J-SOXは、2002年7月、米国で誕生したサーベンス・オクスリー法（通称、SOX法）と呼ばれる法規制をベースに制定されたものであることから、そう呼ばれるようになりました。米国のSOX法との相違点は、SOX法が企業にかける負担が大きかったことから、内部統制管理体制に関する種々の整備・運用改善対策が施されていることにあります。

では、そもそもなぜ米国にSOX法が誕生したのかと言いますと、2001年頃に起きたエンロン社の巨額粉飾事件がきっかけです。エンロン社の巨額粉飾事件とは、特定目的会社（SPC：Special Purpose Company）*1を使った簿外取引により架空の利益を計上し続け、その不正が発覚し、160億ドル以上とも言われる負債総額を抱えて倒産した事件です。これにより、多くのステークホルダーが多額の損失を被り、事件に関与していた大手監査法人もエンロン社同様解散に追い込まれました。この後、他の有力企業の不正会計も明るみに出できました。この状態を放置しておけば株式市場の信頼が失われ、誰も株を買わなく（投資をしなく）なってしまいます。これらを防ぐため、SOX法が制定されたのです。

＊1：特定目的会社(SPC：Special Purpose Company)とは、企業が資産の流動化や証券化などの目的のため設立する会社である。例えば、企業が特別目的会社を設立し、保有する債権等を特別目的会社に譲渡することで資産を企業本体から切り離し財務体質改善を図るとともに、特別目的会社は、譲渡された債権を証券化して機関投資家や個人投資家から資金調達する。

J-SOXと類似するものとして、会社法内部統制というものがあります。会社法内部統制とは2006年5月に施行された法律を指します。会社法内部統制では、その中で、内部統制構築を義務付けています。J-SOX（内部統制報告制度）との違いは何でしょうか。

1つには、前段で述べましたように統制の目的・対象範囲が異なります。以下に主な相違点を示します。したがって、具体的な取組内容そのものも異なってきます。

 

表１．金融商品取引法と会社法おける内部統制の主な相違点

2つには、法の対象範囲が異なります。J-SOXの対象は、上場企業です。それに対し、会社法内部統制は、会社法で規定される大会社（資本金5億円以上、または負債総額200億円以上の企業）における、業務全般のコンプライアンス確保を対象にした法律です。

J-SOXが財務報告の信頼性を担保するための仕組みであるのに対し、ERMは事業目的達成のため、企業経営全般を管理するような仕組みです。前者はどうやって不正や誤りが起きないかにコントロールの重きが置かれるのに対し、後者は、事業目的達成に係るリスクをどうやって可能なかぎり排除するかに重きが置かれます。

J-SOXに対応するために組織に導入する評価手続きは、主として以下のような流れになります。

1. 全社的な内部統制の有効性の評価及び判断
2. 業務プロセスに係る内部統制（以下のプロセスに分割）の有効性の評価及び判断
   イ.　決算・財務報告プロセス
   ロ.　その他の業務プロセス

全社的な内部統制

全社的内部統制の有効性の評価は、一般的には「財務報告に係る内部統制の評価及び監査の実施基準」の中で評価項目として例示されている42項目に関し、6つの基本的要素ごとに評価項目を列記したチェックリストにより行います。
有効性の判断は、以下の内容を判断基準とします。

1. 一般に公正妥当と認められる内部統制の枠組みに準拠して、整備及び運用されていること
2. 業務プロセスに係る内部統制の有効な整備及び運用を支援し、企業における内部統制全般を適切に構成している状態にあること

業務プロセスに係る内部統制

決算・財務報告プロセス

主として経理部門が担当する外部公表用の有価証券報告書を作成する一連の過程を指し、有効性の評価は以下の2つに分けます。

1. 全社的な観点で評価することが適切と考えられるものは、全社的な内部統制と同様にチェックリストを用いて、各業務区分で評価
2. 前記以外では、財務報告への影響を勘案して重要性の大きい業務プロセスを個別に評価対象に追加し、下記その他の業務プロセスと同様に評価

その他の業務プロセス

1. 業務プロセスの把握・整理
   • フローチャートや業務記述書の閲覧　等
2. 業務プロセスにおける虚偽記載の発生するリスクとこれを低減する統制の識別
   • フローチャート、業務記述書、リスクコントロールマトリックスの閲覧　等
3. 整備状況の有効性の評価
   • 関連文書の閲覧
   • 従業員等への質問及び観察　等
4. 運用状況の有効性の評価
   • 関連文書の閲覧
   • 当該内部統制に関係する適切な担当者への質問
   • 業務の観察
   • 内部統制の実施記録の検証
   • 各現場における内部統制の運用状況に関する自己点検の状況の検討結果閲覧　等
5. ITを利用した内部統制の評価
   • 業務システムや会計システムの信頼性　等

判断基準は以下のようになります。

1. 財務諸表の勘定科目、注記及び開示項目に虚偽記載が発生するリスクを合理的なレベルまで低減するものとなっているかどうか
2. 虚偽記載のリスクに対して内部統制が意図した通りに運用されているかどうか
3. 内部統制の不備が開示すべき重要な不備に該当するか否か

内部統制報告書は、前項の内部統制の有効性の評価及び判断をまとめたものです。内部統制報告書の様式は、「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令」の中で、以下に示す第一号様式として定められています。
 

金融商品取引法が成立してから約10年経緯しましたが、企業の不正会計や粉飾決算等は無くなっていません。直近では、東芝の巨額粉飾決算が発覚しています。このような事例を対岸の火事とはせずに、次のような観点に立ってもう一度自分たちの足元を見直す必要があると考えます。
米国の犯罪学者であるD.R.クレッシー（1919-1987）が提唱した「不正のトライアングル」理論では、不正行為は、①機会、②動機、③正当化という3つの不正リスク（「不正リスクの3要素」）がすべてそろった時に生起すると考えられていますので、不正を防止するためには以下の改善策が考えられます。

1. 職務権限の集中防止のための業務分掌見直しにより、機会を発生させない
2. 動機や正当化に対しては、「困っていることを職場で相談」することにより他の解決策を見出し、動機や正当化を未然に防止する

すなわち、こうしたJ-SOXのような仕組みに加えて、組織の健全化と個人の自律による組織風土の改善が重要と考えます。