2006年6月に成立した金融商品取引法の内部統制報告制度、いわゆるJ-SOX法が、2008年4月以降に始まる事業年度より適用されます。J-SOX法対応の実務ガイドラインである「実施基準」の公開が2007年2月まで遅れたこともあって、混乱した時期もありましたが、多くの企業が懸命に対応作業を進めていることでしょう。今回はJ-SOXの基本と最新情報をまとめました。

■2008年4月、いよいよ施行されるJ-SOX法

金融商品取引法の内部統制報告制度、いわゆるJ-SOX法が2008年4月以降に始まる事業年度より適用されます。2006年6月の成立から、対象となる企業は準備に追われてきたと思いますが、ここでJ-SOX法の基本をおさらいしてみましょう。J-SOX法は、企業などによる粉飾決算や有価証券報告書の虚偽記載などといったミスや不正を防ぐことを主な目的としたもので、米国のSOX法（Sarbanes-Oxley act）404条がベースになっています。

米SOX法は、経営者が中心となって大規模な粉飾決算を行っていた「エンロン事件」や、会計監査人までが粉飾決算に加担していた「ワールドコム事件」などがきっかけとなり、2002年7月に制定された法律です。主に企業会計や財務報告の透明性、正確性を高めることを目的として、上場会社会計監視審議会の設置や監査人の独立性、財務ディスクロージャーの拡張、内部統制の義務化、経営者による不正行為への罰則強化、内部告発者の保護などが規定されました。

日本でも、上場企業による不祥事が多発したことから、2006年5月に施行された「新会社法」に内部統制に関する内容が制定されています。一方、J-SOX法は、金融庁の企業会計審議会にある内部統制部会が公表した「財務報告に係る内部統制の評価及び監査の基準案」が基本方針となっています。

新会社法では、資本金5億円または負債200億円以上の「大会社」および「委員会設置会社」が対象となっており、1万社以上が業務全般で内部統制が必要になります。取締役会での決議内容を開示する義務はありますが、監査の義務はありません。一方J-SOX法では、上場会社など政令で定める企業を対象とし、その数は約3,700社といわれます。内部統制の対象は財務報告が中心で、監査、開示を義務付けています。

■J-SOX法への対応の流れ

J-SOX法は、米国などの「COSOフレームワーク」をベースに、日本独自の構成要素として「ITへの対応」と「資産保全」が追加されています。企業はこの「日本版COSOフレームワーク」を参照しながら、内部統制の整備、運用、評価、監査を行い、企業価値の向上を目指すことになります。「ITへの対応」では、ITにより内部統制を効率化することも求められ、データの収集と処理において網羅性や正確性、正当性、維持継続性に主眼を置いたコントロールをITによって行うこととしています。

企業はJ-SOX法に則り、「取締役会」が基本方針を定め、経営者の業務執行を監督し、「経営者」は基本方針に基づいて内部統制の整備、運用を行います。「従業員」は方針や手続きに従って日々の業務を行い、問題点などを報告。「監査役」あるいは「監査委員会」は、取締役会および経営者のチェックを行い、「内部監査人」は、内部統制の整備、運用状況をモニタリングし、改善策を提案していきます。このように、社員全員で内部統制に取り組むことが推奨されているのです。

J-SOX法適用までの流れは、2006年6月の成立後、11月には「実施基準公開草案」が提示され、パブリックコメントを募った上で2007年2月に実施基準が確定しました。2007年10月には「内部統制報告制度に関するQ＆A」が公開されています。2008年4月の制度適用に合わせ、対象企業は「範囲定義」→「文書化」→「整備評価」→「運用評価」→「報告」というフェーズをこなしていく必要があります。

制度適用まで1ヶ月ほどとなった現在、多くの企業は「文書化」を完了しつつあると言われています。文書化は、3点セットと呼ばれる「業務フロー図」「業務記述書」「RCM」の3種類の文書を作成することを指しますが、実際には文書の修正による差し戻しが多く、企業は以降の工程である「整備評価」および「運用評価」をいかに充実した内容で効率的に取り組むかが課題となっているようです。

■内部統制報告書の提出が間に合わない場合は？

J-SOX法の対象となる企業は、2008年4月以降に始まる事業年度末までに「報告」のフェーズ、つまり「内部統制報告書」を提出しなければなりません。たとえば3月期決算の会社の場合は、2009年3月末までに報告書を提出するわけです。しかし、必ずしも期限までに内部統制を完全に有効にできるとは限りません。その場合は問題があることを明記した上で、報告書を提出することになります。

問題がある状態のことを、J-SOX法では「不備がある」または「重要な欠陥がある」の2種類に分けています。問題が軽微である場合は「不備」、重大な場合は「重要な欠陥」となります。「不備」があった場合でも、経営者は「内部統制が有効である」と判断することは可能です。ただし、不備が多い場合には、財務諸表に与える金額的な重要性を考慮し、「本当に内部統制が有効に機能しているか」を判断することになります。

一方、「重要な欠陥」があった場合、経営者は「内部統制が有効である」と判断することはできません。経営者は、内部統制報告書で「当社の内部統制は有効でないため、財務報告が適正であると保証することはできない」という旨の記述をする必要があります。外部監査人は、経営者の判断が適正であるかどうかを監査します。なお、重要な欠陥に対する是正措置を期末日後に行う場合は、その旨を記載することで外部監査人は措置の妥当性を検討します。

内部統制報告書で、経営者が「内部統制が有効でない」と判断し、外部監査人が「経営者の判断が正しい」と認めても、経営者などに罰則はありません。しかし、経営者が「内部統制が有効でない」と表明するわけですから、株価の低下や株主代表訴訟の対象となるといった可能性があります。また、内部統制が有効でないのに経営者が「有効である」と表明することは虚偽表示にあたり、経営者など財務報告の作成の責任者に対して「5年以下の懲役もしくは500万円以下の罰金、または両方の罰則を科す」と規定されています。