内部統制の有効性を自己評価するとは一体何をするのかということですが、まずやらなくてはいけないことは評価範囲を決めることです。財務報告に係る内部統制のすべてを文書化するということは、当然コストもかかりますし不可能なことです。そこで、重要な事業拠点を決めたりして、まず全社的な内部統制を評価し、その結果によって評価の対象を限定します。ただし、決算・財務報告プロセスについては、すべての事業拠点で評価しなくてはなりません。そして、選定した事業拠点における重要な業務プロセスに係る内部統制を評価します。これ以外にもリスクがある重要な財務諸表項目に至るプロセスについても評価対象とします。評価したら、それを経営者が全体として有効かどうかというのを判断します。そして、内部統制報告書を作成します。こういうような枠組みになっています。 　ここで、どうやって文書化するかということで申し上げると、基本的に文書化するのは全社的な内部統制の部分と、業務プロセスに係る内部統制となります。ですから、全社的な内部統制と業務プロセスに係る内部統制を評価したら、結果として先ほどの図－３のキュービックの財務報告の縦割りの部分が文書化されたことになります。くり返しになりますが、対象はいわゆるキュービックの財務報告の部分です。 　では、具体的に全社的な内部統制とは何か、業務プロセスに係る内部統制とは何か。 　先ほど全社レベルの統制と業務プロセスレベルと二種類の文書化を行うと申しましたけれども、この二つの関係がどうなるかというと、業務レベルの統制というのは、たとえば販売担当の方が実際に受注が来て商品を出荷して、出荷したものを売り上げに計上するためにシステムに入力を行った後、結果が正しいかどうかを確認するなど、各職場で通常的に行われている財務報告に影響を与える業務活動です。これがコアの部分です。そして、この業務プロセスレベルの内部統制に影響を与えるものとして考えるのが全社レベル統制です。全社レベル統制というのは何かというと、大きく分けて二つあります。一つはその名のとおり組織風土などに係る全社的な内部統制、もう一つはＩＴに係る全般統制です。ＩＴに係る部分というのはＩＴの進展状況を考慮して、全社的な内部統制とは性質が違うということで、二つに分けています。 　全社レベル統制は、先ほどのＣＯＳＯでいうと統制環境－－先ほど売り上げについてご説明しましたけれども、統制環境は全社レベル統制の主要な構成要素であると考えて、財務報告全体に影響を及ぼす全社的な内部統制のことを申し上げました。具体的には経営理念、行動憲章、それから全社レベルの予算管理、それから社内諸規程とか運用マニュアルです。全社レベルでそういう規程をつくって遵守する体制とか、内部通報制度なども含まれます。何か不正に気づいたときに、直接上司ではなくて、例えば外部の顧問弁護士さんへ報告できるかどうか。これも全社レベルの内部統制となるのです。これらの内部統制が、業務レベルの統制にも影響を与えています。最終的にこの三つは全部、財務報告に係る内部統制を構成しますので、基本的にこれを全部やらなければいけませんという理屈になります。 　ＩＴに係る全般統制は何かと申しますと、図－６の右下にちょっと書いていますけれども、ソフトウェア開発とか、その変更とか運用の管理、あとセキュリティーがどうなっているか。新しくシステムをつくろうとしたときに、その企画の段階からちゃんと統制がとれたような体制になっているかどうか。それから、既存の情報システムの維持管理がきっちりなされているかどうか。それから、保守及び運用がちゃんとユーザーに－－ユーザーから「ちょっとこれ、おかしいよ」という報告があったときに、適宜対応できているかどうか。それからセキュリティーです。セキュリティーというのは、だれもがアクセスできるような形になっていてはいけません。例えば部署を替わっても、前の部署の売り上げがそのまま入力できてしまったりすると、財務諸表が間違ってしまうかもしれません。だから、必ずそこはパスワードで管理をして、決められた人間しか入力できないといった管理といったものがＩＴに係る全般統制です。いわゆるここの業務処理統制に影響を与える部分です。 　あと、コアになる業務処理統制というのは、先ほど申し上げましたけれども、例えば職務分掌です。請求書を発行する部署と入金部署を分けている。取引の承認体制がしっかりできているかどうか。例えば一〇〇万円以上の取引については、部長にしか実行する権限が与えられていない。部長の承認がないと、その取引を実行することができないシステムになっている。そういう承認体制です。それから、財務会計システムの入力の確認をどうやっているか。例えば売り上げを一〇〇円計上します。一〇〇円入力したものが、ちゃんと一〇〇円の売り上げとして計上されているか。それを確認するコントロールがあるかないかです。 　それから、担当部門の予算実績の差異分析ということで、当初見込まれた予算に対して実績はどうか。これは全社レベルの統制ではなくて、各部門ごとのものです。例えばＡ事業部の当月の予算に対して、実績が未達だったとして、でも、これはこうこうこういう理由で差異が分析されるので、正しいんだと。そういう予算と実績の差異分析が行われているか。こういった統制を文書化していくというのが、日本版ＳＯＸ法の具体的な実務ということになります。