日本版SOX法

■日本版SOX法とは

日本版 SOX法とは、金融商品取引法のなかで、“財務報告に係る内部統制の強化等に関する制度整備”として導入された、内部統制の評価、報告及び監査に関する法規制をいい、その制度は「内部統制報告制度」と呼ばれます。米国のサーベンス・オクスリー法（SOX法）と目的や構成が近似していることから、「日本版SOX法」「日本版SOX」「J-SOX」などと呼ばれています。

■制度概要

金融商品取引法は、投資者保護のための横断的法制の整備を目的として、証券取引法等の一部を改正する法律として、2006年6月7日に第164回通常国会で成立しました。日本版SOX法は、この一部であり、開示規制について行われる改正として、四半期報告制度の導入とともに、財務報告に係る内部統制の強化等に関する制度として導入され、2008年4月1日以降に開始する事業年度から適用されました。

日本版 SOX法においても米国同様、経営者による財務報告に係る内部統制の評価と報告、および公認会計士等による監査が義務づけられ、その基本的なアプローチは、金融庁の企業会計審議会により『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）』（2007年2月15日、以下、意見書）としてとりまとめられています。

意見書では、COSOの枠組み（「内部統制の統合的枠組み」）をベースとして作成された「内部統制の基本的枠組み」にもとづき内部統制を整理することが要求されています。

■日本版SOX法の特徴

日本版SOX法の特徴として、内部統制に係るフレームワークを日本独自のものとして再定義していること、企業に対する過度な負担を避けるためにさまざまな手当てが行われていることが挙げられます。

日本版 SOX法における内部統制の定義

意見書の中の基準では、内部統制を「基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング（監視活動）及びIT（情報技術）への対応の6つの基本的要素から構成される。」と定義しています。

COSOによる内部統制の枠組みに、目的として「資産の保全」、基本的要素として「ITへの対応」を追加し、それぞれ、「資産の保全とは、資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ることをいう。」、「ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。」と定義されています。

■負担軽減のために行われた手当て

日本版SOX法では、企業の負担を軽減するために、（1）トップダウン型のリスクアプローチの活用、（2）内部統制の不備の区分、（3）ダイレクトレポーティングの不採用、（4）内部統制監査と財務諸表監査の一体的実施、（5）内部統制監査報告書と財務諸表監査報告書の一体的作成、（6）監査人と監査役・内部監査人との連携の手当てが行われています。

このうち、特徴的なものについて以下に述べます。

（1）トップダウン型のリスクアプローチの活用

財務報告に係る重大な虚偽表示につながるリスクに着眼し、必要な範囲で業務プロセスに係る内部統制を評価し、財務報告への影響の限定されている取引などに関連する内部統制評価を割愛できることとされています。

例えば、連結財務諸表全体の観点から、勘定残高、取引高などが少ない勘定科目については重大な虚偽表示（財務諸表を誤って公表することを指す）が発生する可能性が少ないため、内部統制評価を割愛する、あるいは全社的な内部統制を評価することにより、企業集団としての財務報告を誤るリスクの大きさを評価することにより、内部統制の評価範囲を絞り込むことが想定されています。

実務上は、リスクの程度はその時々の状況で変化するため、財務報告の虚偽表示リスクに応じた評価範囲の絞込みを効果的に行うには、企業グループの内部に、適時適切なリスク評価実施のためのプロセスが構築されていることが必要です。ただし、このような全社的な内部統制が、明確に定義・運用され、モニタリングまで行われている例は日本企業では多くありません。実務上、トップダウン型のリスクアプローチを適用するには、多くの課題があるといえます。

（2）ダイレクトレポーティングの不採用

ダイレクトレポーティング（直接報告業務）とは、米国SOX法で採用されている公認会計士等の監査人が内部統制の適正性に関する証拠を直接入手し、評価を行う監査意見の形成方法をいいます。監査人は企業の個々の統制について自ら運用テストを行います。

これに対して、日本版SOX法では、公認会計士等の監査人は、内部統制の有効性評価の目的では個々の統制に対しての運用テストを行わず、経営者が実施した内部統制の評価の妥当性を吟味した上で監査意見を表明することが想定されていました。しかし、実務上は「監査人自らが入手した監査証拠に基づいて判断した結果を意見として表明」するため、相当程度の監査人による運用テストが実施されることになると考えられます。

（3）監査人と監査役・内部監査人との連携

公認会計士等の監査人は、監査役などの監視部門と適切に連携し、内部監査人の業務等会社の内部統制に関する評価作業に依存して自己の監査意見を形成することとされました。

内部統制の目的として意見書で追加されている「資産の保全」については、会社法上、監査役などに与えられている「財産調査権」が想定されており、監査役等企業を監督する立場の会社の機関に対する期待が織り込まれています。

日本版SOX法制度の詳細は、意見書の他、内閣府令第62号「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令」（2007年8月10日）やその取扱いに関する留意事項（内部統制府令ガイドライン、2007年10月）、金融庁総務企画局「内部統制報告制度に関するQ&A」（2007年10月1日）、日本公認会計士協会監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」（2007年10月24日）などにより規定されています。