セキュリティ対策コラム日本版SOX法（金融商品取引法）が成立

証券取引法を抜本改正する「金融商品取引法（いわゆる投資サービス法）」が第164回国会に提出され、 2006年6月7日に成立した。法案では「有価証券報告書を提出しなければならない会社のうち、 金融商品取引所に上場している有価証券の発行者である会社、その他の政令で定めるものは、事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類、その他の情報の適正性を確保するために必要な体制について評価した報告書（内部統制報告書）を有価証券報告書と併せて提出しなければならないとしている。

（1）フレームワーク

日本版SOX法もCOSOフレームワークに準拠しているが、目的には「資産保全」、基本的要素には「ITへの対応」が特に加わえられている。

内部統制は、基本的に4つの目的（①業務の有効性及び効率性、②財務報告の信頼性、③事業活動に関わる法令等の遵守、④資産の保全）の達成のために、企業内の全てのものによって遂行されるプロセスであり、6つの管理項目である基本的要素（①統制環境、②リスクの評価、③統制活動、④情報と伝達、⑤監視活動、⑥ITへの対応）から構成されるとしている。

目的に「資産保全」を加えたのは、我が国において、資産の取得、使用及び処分が正当な手続き及び承認のもとに行われることが重要であることから、独立させて1つの目的として明示している。 また、内部統制の基本的要素に関しても、COSO報告書公表後のIT環境の飛躍的進展により、ITが組織に浸透した現状に即して「ITへの対応」を基本的要素の1つに加えたとしている。

（2）負荷軽減方策

米国におけるSOX法対応状況や日本における事情を勘案し、具体的な「監査」手続き等の内容については、監査人のみならず、財務諸表作成者その他の関係者にとって過度の負担にならないように以下に示すように、いくつかの方策を示している。

1. トップダウン型のリスク・アプローチの活用して、重要なリスクに絞って対策（コントロール）を考えていく。
2. 内部統制の不備の区分財務報告に与える影響に応じ「重要な欠陥」 と「不備」との2つに区分（米国SOX法では3つに分類）
3. ダイレクト・レポーティングの不採用：経営者が評価を行った全社的な評価及び全社的な評価に基づく業務プロセスに係わる内部統制の評価について直接的な監査ではなく、検証することとしている。
4. 内部統制監査と財務諸表監査の一体的実施
5. 内部統制監査報告書と財務諸表監査報告書の一体的作成、及び
6. 監査人と監査役・内部監査人との連携：経営者による財務報告に係わる内部統制の有効性の評価は、公認会計士等により内部統制監査と財務諸表監査が一体となって行う。そのため内部統制監査は、当該企業の財務諸表監査に係わる監査人と同一の監査人が実施することとしている。