日本版SOX法の実施基準とその概要

　「財務報告にかかる内部統制の評価および監査に関する実施基準（公開草案）」とは、内部統制報告書の提出・監査などを規定した「金融商品取引法（通称：日本版SOX法）」における実務指針（ガイドライン）となる。2006年6月に成立した金融商品取引法では、

1.不正を防ぐ社内管理体制の整備すること
2.管理体制を評価（点検）すること
3.評価結果を「内部統制報告書」にまとめて公表すること
4.報告書を監査法人に提出し、監査をうけること
5.監査結果をまとめた「内部統制監査報告書」を決算時に公表すること

という新たな報告義務が2008年4月以降、約3,800社の上場企業に対して課されることが決められている。

　実施基準の公開に当たっては、経営者がどのような基準で自社の「内部統制報告書」を記載するのか、その手順や評価の範囲などが具体的な数字を伴って公開されるかが焦点となっていた。

　草案の基となる原案自体は、内部統制部会の資料として11月8日に公開しており、今回の正式公開草案もⅠ.内部統制の基本的枠組み、Ⅱ.財務報告に係る内部統制の評価及び報告、Ⅲ.財務報告に係る内部統制の監査の3パートで構成される体裁をそのまま踏襲している。

　細部にわたり評価の対象としなければならないのかといった点については、公開草案でも評価の対象となる範囲を、連結ベースの売上高が一定の割合に達する事業拠点単位で考え、「売上高の一定割合、おおむね2/3程度」に達する場合は、内部統制の評価範囲とできるのではないかという“目安”を示すにとどまった。

　また「内部統制の不備」による重要な欠陥は、金額か質かで判断するべきとし、看過できず期末までに是正できない場合は、その理由とともに公表することを経営者に課している。ただし、判断基準となる金額については税引き前利益の5％以上の変動を例示し、質についても投資判断・財務諸表に与える影響などを考慮するとして一定の幅を持たせた。



　ITを用いた内部統制において、どのような評価（点検）を実施するべきかは専門用語などを用いずに言及。IT全般統制については次の点が有効に整備されているかを評価するべきとし、

・ITの開発、保守
・システムの運用・管理
・内外からのアクセス管理などのシステムの安全性の確保
・外部委託に関する契約の確認


　業務処理統制については

・入力情報の完全性、正確性、正当性などが確保されているか
・エラーデータの修正と再処理の機能が確保されているか
・マスタ・データの正確性が確保されているか
・システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか

といった点を評価する必要があるとした。

　そのほか、ITを利用した内部統制の評価は、原則毎期実施を課すなど、ITによる一貫したフレームワークを構築することが望ましいとしている。

　今回発表となった公開草案をはじめ日本版SOX法の実施基準は、米国のSOX法に比べ産業界の負担を考慮した内容となっている。ITの専門用語を避け、経営者でも読みやすい内容となっているのでぜひ一度原文を読んでみてはいかがだろうか。