• 事業会社
  • 時事ニュース
2019/06/22

第3回:会社法とJ-SOX(2)-J-SOXの定める内部統制-

1.金融商品取引法とJ-SOX

J-SOX法適用

J-SOX(日本版SOX法)という名称の法律はありません。J-SOXとは、金融商品取引法の中で、企業に対し財務報告に係る内部統制を義務付けた規定を指します。
金融商品取引法は、証券取引法が改正されたものであり、それまで株式や社債など個々の商品ごとに規制されていたものを、金融商品という形で一括りにした法律なのです。金融商品取引法は、227条からなる巨大な法律ですが、内部統制に関する記述、即ちJ-SOXに相当する部分は、僅か数条しかありません。(法律全体に占める内部統制に関する記述割合の低さという点では、会社法と相通じる所があるようです。)

では、J-SOXは金融商品取引法の中でどのような位置づけにあるのでしょうか。金融商品取引法の目的を記述した第一条を見てみましょう。

この法律は、企業内容等の開示の制度を整備するとともに、金融商品取引業を行う者に関し必要な事項を定め、金融商品取引所の適切な運営を確保すること等により、有価証券の発行及び金融商品等の取引等を公正にし、有価証券の流通を円滑にするほか、資本市場の機能の十全な発揮による金融商品等の公正な価格形成等を図り、もつて国民経済の健全な発展及び投資者の保護に資することを目的とする。

要は「国民経済の健全な発展及び投資者の保護」がこの法律の目的です。J-SOXの定める内部統制は「企業内容等の開示の制度を整備する」ことに当たり、これによって金融商品の公正な取引を実現させ、経済の発展と投資家の保護に寄与するもの、と考えることができるでしょう。

2.J-SOXの求めるところ

2006年2月に「財務報告に係る内部統制の評価及び監査に関する実施基準」(以後、実施基準)が確定しましたが、この頃からどの企業でも業務プロセスの文書化に追われるようになりました。あたかも文書化が目的化しているようですが、J-SOXのそもそもの目的は、次の2つになります。

(1)経営者が、自社の財務報告に関連する内部統制の有効性を評価すること
(2)経営者による評価が適正であるかについて、監査法人が監査すること

ここには、文書化という言葉はありません。では文書化は何故必要なのでしょう。それは、目的(2)に関連します。つまり、会社の外部にいる監査法人に監査してもらうためには、監査証拠が必要であり、それゆえ文書化をしておかねばならない、というロジックなのです。

J-SOXにおいて経営者が求められているのは、自社の内部統制に関する自己評価であり、文書化はあくまでもそれを実現させるための手段にすぎないという事をお忘れなく!

3.確認書と内部統制報告書

次に目的(2)に着目しましょう。J-SOXにおいて、経営者は自社の財務報告に関連する内部統制の有効性を評価することを求められていますが、具体的なアウトプットとして、経営者は確認書と内部統制報告書を提出しなければなりません。

確認書は、既に東京証券取引所に上場している企業には(法律ではなく、東証独自のルールとして)義務付けられていました。J-SOX即ち金融商品取引法では、これが全ての上場企業に拡大されたことになります。

確認書は、有価証券報告書(≒財務報告)の記載内容が適正であることを経営者自身が確認し、署名したものです。経営者自身が署名するため、有価証券報告書に虚偽記載があった場合に、その内容を知らなかったと抗弁することが困難になります。

確認書の虚偽記載自体には罰則はありませんが、確認書の虚偽記載とは、とりも直さず有価証券報告書の虚偽記載を意味するわけで、有価証券報告書虚偽記載罪の対象となります。この場合「10年以下の懲役もしくは1000万円以下の罰金」となります。

次に内部統制報告書ですが、これは経営者が正しい財務報告を作成するために、内部統制が整備され有効に機能しているかを評価し報告する文書です。そしてこの内部統制報告書は、監査法人の監査証明を受ける必要があります。
監査法人は、これまで有価証券報告書を監査して監査報告書を作成してきましたが、今後はこれに加え、 内部統制報告書も監査対象となり、内部統制監査報告書を作成することになる訳です。

内部統制報告書の不提出や虚偽記載については「5年以下の懲役もしくは500万円以下の罰金」が科されます。
ここで、報告書類がたくさんでてきましたので、以下に整理しておきましょう。

【有価証券報告書(財務報告)の適正について】

監査法人が作成:確認書
監査報告書:監査報告書

【財務報告に係る内部統制の有効性について】

監査法人が作成:内部統制報告書
監査報告書:内部統制監査報告書

J-SOXというのは、経営者と監査法人による4つのチェックを通し、有価証券報告書(≒財務報告)の信頼性を担保するシステムであるということです。

4.リスクアプローチ

J-SOXにおける文書化とは、業務プロセスをフローチャート化し、その中から財務報告に係るリスクを洗い出し、それらのリスクをどのようにコントロールするかを記述する作業です。

