会計税務情報2008年2月号
永野森田会計士事務所

幕開けを迎えるJ-SOX対応

いよいよJ-SOX法の適用である。金融商品取引法の内部統制報告制度（通称、J-SOX法あるいは日本版SOX法）は、2008年4月以降に始まる事業年度から正式に適用されるため、多くの日本企業（本社）では、その準備を急ピッチに進めている。米国進出日系企業においても、急にある日、日本本社のJ-SOXチームから文書化の指示が届き、その対応に困惑している所も珍しくはない。今月は、その本番直前を迎えるJ-SOX法対応の現状と課題について纏めてみた。

1.　J-SOX法とは

米国SOX法(Sarbanes-Oxley Act)にならい、日本の公開企業においても内部統制の評価・報告並びに内部統制監査を義務付けるものである。

2.　評価対象範囲は

2007年2月に金融庁の企業会計審議会が公表した「実施基準」においては、経営者は社内の内部統制を評価する対象として、連結売上高の3分の2を目安とした。したがって、「売上高の3分の2」に相当する重要な拠点や子会社を対象として、内部統制におけるリスク評価をすれば良いことにはなっているものの、残りの3分の1については単純に対象から除外しても良いのかどうか、明確にされていないのである。最終的には内部統制監査人との相談の上で判断されるのが現状となっている。

3.　何を準備すべきか

会社では2つのレベルでの対応が要求される。まず「全社レベル」の評価では、基本的にマネジメントに対するヒアリングを行い、これは上記の「売上高3分の2」範囲に入るか否か関係なく、すべての拠点や子会社は行わなければならないことになる。次に「業務プロセス」の評価では、上記範囲対象等と本社側が判断した場合、個別の業務フローを細かくリスク評価しなければならない。この点、業務記述書、Flow Chart、Risk Control Matrixのいわゆる3点セットと呼ばれる文書を作成し、その後にテストを行うことによりリスクを評価するのである。

4.　リスクとは

ここで言われる「リスク」とは、財務諸表上の過ちを行うリスクである。つまり、リスクを明確化し、発見することがこの作業の最大のポイントになるものの、具体的な業務プロセスに文書化するにあたり、何がリスクであり何がリスクではないのかは担当者の判断に任されている。したがって、当面は担当者間での差が生じてくるのもやむを得ないと言われている。

5.　現状と課題

多くの日本の上場企業においては、2008年4月からJ-SOX法での本番運用が開始されることになる。このため、3月末期の会社としては、2008年3月までに文書化作業を完了させるべく、本社ならびに重要拠点・子会社での作業を急ピッチに進めている筈である。

課題としては、文書化を進めるにあたり、業務プロセスレベルの評価で現実とのギャップに気づき修正を加えたり、リスクの定義を再検討したり、また進行する2008年4月以降の事業年度において業務自体に変化が起こり、さらに文書に反映させなければならないなど、企業側としては予測不可能なことが沢山あると言わざるを得ない初年度となる。したがって、多くの日本企業にとっては試行錯誤の年となり、そうした状態で最初の内部統制報告書をまとめることになろう。

更新日: 2008年02月10日