最近、ITセミナーで頻繁に取り上げられるようにもなりましたが、日本版SOX法は証券取引法の改正案として検討されている法律です。SOX法は、2002年に米国で制定された法律で、正しくはサーベンス・オックスリー（Sarbanes-Oxley）法といいます。日本版SOX法はこの法律の日本版となります。

SOX法の制定は、エンロンやワールドコムなど大企業の粉飾決算事件により、証券市場が著しく混乱したことが発端です。資本主義社会では、証券市場が崩れることは、その国の経済が崩れることにつながります。再発を防ぎ、経済を守るため、同法では企業に対して財務情報の透明性と正確性を厳しく要求し、粉飾決算や会計のミスを防ぐ内部統制を義務付けています。経営者個人による財務諸表への署名、経営者による評価報告や、公認会計士など第三者の監査を受けることなどが必要とされております。

日本でも、米国と同様に粉飾決算事件で証券市場や経済が脅かされたため、日本版SOX法の制定が必要視されるようになりました。2005年の7月に草案が発表され、12月に基準案が発表、現在、国会で審議が行われています。2006年3月に、閣議決定され、当初2007年4月(2008年３月期決算)から適用と見込まれていましたが、1年延びて2008年４月（2009年4月期決算）適用になるものと思われます。あと約2年の猶予期間が与えられていることになりますが、この2年という期間は決して十分な期間とは言えません。また、日本版SOX法は、証券取引法の改正と合わせて「金融商品取引法」に盛り込まれることになりました。今回は、日本版SOX法の名称を使ってお話させていただきます。

• 草案
• 基準案

米国のSOX法では上場企業すべてが対象とされています。しかし日本ではまだ審議中ということもあり、日本版SOX法の適用範囲はまだ決まっていません。上場企業のすべてを対象とするのか、もしくは規模や売上金額などの条件を付けて企業を限定するのかは、わからないのが現状です。米国でも、中小規模の上場企業には、SOX法の適用を一部免除したり、対象外にするべきだという議論が始まっており、日本版SOX法では、それらの動向を加味した内容になるはずです。

内部統制の範囲は、連結ベースが基本です。したがって、関係が深い子会社や関連会社、あるいは取引額の大きい取引先の企業でも上場・非上場を問わず日本版SOX法で求める内部統制の範囲に含まれることになります。また、海外支社や生産拠点の場合、当然現地の会社との取引はありますので、同国のSOX法の対象ともなるでしょう。このように、非上場会社であっても、日本版SOX法は無視できない存在であると思います。

各企業が日本版SOX法へ対応しているかどうかを認定するしくみについては、まだ無いように思います。内部統制の範囲は非常に広いですし、環境や状況は各企業異なりますので全体を網羅した上での認定はなかなか難しいと思います。しかし、情報セキュリティマネジメントシステム（ISMS）適合性評価制度や、プライバシーマークを取得していれば、その部分は担保可能でしょう。日本版SOX法では、経営者自らが自己評価を行い対外的に公表することを求めています。

また、SOX法では監査人によるダイレクトレポーティングによる監査（監査人が独自に調査し意見を述べる）が求められていますが、日本版SOX法では、その企業の財務諸表を監査してきた公認会計士等が内部統制監査を行い、経営者による内部統制評価報告書に対してのみ監査を行うことにしています。いわば身内といえば身内ですので、どこまで第三者の目で監査が行えるかには疑問が残ります。同企業の監査とは一切関係の無い外部監査人による、「完全な」外部監査が望ましいと思いますが、コスト面、作業負荷の面から実効性を高めるために財務諸表監査と内部統制監査を同一人物が行うようにしているのです。

日本版SOX法では、企業の経営トップが作成する「内部統制報告書」を偽った場合は、経営者に5年以下の懲役もしくは500万円以下の罰金、または両方の罰則。また、法人には5億円以下の罰金が制定されることになりそうです。さらに、内部統制報告書の虚偽によって株主が被った損害に対し、企業が賠償責任を負うことも明記され、非常に厳しい罰則となります。しかし、これらは虚偽記載に関する罰則です。内部統制の評価と監査の中身については、罰則は規定されていません。内部統制の評価と監査の内容は、対外的に公開されますので、この内容が悪ければ、投資家、アナリスト等の投資判断材料となり、株価の下落や資金が集まりにくくなるということが大きな痛手になるでしょう。

日本版SOX法と米国のSOX法の違いについて説明しましょう。日本版SOX法のほとんどは米国のSOX法を踏襲しています。米国のSOX法は、1992年に米国のトレッドウェイ委員会組織委員会（COSO）が内部統制に関する考え方をまとめた、COSOフレームワークという枠組みがベースとなっています。COSOフレームワークは5つの構成要素と3つの目的によって成り立っていますが、日本版SOX法では、さらに構成要素に「ITへの対応」、目的に「資産の保全」が加えられています。COSOフレームワークでも、ITの活用は基本的要素で語られているのですが、日本ではこれをはっきりと明示したことが異なっています。ITへの対応は、独立した1つの構成要素と表現されていますが、他の5つの構成要素の有効性を確保することを助けると考えられています。

なぜITの活用が内部統制につながるのかについて考えてみたいと思います。手作業で伝票を起票している場合、間違って数字にゼロを1つ余計に入れてしまうことがあります。もちろん、間違いの無いように電卓などで検算するのですが、この検算が合っているかどうかを第三者に証明するのは困難です。検算した人を信じるしかないわけです。しかし、表計算ソフトを使っている場合、ボタンを押すだけで合計金額が算出されます。この計算が合っているか、わざわざ検算する方はいないでしょう。正確にチェックを行えることがITの力なのです。

ITを利用するメリットとして、ほかにはマスターの利用があげられます。手作業の場合、たとえばAという商品を買ったときに、伝票に単価までを手書きします。そこで故意に数字を変えることもできますが、ITを利用すれば、Aという商品であれば単価も自動的に入力できます。データの確からしさを高めることになります。また、ログを簡単に取ることや、アクセス権を指定することもできます。誰がいつ伝票を起票したかをトレースでき、資格の無い社員にデータを盗み見される心配もありません。正しくITを使えば企業のセキュリティを高めることもできるのです。

日本版SOX法では、業務のすべてにおいてITの活用を義務付けているわけではありません。どの部分をIT化すべきかについては、各企業に委ねられています。しかしながら、本来の業務とは異なる部分へのIT投資は、企業にとって大きな負担となります。後編では、日本版SOX法に企業がどのように対応すべきか、そしてITをどのように対応させていくべきかについて、解説したいと思います。

(2006年3月20日掲載)

• ※ 掲載日以降、最新情報ではない場合があります。あらかじめご了承ください。