「JSOX法における内部統制の監査」

　連載の最終回は、内部統制の監査について書きたいと思います。JSOX法では、上場企業の経営者は、適正で信頼できる財務報告を作るために必要な内部統制が有効であるかどうかセルフチェックし、内部統制報告書を提出して、外部の監査人によって監査を受けることが求められています。経営者が内部統制報告書で明らかにした財務報告に関する内部統制は有効であるかどうかを、外部の監査人の意見を通じてさらに述べられるということになります。

　この経営者が作った内部統制報告書を監査するのは、財務諸表の監査を担当している監査人と同じ監査人です。JSOX法では、会計監査と内部統制監査をいっしょに行うことが求められています。この監査人が会計監査を行う際には、その企業の内部統制がどの程度有効に機能しているかをチェックし、会計監査と内部統制監査を一体化して効率的に行います。会計監査と内部統制監査を同じ監査人が行うことで、各監査のプロセスで生まれる監査証拠を利用できるという利点があります。

　そして、監査人は、監査によって収集した証拠をもとに、経営者が作った内部統制報告書を吟味した内部統制監査報告書を作り、第三者的立場で意見を述べます。このとき、内部統制報告書の内容が適正であれば、無限定適正意見（内部統制報告書の内容は適正である）を表示します。もし、内部統制監査のプロセスで、監査人が内部統制の不備・欠陥を見つけたときは、経営者および担当者に報告して是正を求めます。その場合、監査人は、その是正結果を企業の取締役会や監査役に報告します。
米国のSOX法はダイレクト・レポーティングの手法
　JSOX法では、経営者による内部統制の評価を外部監査人がチェックするという手法ですが、米国のSOX法はこのような手法ではありません。米国では、外部の監査人が直接的に企業の内部統制の整備や運用を監査するという、ダイレクト・レポーティングの手法をとっています。この手法は、外部監査人が企業の内部統制の有効性について意見するため、企業の各業務プロセスまで吟味し、その業務プロセスの内部統制が有効に機能しているかを報告しなければならないので、莫大な時間とコストがかかってしまいます。米国方式をそのまま日本で導入した場合、うまく機能しないと思われるため、監査人や企業の負担を考慮して違う方法をとったのです。

　内部統制は、センター試験のようなもので、内部統制自体が企業の目的ではありません。内部統制の基本をおさえることで、どのような企業にすればよいかという目標が見えてきます。内部統制を成功させることで、顧客を失うリスクを避け、企業の最終目標に走っていかなければなりません。

　特にこの連載をお読みいただいたIT分野に関わる企業にとって、内部統制は、社内の管理だけではなく、社外の管理（外注管理）がとても重要な役割を占めます。企業は、形ある商品を売っていくだけではなく、内部統制をクリアした自社の企業品質を売りにしていく時代に突入しています。これからは、徹底した外注管理をした外部の内部統制の証明書を求められることになり、それがITベンダーの生き残りの道となっていくはずです。

　さあ、いよいよ2008年4月よりJSOX法が適用されます。アフターJSOXの時代こそ、企業にとって最も有意義な時代になるはずです。またそうならなければ、この内部統制の意味はまったくないものになってしまいます。連載は以上で終わりますが、内部統制に成功した（または、うまくいかなかった）企業の経営者、担当者の方の生の声を反映させた記事が、今後この紙面で書ければよいと考えております。半年間、おつきあいいただきありがとうございました。