日本版SOX法の３つの柱

日本版SOX法は金融商品取引法の中で、企業情報の開示制度を充実するための一環として位置づけられています。
そのために、開示しなければならない会社の決算報告、すなわち財務諸表の信頼性を高めることが目的となっています。

信頼性を高める手段および手順として、日本版SOX法では、以下に記載する、内部統制を含めた３つの柱で示しています。

１）　内部統制の基本的枠組み

経営者自らが、財務報告を適正に作成するための内部統制を構築・整備・運用するための枠組みを示しています。

２）　財務報告に係る内部統制の評価及び報告

経営者自身で構築・整備・運用した内部統制が有効に機能しているかを自己評価し、その評価結果を用いて「内部統制報告書」を作成します。

３）　財務報告に係る内部統制の監査

経営者の自己評価を、会社からは独立した外部の監査人（公認会計士など）がさらに評価、監査し、「内部統制監査報告書」を作成します。

最後にこの３つの柱を実施した結果は、毎年1回提出する有価証券報告書と合わせて、外部監査人の報告書が付いた内部統制報告書として、内閣総理大臣に宛てて提出します。

その結果、財務諸表、およびその信頼性を証明する、内部統制報告書が開示されるという仕組みです。

１）　内部統制の基本的枠組み

米国のSOX法が示す、内部統制の基本的枠組みは、COSOが報告している基本的枠組みが基にされています。

COSO(The Comittee of Sponsoring Organizations of the Treadway Commission)は、企業会計に対する不信や企業倫理の低下に対する危機感から、 企業の財務会計に関わる各団体の協力のもと、1985年に発足したトレッドウエイ委員会を引き継いだ組織です。
COSOが報告した基本的枠組みでは、その考え方や枠組みとして内部統制の3つの目的と５つの基本的要素が示されています。

目的には、

• 業務の有効性及び効率性をいかに高めていくか。
• 財務報告の信頼性をいかにして確保するか。
• 事業活動に関わる法令などの遵守をいかにして実現するか。

基本的要素には、

• 統制環境
• リスクの評価と対応
• 統制活動
• 情報と伝達
• モニタリング

が上げられ、これらが、全組織、業務ごとに、縦横に関連しあいながらも独立して存在しています。これを概念図で表現したものが、COSOキューブと呼ばれています。

日本版SOX法はこれを手本としていますので、内部統制の基本的な考え方はCOSOの基本的枠組みに準拠しています。そして、これを日本の実情に反映させるため、 目的に「資産の保全」、基本的要素に「ITへの対応」を加えて、４つの目的と６つの基本的要素としています。

そして、経営者は、この枠組みに基づき、適切な内部統制を計画・整備・運用していかなければなりません。

２）　財務報告に係る内部統制の評価及び報告

経営者が自ら計画・整備・運用した内部統制は、有効に機能しているかを自己評価し、その結果を「内部統制報告書」にまとめなければなりません。

「内部統制が有効に機能している」とは、内部統制が適切に整備・運用されているため、「財務諸表に重要な記載上の誤りが発生する可能性がない」状態となっていることを示します。

逆に内部統制に不備がある場合は、その影響度合いを金額的、質的に判断して、２つに分類されます。
財務報告に重大な影響を及ぼす可能性がある場合は、「重要な欠陥」といい、財務報告に及ぼす影響が低い場合は、「不備」と分類されます。

経営者自らによる評価は、まず、連結ベースでの全社的な内部統制の評価を実施し、「重大な虚偽が発生するリスク」がないか評価していくことから始めます。
この時、重大かどうかは、金額的な面と質的な面の両面から影響度が大きいものだけに範囲を絞りこむことができます。

その後、主要な業務プロセスを選別して評価を実施し、個々の業務プロセスの評価に移ります。 このように、財務報告に重要な誤りや、虚偽が発生するリスクに対して、ポイントを絞り込んだうえで、内部統制が機能しているかを評価していく事が必要となります。

すなわち、日本版SOX法では、全社レベルから、個別業務の評価へとアプローチしていくのです。これを「トップダウンアプローチ」と呼びます。

トップダウンアプローチを行うと、内部統制の全体像を意識しながら個別の業務までチェックを行えるため、効率的な評価を行うことが出来ます。

内部統制が有効に機能しているかを評価した結果は、報告書にまとめ、監査人による監査でチェックされるだけでなく、最終的には財務諸表と共に公開されます。

経営者による内部統制の評価結果が適正であるか判断するためには、業務プロセスの流れや、どこにリスクが潜んでいるか、リスクに対してどのような統制手続きがとられているか、 分かりやすい形で文書にまとめられている必要があります。

そして、信頼できる財務報告を作成するための内部統制は、有効に機能しているか、評価結果を加え、「内部統制報告書」というかたちにまとめます。

内部統制の評価は、期末日（事業年度末日）時点で行います。そのため、たとえ期中において内部統制に重要な欠陥が発見されたとしても、 即座に改善処置をとることで、期末日までに是正させていれば、内部統制は有効であると評価できます。

３）　財務報告に係る内部統制の監査

経営者によって、内部統制が有効に機能しているかを自己評価した結果は、内部統制報告書にまとめられ、その評価結果は、投資家やアナリストからの信頼を得るため、 会社から独立した外部の監査人による監査を受けることとなります。

監査には、財務諸表を監査する公認会計士等が、同時に内部統制の監査についても行います。

内部統制の監査は、米国SOX法では「ダイレクトリポーティング」という、監査人が企業の内部統制の有効性に対して、自ら意見を述べる方法を採用していますが、 日本版SOX法では、経営者の内部統制報告書の内容が適正かどうかを判断するだけにとどまります。

監査人は、経営者が内部統制報告書で表明した財務報告に関する内部統制の有効性について、プロとしての立場で吟味し、適正であると判断した場合は、 「内部統制監査報告書」を作成し、その中で「内部統制報告書の内容は適正である」と意見表明をします。

また、内部統制監査の過程で、「重要な欠陥」や「不備」が発見された場合には、経営者に報告して是正を求めます。さらにその是正結果を取締役会や監査役に報告します。

そのため、日本版SOXでは、公認会計士等が、経営者や内部監査人等と連携することが許されています。