ここでＣＯＳＯという言葉に若干触れておきます。ＣＯＳＯというのはアメリカのトレッドウェイ組織委員会、トレッドウェイという方が委員長としてまとめ、公表された内部統制のフレームワークに係るレポートがあり、その中で示されたフレームワークがＣＯＳＯフレームワークです。ＣＯＳＯフレームワークは、内部統制の目的として三つ挙げています。業務効率、財務報告の信頼性、法令遵守です。その目的を達成するためにどのような構成要素があるかということで、五つの構成要素をあげています。 　構成要素の具体的な説明は、平成一七年一二月、企業会計審議会が公表した「財務報告に係る内部統制の評価及び監査の基準案」（以下、「内部統制基準案」という）の中で、「内部統制の基本的要素とは、内部統制の目的を達成するために必要とされる内部統制の構成部分」とされ、六つの構成要素が示されています。日本版ＳＯＸ法への対応の基本的な考え方は、内部統制の目的を達成するため、これらの構成要素をしっかり構築し、これらを有効に実行していかなければならないということです。 　ＣＯＳＯフレームワークについて触れましたが、ＣＯＳＯフレームワークでは構成要素として「ＩＴへの対応」というのは入っていません。三つの目的と五つの構成要素である「ＣＯＳＯの内部統制のフレームワーク」を、日本的にアレンジしたのが「内部統制監査基準案」における内部統制モデルになります（図－２参照）。 　さて、何を文書化するのかということですが、文書化するのはこの図にあるボックス図の内部統制の目的の左から二つ目、財務報告の信頼性に係る部分です。財務報告の信頼性に係るこの縦の部分だけを抜き出して、文書化して評価しようというのが日本版ＳＯＸ法になります。ただ、財務報告の部分が直線になっていますけれども、その直線をきれいに抜き出せるかといったら、なかなかそれは抜き出せません。財務報告に関係する部分については法令遵守も関係することもありますし、業務効率が関係することもあります。また、資産の保全に係る部分も含まれますので、これらを含め、財務報告に関係する内部統制をすべて文書化しようということが「内部統制基準案」の内容になっています。 　六つの構成要素についてもう少し具体的内容をご説明します。「統制環境」というのは、組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるもの、具体的には経営者の意向とか姿勢、経営方針、行動理念、そういったものがあります。 　なぜこれが内部統制に影響するかというと、たとえば、ある会社の経営者は売り上げ予算を維持しようという姿勢が極めて強いとします。輸出部門の担当者が、国内で多少予算が足りなくなると、「今月はこれだけ足りない」という天の声がどこからか聞こえてきて部長をはじめ、管理職がその意をくんで今月は三国間で〇〇円売り上げてくれという結論になるようなケースがあるとすると、経営者の意向というのは、どうしても財務報告の信頼性に対して影響を与えるわけです。経営者が予算必達とか、状況も認識せず予算を押しつけたりするとか、その押しつけられた予算を達成することによって従業員を評価するとか、そういった組織になっていないかどうか。これがいわゆる統制環境です。このように統制環境は内部統制に対して非常に大きな影響を与えますので、これをしっかり整備して環境を整えましょうということです。 　二番目は「リスク評価と対応」です。企業はさまざまなリスクにさらされていますのでそのリスクをある程度分類し、それに対する対応を検討するということも非常に重要です。 　三番目は「情報と伝達」です。経営者から一般の従業員に向ける、上から下への情報伝達。それから、従業員が実態をちゃんと上に上げるかどうかという下から上への情報伝達。例えば適時開示をしっかり行うといった内から外への情報伝達。それから、外部の利害関係者から企業への情報伝達。さまざまな情報を企業が取捨選択し必要な情報をきちんと伝わる体制を確保しているかどうか、この部分が情報と伝達になります。 　四番目は「統制活動」です。これは経営者の命令及び指示が適切に実行されることを確保するための体制です。例えば職務権限がどうなっているか。権限をある職員に与えて、その権限を与えられた人が与えられてない人が行った取引をちゃんと承認しているとか、職員相互の牽制機能を働かせる活動が含まれます。後で説明しますが、基本的に統制活動の部分を文書化するというのが日本版ＳＯＸ法における内部統制評価のコアの部分になります。 　五番目は「モニタリング」です。内容は大きく分けて二つあり、一つは予算管理などの日常的モニタリングで、パフォーマンスのレビューもやって予算と実績の比較、分析をし業績を把握します。もう一つは独立的モニタリングであり、例えば社内的には利害関係のない内部監査室などがを監査を行い、その監査結果を経営者に報告する仕組みです。 　六番目の「ＩＴ（情報技術）への対応」は、ＩＴを前提としない情報処理は今の企業の中ではなかなかありませんので、ＩＴに対してきちんとセキュリティー管理をしているとか、プログラム開発をするときに手順が決まっているなどが主たる内容です。 　内部統制というのは、このような六つの構成要素をしっかり構築していきましょうということです。構築した内部統制のうち財務報告に関係する部分を切り抜いて、経営者が評価する。いわゆるこれが日本版ＳＯＸ法になります。会社は何を文書化しなくてはいけないかといえば、上述した内部統制のモデルのうち財務報告に関係する部分を抜き出して文書化して評価するということです。