このように書くと非常に簡単なことと思われがちですが、文書化の作業をどのレベルまで行うべきかについて明確な基準を持たないと、際限のない作業になってしまいます。弊社のJ-SOX実務講座を受講いただいた大手総合商社の方から伺った話では、パイロットケースとしていくつかの部門に裁量権を与え文書化してもらい、それらをJ-SOXプロジェクトチームで統合しようとしたところ、収拾が付かなくなってしまったそうです。

実施基準では、トップダウン型のリスクアプローチという立場をとっています。これは、経営者が内部統制を評価するにあたって、何が重要で何が重要でないかを判断しメリハリをつけて行うべき、というものです。
では、どのようにして評価すべき業務プロセスを識別するのでしょうか。実施基準の条文を見てみましょう。

評価対象とする業務プロセスの識別

イ.重要な事業拠点における企業の事業目的に関わる業務プロセス

監査人は、重要な事業拠点について、売上、売掛金、棚卸資産など企業の事業目的に大きく関わる重要な勘定科目に至る業務プロセスが、「Ⅱ 財務報告に係る内部統制の評価及び報告」に照らして適切に評価対象とされているか確認する。
また、監査人は、経営者が、当該重要な事業拠点が行う事業との関連性が低く、財務報告に対する影響の重要性も僅少であるとして評価対象としなかった業務プロセスがある場合には、その適切性を確認する。

ロ.財務報告に重要な影響を及ぼす業務プロセス

監査人は、重要な事業拠点及びそれ以外の事業拠点において、財務報告に重要な影響を及ぼす業務プロセスがある場合に、それが「Ⅱ 財務報告に係る内部統制の評価及び報告」に照らして適切に追加的な評価対象とされているか確認する。

わかりにくい文章ですが、要は「重要な事業拠点では全部、それ以外のところでも重要なものは落とさずに評価しなさい」ということです。

まず、重要な事業拠点の選定については「例えば、売上高等の指標を用いて、金額の高い拠点から合算し、全体の概ね3分の2程度に達するまで」とされています。

次に、重要なものに関する判断基準ですが、ここが明示されていないことが問題です。何が重要で何が重要でないかが明確でないため、経営者はメリハリをつけたくても怖くてできず、また昨今様々な不祥事により損害賠償の懸念を抱える監査法人も保守的な監査にならざるを得ません。

この相乗効果により安全策としての網羅的な文書化が行われているというのが実態でして、リスクアプローチという手法がありながら、文書化の負担が一向に軽減しない原因となっています。

ここは、残念ながら実施基準の改善に期待するしかなさそうです。

5.会社法との対比においたJ-SOX

前回と今回の2回に渡って、会社法とJ-SOXの定める内部統制について説明をしてまいりました。

ここで以下に整理してみましょう。

【会社法】

内部統制の対象: 全部(財務報告と非財務報告)
経営者の義務:内部統制の基本方針を決定し、開示すること(内部統制のレベルについては問わないが、善管意義務による縛りあり)

【J-SOX(金融商品取引法の内部統制に関する規定)】
内部統制の対象:財務報告
経営者の義務:自社の財務報告に関連する内部統制の有効性を評価すること

 

この表で明らかなことは、J-SOXは、財務報告以外の内部統制についてはカバーしていない、ということです。これは会社にとって何を意味するでしょうか。
例えば、消費者金融業者による脅迫的取立といった事件が以前ありましたが、財務報告的には回収された金額が正確に帳簿上に反映されているという点で、全く問題がありません。

しかしながら、この種の違法行為は、会社の社会的信用を失墜させ、会社は売上と利益の低迷といった大損害を被りました。更に、その会社の株価暴落により株主に損害を与えたという意味で、訴訟を受けるといった事態にも直面しているのです。

このような財務報告に関連しないリスクがあることに、経営者は改めて注意する必要があります。非財務報告に関するリスクを挙げてみますと、昨今各分野で頻発している偽装問題、環境汚染の問題、情報漏えいの問題、社員に対するセクハラの問題、談合は価格カルテルの問題・・など財務報告に関連しないリスクは枚挙に暇がありません。

ここで、本シリーズの第一回の議論に立ち返ってみましょう。経営者は、会社を持続的に発展させるために、機会に挑戦するとともに、会社内外のリスクを管理する必要があります。しかしながら、J-SOXの規制している対象は、会社内のリスクにおける財務報告の信頼性に関わる部分に過ぎないのです。

J-SOXは法律対応なので真剣に取り組むべきですが、近視眼的な対応に追われていないでしょうか。J-SOXの求める財務報告に係る内部統制だけに関心を奪われ、法令遵守に係る内部統制を疎かにしていないでしょうか。
経営者は、リスク管理という大きな枠組みの中でJ-SOXを捉える必要があります。そうする事が、延いては会社の持続的発展、企業価値の向上に繋がると考えるべきです。

次回は、J-SOX対応プロジェクトの勘所について、述べさせていただきます。