J-SOX法（内部統制評価制度）のイロハ

Hagiyamaです。

今更かもしれませんが、内部統制についてお話しします。

日本の上場企業に日本版の内部統制評価制度（J-SOX法）が導入されたのは、今から十数年前の2006年４月のことです。

なぜSOX（ソックス）法と呼ぶかというと、米国の政治家Sarbanes（サーベンス）議員とOXley（オックスリー）議員が制定した制度のため、それぞれの名前の頭文字”S”と”OX”を取って名づけられました。

SOX法はエンロンやワールドコムと言った米国の大手企業が次々と会計不祥事を犯したということが、その制定の発端となっています（この詳細な解説はここでは省略します）。

内部統制は企業活動に無くてはならないものです。

たとえば「得意先に請求書を発行し、その入金期日にきちんと入金されているかどうかをチェックする」・・というのも内部統制です。

さらには、

• 「その入金を会計システムに伝票入力して伝票について上司の承認を得る」
• 「決算時に回収の遅れている債権がないかどうかを全体的にチェックする」

これらは企業では当たり前のように行われていることですが、これらも全て立派な内部統制です。

では、もし企業に内部統制がなかったとしたら・・・？

企業の経営者や従業員は不正や横領のし放題で、まともな企業活動が行われることはないでしょう。

たとえば、

①社内で誰も債権の入金のチェックをしていなかったとしたら？

　→横領しようと考えている人が得意先に連絡して別の企業（たとえば自分の個人会社）の口座に代金を振り込ませるということが可能

②もし回収の遅れている債権がないかどうかについて、誰もチェックしていなかったとしたら？

　→売上や利益をかさ上げするために架空の受注と請求書を発行することが可能（当然この債権は永久に入金されることはないが、誰もチェックしていないので誰も気が付かない）

従業員の横領や粉飾決算含む不正といったものが起きないように、内部統制は存在します。

私は内部統制の文書化コンサル業務をたまに行いますが、普段されている業務のヒアリングをしていく中で、従業員の方は意外なことに、「なんのためにこの業務をしているのか？」についてあまり理解されていない場面に出くわすことがあります。

「ルーティンで仕事でやらなきゃならないからやっているだけ」という考えだと、どうしても「何のために」という考えがなくなってしまいます。

「普段の業務のどこにどのようなリスクがあるか？」について考えることは、とても大切です。

J-SOX法では、どこにどうのようなリスクがあって、そのリスクが起きないためにどのような統制活動があるかについて、「企業活動の見える化」を行い全て文書化します。

これによって、文書を見れば誰にでもリスクと統制活動が明確になります。

話は少し変わり、上場企業にJ-SOX法が導入された2006年よりも前の話。

内部統制の評価は監査論でいうリスク・アプローチの考え方の元で、会計監査人が自ら企業の内部統制を評価し、業務フロー・業務記述書・RCM（いわゆる内部統制３点セット）を作成していました。

それがJ-SOX法の導入によって企業側が作成することになったわけですが、これが残した結果はどういうものでしょうか？

会計監査人にとって内部統制３点セットを作成しなくてよくなったという反面、内部統制を適切に評価できる監査人が以前よりも少なくなった感があります。

少なくとも2006年より前は内部統制の文書を監査人自ら作成していたのが、それ以降は企業側が作成した文書を単にチェックするだけになったため、文書の作成能力が落ちてしまうのは必至です。

公認会計士として、内部統制に関して改めて考えてみるのもいいかもしれません。