内部統制報告制度)が2008年に始まって久しいが、制度の実効性に関する懸念や経済社会の構造変化、リスクの複雑化などから当該制度の見直し・更新が必要となり、当該制度を支える基準である「財務報告に係る内部統制の評価及び監査の基準」(内部統制基準)及び「財務報告に係る内部統制の評価及び監査に関する実施基準」(実施基準)が改訂され、2023年4月に金融庁より公表された。
主な改訂点としてここでは特に、①不正に関するリスクへの考慮の重要性の強調、②サイバーリスクの高まり等を踏まえた情報システムに係るセキュリティの確保、③経営者による内部統制の無効化への適切な対応の例示、をあげておこう。
また、2026年1月には日本取引所自主規制法人から「内部統制強化・不祥事予防に向けたハンドブック」が公表されており、その前文において「上場企業において不祥事が多発しており、再発防止策と予防策について広く共有することが内部統制システムの強化に有益である」と述べられている。
中国子会社で実践しているJ-SOX全社的内部統制が形骸化していないか
内部統制基準・実施基準において“全社的な内部統制”は原則として、全ての事業拠点で全社的な観点から評価すべきとされる。上場企業の中国子会社はこれまでもこの“全社的内部統制”をチェックリストを用いたりしながら実施してきたものの、それでも一部の企業で中国発の不祥事の事案が生じているのは、J-SOX全社的内部統制のチェックが形骸化しているともいえるのではないだろうか。
その理由の一つと考えられるのが「質問項目が抽象的すぎてイメージできない」というものだろう。実施基準には全部で42の評価項目が例示されている。どのような記述となっているか、一部をみてみよう。
| 番号 | 基本的要素 | 評価項目 | 内容 |
| 1 | 統制環境 | 財務報告重視の基本方針 | 経営者は、信頼性のある財務報告を重視し、財務報告に係る内部統制の役割を含め、財務報告の基本方針を明確に示しているか |
| 15 | リスクの評価と対応 | 内外要因によるリスク識別 | リスクを識別する作業において、企業の内外の諸要因及び当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか |
| 19 | 統制活動 | 職務分掌・権限分担 | 経営者は、信頼性のある財務報告の作成に関し、職務の分掌を明確化し、権限や職責を担当者に適切に分担させているか |
| 29 | 情報と伝達 | 内部通報等の独立伝達経路 | 内部通報の仕組みなど、通常の報告経路から独立した伝達経路が利用できるように設定されているか |
| 31 | モニタリング | 日常的モニタリング | 日常的モニタリングが、企業の業務活動に適切に組み込まれているか |
| 39 | ITへの対応 | IT環境の理解と方針 | 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか |
| 42 | ITへの対応 | IT全般統制・業務処理統制の方針 | 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか |
さて、この質問をそのまま投げられたら、私なら「はい、やっています」と答えてまずは終わらせようとするだろう。そうはいかないように、「何を根拠にそう答えたのですか」という追加質問(整備状況の確認)や、「今年もちゃんとやっていますか、何か変わったところはありませんか」(運用状況の確認)と確認するわけだが後追い感は否めない。質問の意図を汲んで的確に答えることを現地法人に望むのは酷な話だ。質問を噛み砕き、また現地法人に当てはめて具体化する必要がある。
J-SOX全社的内部統制チェックリストを具体化する
前述の各項目を、会社の実態に近い具体的な質問内容に落とし込み、確認すべき資料を例示してみた結果がこれだ。評価のポイントも合わせてみてみよう。
【統制環境】
| 実施基準評価項目 | チェック項目 | 実施手続 | 文書/資料 |
| 1 財務報告重視の基本方針 | 総経理(財務責任者)が、財務報告の信頼性と内部統制遵守を重視する方針を明文化し、日本本社のJ-SOX方針と整合させているか。 | – 文書の閲覧 – 担当者への質問 |
– 本社J-SOX方針 – 内部統制基本方針 – 総経理告知 – 財務報告方針 |
内部統制の有効性を確保するためには、総経理・財務責任者が財務報告の信頼性、法令遵守及び不正防止を重視する姿勢、すなわちトップトーンを明確に示すことが重要である。経営者の関与がどの程度、どこまで及んでいるかが内部統制評価のポイントとなる。
【リスクの評価と対応】
| 実施基準評価項目 | チェック項目 | 実施手続 | 文書/資料 |
| 15 内外要因によるリスク識別 | 中国の税法、増値税発票、外貨管理、労務、環境、安全生産、移転価格、個人情報保護・データ越境等の外部要因が財務報告に与える影響を評価しているか。 | – 文書の閲覧 – 担当者への質問 |
– 法令改正メモ – 税務会計専門誌 – 本社税務通知 – リスク評価表 |
これら中国特有の外部要因は、本社レベルでは認識が難しいため、現場レベルで意識して情報を取りにいき、リスク評価のスコープ漏れを防止する必要がある。現地法人の責任者のリスク感度が求められるところだ。
【統制活動】
| 実施基準評価項目 | チェック項目 | 実施手続 | 文書/資料 |
| 19 職務分掌・権限分担 | 販売管理、購買、倉庫、財務、出納、発票、社印管理の担当者・承認者が分離され、ERP権限・銀行USBキー権限とも整合しているか。 | – 業務の観察 -担当者への質問 – 記録の入手と検証 |
– 業務フロー – 承認記録 – システム権限表 |
