日本版SOX法の“神話”とは？：ビジネスシーンで気になる法律問題（1/3 ページ）

内部統制の理解を深めた新米セキュリティコンサルタントの瀬戸こはと。実際の文書化とIT支援システムによる支援作業に入る前に、高橋弁護士や藤丸会計士らと日本版SOX法について話し合う。

[情報ネットワーク法学会, 高橋郁夫，ITmedia]

あらすじ

　前回、内部統制についての話をカフェで交わしてから、新米セキュリティコンサルタントの瀬戸こはとと、その先輩の内田麻衣子は、クライアントとなった会社の業務状況への理解を深めた。今度は、いよいよ内部統制に関する文書化とITシステムによる統制支援の作業に入るところだ。

　そんなとき、高橋弁護士がIT統制に詳しい会計士を連れてきた。一行は、いつものカフェに集合する。

日本版SOX法って何？

高橋　こはとさん、内田さん、こんばんは。今日は、公認会計士の藤丸先生を紹介するよ。

こはと、内田　はじめまして

高橋　藤丸会計士は1990年代前半から自ら会計事務所のIT化を進めていて、現在、注目集めているIT統制についても詳しいんだ。もっとも、僕と話をすると90年代当時の懐かしいネットワークの話とかしかしないんだけれどね。

藤丸　ははは。よろしくお願いします。そういえば、2人は今、自動車部品の製造をする会社の内部統制の支援作業を始めたばかりだそうだね。

こはと　はい。そうはいっても、クライアントの会社の歴史、仕事の特質、業務プロセスの実態などを理解することから、始まったばかりです。

高橋　金融商品取引法での新しい報告書などの制度が、2008（平成20）年4月以後に開始する事業年度から適用されることになるね。それをきっかけに内部統制をきちんと考えるというところだね。

こはと　金融商品取引法？　新しい報告書制度？

内田　金融商品取引法というのは、従来、証券取引法といっていた法律を、幅広く金融商品一般に適用するために全面的に改正したのを契機に名称が変更されたものなの。新しい制度では「経営者確認書」「内部統制報告書」「監査報告書」といった新たな報告書の提出が義務付けられたわ。

金融商品取引法で提出を義務付けられた新たな報告書

経営者確認書

金融商品取引法第24条の4の2：当該有価証券報告書の記載内容が金融商品取引法令に基づき適正であることを確認した旨を記載した確認書（以下この条及び次条において「確認書」という。）を当該有価証券報告書（略）と併せて内閣総理大臣に提出しなければならない。

内部統制報告書

金融商品取引法24条の4の4：事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した報告書（以下「内部統制報告書」という。）を有価証券報告書（略）と併せて内閣総理大臣に提出しなければならない。

監査報告書

金融商品取引法193条の2：金融商品取引所に上場されている有価証券の発行会社その他の者で政令で定めるものが、第二十四条の四の四の規定に基づき提出する内部統制報告書には、その者と特別の利害関係のない公認会計士又は監査法人の監査証明を受けなければならない。

高橋　まず、前回の会社法を含めた内部統制一般の話からいくと、今回の金融商品取引法に関する議論は、原則として上場会社を対象にした内部統制の話ということになる。もっとも、その会社と取引している会社にとっても、その上場会社の統制の影響を受けることになるんだ。

　そして、メディアなどではこれらの報告書制度と、それらを実際に作成する基準（財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書））を総合的にまとめたときに日本版SOX法ともいっている。いわば、俗称なので何を日本版SOX法と呼ぶのかというのもはっきりしないのだけれどもね。

藤丸　いま話にでた意見書は、「財務報告に係る内部統制の評価および監査の基準」とそれらに関する実施基準から成り立っているんだ。この実施基準が、内部統制の評価と監査基準を実務に適用している上での実務上の指針ということになる。「内部統制の評価および監査の基準」は、1）内部統制の基本的枠組み、2）財務報告に係る内部統制の評価及び報告、3）財務報告に係る内部統制の監査――の3本柱で成り立っている。

こはと　1の内部統制の目的と基本的要素の話は、この前、高橋弁護士が健全な肉体を作ることにたとえてくださったあの話ですね（3月2日の記事参照）

藤丸　では1は省いて、2の評価と報告、3の監査について説明しよう。2は経営者が、内部統制の有効性を自ら評価しその結果を外部に向けて報告するための範囲・方法などが明示された。報告書の記載項目や整備運用などを示しているんだ。3の監査については、私たち公認会計士の仕事に密接に関わってくる。つまり、その企業の財務諸表を監査する監査人（公認会計士など）が、その内部統制の有効性を監査することによって内部統制のプロセスを担保する――とされており、監査基準にも触れている。

　これら実施基準については、実際の構築プロセスを記載している。例えば、経営者が財務報告の内部統制が有効であると判断するというのは、適切な枠組みに準拠して整備、運用されていて、重要な欠陥がないことだと定義されている。この「重要な欠陥」とは、虚偽記載が発生する可能性と影響の大きさから判断するとされているんだ。

内田　監査人は、どういう観点でその内部統制を監査するのですか。

藤丸　内部統制報告書で、経営者が「自分たちの内部統制システムには、重要な欠陥がない」と記載するとすれば、監査人は監査証拠を自ら取得して、その記載に合理的な根拠があるかどうかを判断していくことになる。この具体的な手法は、さきほどの意見書では、実施基準の最後の部分で解説されてもいるんだ。

こはと　この前、話に出た米国のSOX法をそのまま輸入したものに聞こえますね。企業実務に大きな影響を与える法律が、新たに日本でも成立したということですよね。

高橋　理屈からいくと、SOX法と関連する基準などが対応するということになるのかな。でも、私は、内部統制についての大きな影響を与える法律制度が、「新たに」「根本的な影響を与えるべく」日本版SOX法として成立したという論調は、賛成していないんだ。少なくとも学問的には正確ではないだろう。だから、そんな論調を“日本版SOX法の神話”と呼んでいるんだ。

こはと　日本版SOX法の神話？