(1)経営者による内部統制評価
JSOXにおける内部統制評価は誰が行うことが制度として予定されているでしょうか。それは経営者です。内部統制基準には「経営者は、有効な内部統制の整備及び運用の責任を負う者として、財務報告に係る内部統制を評価しなければなりません。」と記載され、内部統制の評価を経営者が実施することが記載されています。
そして、その評価方法は親会社だけでなく、連結ベースで実施することが明記され、「財務報告全体に重要な影響を及ぼす内部統制(「全社的な内部統制」という。)の評価を行い、その結果を踏まえて、業務プロセスに組み込まれ一体となって遂行される内部統制(「業務プロセスに係る内部統制」という。)を評価しなければならない」と評価の手順が記載されています。これは、前回記載しました評価範囲の論点です。
経営者による内部統制評価は、「期末日を評価時点として行うものとする」とされていますので、期中に何らかのエラーが検出された場合も期末までに改善が確認できれば評価時点としては問題なしとなります。この点、詳細は後述します。
内部統制基準においては、注意書きとして、「企業において具体的にどのような内部統制を整備及び運用するかは、個々の企業の置かれた環境や事業の特性等によって様々である。経営者は、内部統制の枠組み及び評価の基準を踏まえて、それぞれの企業の状況等に応じて自ら適切に内部統制を整備及び運用するものとする。」と記載されています。これはJSOXが画一的に実施されるものでなく個社の状況に応じて一定の幅が認められる制度であることを表現するものとなっています。
(2)全社的な内部統制の評価
全社的な内部統制の評価箇所には、「経営者は、全社的な内部統制の整備及び運用状況、並びに、その状況が業務プロセスに係る内部統制に及ぼす影響の程度を評価する。」という記載があります。これは前回記載させて頂いた、「評価範囲」の決定の論点です。
内部統制評価は「全社的な内部統制の評価」を行い、次に、決算・財務報告プロセス以外の業務プロセスの評価範囲について「重要な拠点」の選定を行い、最後に重要な拠点に対して評価対象とする「業務プロセス」を決定するという手順で進めます。上述の記載はこの手順を説明するものとなっています。
また内部統制基準においては、「経営者は、組織の内外で発生するリスク等を十分に評価するとともに、財務報告全体に重要な影響を及ぼす事項を十分に検討する。例えば、全社的な会計方針及び財務方針、組織の構築及び運用等に関する経営判断、経営レベルにおける意思決定のプロセス等がこれに該当する。」との記載があります。これは成果物となるSOX文書を、「文章で表現するとこのようになる」と理解して頂くと良いかと思います。成果物となるSOX文書を見て頂くと記載の意味を理解することができますので、現時点ではあまり気にされなくて大丈夫です。