入力者(使用者)と承認者(保管者)の分離は不正防止対策の基本中の基本だろう。ここでは、前出の【統制環境】で構築した体制の実務上の運用をまとめている。発票発行を含め税務実務のシステム化は日本以上に進んでおり、小規模法人では担当者に発行と承認の両権限を付与していることも少なくない。あらためて現状を把握しておきたい。
【情報と伝達】
| 実施基準評価項目 | チェック項目 | 実施手続 | 文書/資料 |
| 29 内部通報等の独立伝達経路 | 総経理、財務責任者、部門長等の現地管理層が関与する不正又は内部統制の無効化について、現地法人内で滞留せず、監事、親会社コンプライアンス部門又は外部通報窓口へ直接報告できる仕組みがあるか。 | – 文書の閲覧 – 状況の確認 – 担当者への質問 |
– 内部通報規程 – 通報窓口一覧 – 通報受付・調査・是正記録 – 従業員向け周知・研修資料 |
経営者(管理層)による内部統制の無効化リスクを認識し、評価するプロセスがあることは内部統制監査の重点ポイントであるだけでなく、当該プロセスの存在自体が管理層による不正への牽制として機能する。
【モニタリング】
| 実施基準評価項目 | チェック項目 | 実施手続 | 文書/資料 |
| 31 日常的モニタリング | 日常業務に、上長承認、発票照合、銀行残高照合、在庫実地確認、マスタ変更レビュー、KPI/KRI異常値確認等のモニタリングが組み込まれているか。 | – 業務の観察 – 記録の入手と検証 |
– 承認記録 – 発票照合表 – 銀行残高調整表 – 棚卸記録 – マスタ変更履歴 |
モニタリング機能は、日常業務に組み込まれた重要な発見的統制であるとともに、相互チェックは誤謬の予防的統制でもある。
【ITへの対応】
| 実施基準評価項目 | チェック項目 | 実施手続 | 文書/資料 |
| 39 IT環境の理解と方針 | 財務報告に関係するIT環境(システム構成、ネットワーク、権限、外部委託、現地ベンダー、クラウド、EUC)を一覧化し、評価対象範囲を整理しているか。 | – 文書の閲覧 – 記録の入手と検証 |
– システム構成図 – 外部サービス一覧 – EUC管理台帳 |
| 42 IT全般統制・業務処理統制の方針 | 開発・変更管理、運用管理、アクセス管理、特権ID管理、外部委託・クラウド管理及び販売・購買・在庫・決算の自動化統制について、具体的な手続と評価結果が残されているか | – 文書の閲覧 – 記録の入手と検証 |
– 変更管理台帳 – 運用チェックリスト – 委託先契約書 |
財務報告に関係するIT環境の一覧化は、IT評価の起点である。システムに依存する経営は避けようがないが概要は把握しておきたい。エクセルマクロなどエンドユーザーコンピューティング(EUC)も含めて図示/リスト化する。
中国子会社においては企業全体のITに係る方針・計画・手続きを統括するIT全社的統制と、財務報告に関係するシステムを支えるIT全般統制の主要部分について整備、運用状況を確認するのがよいとされる。経済産業省「システム管理基準 追補版」が参考になる。まずはID管理、サーバーアクセス管理から。データバックアップ、情報漏洩対策、不正アクセスなどへの対応も組織の規模が大きくなるにつれて必要になってくるだろう。
リソースが限られる時でも重点チェック項目の絞り込み対応だけは必ず行う
子会社からすれば「限られた時間とマンパワーで42項目を全てつぶすなんて不可能だ」となるかもしれない。この場合はJ-SOX内部統制監査への対応として、監査人が重視するポイントを押さえた絞り込み対応が有効だろう。子会社にとっても実のある結果を得やすい項目だといえる。
| 基本的要素 | 重点チェック項目 |
| 統制環境 | 総経理・財務責任者が内部統制を重視しているか、権限集中がないか |
| リスクの評価と対応 | 発票、社印、銀行USBキー、在庫、税務、現地独自運用リスクを把握しているか |
| 統制活動 | 支払、契約、発票、在庫調整、マスタ変更に承認・牽制があるか |
| 情報と伝達 | 親会社への報告、不正・不備のエスカレーション、内部通報ルートがあるか |
| モニタリング | 内部監査、親会社レビュー、J-SOX自己点検、指摘事項管理があるか |
| ITへの対応 | ローカルERP、発票システム、電子税務局、銀行システム、特権ID、現地ベンダー管理ができているか |
ざっくりいえばこれらの項目にYESと言えるなら合格点だ。あとは該当項目がどれで、チェックリストをどのように埋めていくかの事務作業だろう。
現地の理解と協力を得てチェックリストを強化しよう!
チェックリストの強化は内容の具体化に他ならない。各社管理のやり方や使う資料が異なるので、それぞれに応じた質問内容と収集資料に置き直してみよう。それには現地法人の協力が欠かせない。
中国子会社へのJ-SOX全社的内部統制の見直しが、現地法人の管理の強化と受け取られることを心配するむきがあるかもしれない。しかしながらチェックリストの具体化は子会社のためにもなるし、また現地管理者が内部監査を積極的に受け入れることは「李下に冠を正さず」の姿勢を示すものであり、経営管理の透明性および内部統制に対する信頼性を高める効果があるといえるだろう。中国語で説明するなら
「总经理主动接受对本公司的内部审计,体现了“瓜田不纳履,李下不整冠”的态度,有助于避免利益冲突或自我评价带来的疑虑,并提升经营管理的透明度和内部控制的可信赖性」
というところだろうか。
J-SOX全社的内部統制チェックリストの中国適用版を作り込む
余裕のある会社は各42項目にサブ項目を設けてさらに具体的なチェックリストを作り込むとよいだろう。絞り込み対応なら20から30の質問を厳選するとよい。
弊社では42項目それぞれに2、3のサブ項目を設けた全120項目のチェックリストを作成している。また絞り込み対応用としてこのなかから30項目を厳選している。
中国子会社のJ-SOX全社的内部統制の強化業務の詳細はこちらをクリック
