古くはアメリカではエンロン、ワールドコム、日本におけるカネボウ、西武鉄道、UFJ等が粉飾決算をしたことで、アメリカでは２００２年制定、日本は２００８年４月以降の事業年度より適用された

結果、内部統制報告書の提出が義務付けられた
 

内部統制報告書とは、期末日時点における各社の内部統制の状況を報告する書類のことです。

　内部統制報告書は、2種類の文書で構成します。
1つは、経営者自身が自社の内部統制が有効に運用できているかどうかを評価する「経営者確認書」。
もう1つは、経営者確認書の適正性を監査法人の公認会計士など（外部監査人）が確認する「独立監査人の内部統制監査報告書」です。

 

J-SOX法の対象は、金融商品取引所に上場しているすべての企業です。また、財務報告は一般的に、自社の支配力が及ぶグループ会社などを含めた連結ベースで行われます。

J-SOX法の内部統制も同様に連結ベースで行われるため、本社・本店だけでなく、子会社・関連会社・在外子会社・外部委託先も制度の対象です。ただし、一部のケースでは内部統制が複雑化します。

J-SOX法の対象企業は、内部統制において、ITに関する対応も行わなければなりません。

これらは会計監査が行うが、ロジスティクス業務の範疇は会計士では理解できないだろうから、ロジスティクス専門家がすべき

内部統制報告書は会計士とロジスティクス専門家の共同作業にする

COSOは「the Committee of Sponsoring Organization of the Treadway Commission」

サプライチェーンの中にプライム企業（昔の一部上場）が、いる場合商品を供給するサプライヤーもSOX法の対象になる

サプライヤーのINからOUTまでを管理コントロールするロジスティクス企業は当然の如くSOXの対象になる

そのロジスティックス企業には、運送企業、倉庫企業、海運企業、航空企業、などの様々なオペレーションを担当するキャリア企業が多数いる
しかも多重構造の如く、１次請けから数次請け迄その数は、ロジスティクス企業すら把握していない

しかしそれでは、SOX法に不備とか、重要な欠陥と評価されたら決算書に是正報告をしなければなりません
もし仮に自社ではなく、サプライチェーンの取引先で重要な欠陥が発見されれば、同様に是正報告をしなければなりません

例えば、尼崎のUSBデータ盗難の事件について考えてみましょう
尼崎市は業務発注元
実際の契約企業はA社（尼崎市と契約、ただし再業務委託は申請承認後）
ところが実際の業務処理企業B社（再業務委託契約を申請していない）
実際の泥酔した人の企業C社　（同様に再業務委託契約していない）

もちろんこの場合、市民データをUSBに移して外部に持ちだしはコンプラアンス違反に相当する
持ち出した人には誰が教育すべきだったのか？
それは尼崎市役所職員から見たら、当然A社の人だと思っている
この場合、コンプライアンス教育は誰がするのか？
本当に教育されているのか？
教育を受け、コンプライアンス遵守をしているのか？
これを監査する事がロジスティクス統制になるはず

しかしこれはISOの内部監査でも指摘できる
ISOの認証取得を受けていない企業は、取引先がSOX監査を受ける時に同時に監査されることになる
もしそれも拒否するなら、認証取得が何もなければ取引できないと通告されても仕方ない
Gマーク制度を取得していますは、認証取得ではないので監査に当たらない

こんな風になるのではないか？

下記の項目は物流企業のロジスティクス監査で監査項目の例を掲載

 

企業はどこの業界、どの企業でも国際競争している
世界的に認証された取得がなければ、ただのオペ企業に過ぎない
サプライチェーンはカーボンニュートラルを義務付けられる、循環型社会形成を義務付けられる、そしてDXも同様に義務付けられる

これらの３つのテーマは過去にはなかった課題解決しなければならないテーマ
これが出来なければチェーンの中で仕事をすることが今後難しくなる
 

SOXもISOも①社内の業務手続が文書化されおり、②手続きに則っているかどうかが定期的にモニタリングされ、③モニタリング結果に基づき社内手続きの見直しが行われていること、が求められる。

それなら難易度から言えば、ロジスティックス監査の方が得意分野のハズ
まずはロジスティクス監査を受ける事で、事業計画に練り直しが出来る

それにどの監査でも、リスクに関する備えが必要になる

物流企業の資産である、車輛、倉庫、システム、人のリスクを段階別に層別してまずは、やれるところから始める
災害も事故もウイルスも日頃より、社員教育や派遣社員の教育を徹底させる
それを記録に残す

ここから始めるのはどうか？
ロジスティクス監査はこのロジスティックス検定２級の統制に記載されている
 

サプライチェーンの中にリスクがあるとすれば、物流企業が一番の甥のではないか
リスクと言って真っ先に出てくるのが災害
災害の中にも、水害、風害、地震、停電、ウイルス（コロナ）、セキュリテイ、サイバーテロなど

それぞれ評価測定機関があり、うちのサプライチェーンはどのくらいのリスクまで対応できるのかを把握する事が出来る

【水害、風害】
　これについては防衛策としてシャッターがある
　このシャッターの強度基準がJISで決められている
　このJISと比較すれば、どのくらいの風水害に対応できるのかは分かる

【地震、停電、火災】
　これらの防災機器や備えなどの認証判定機関はなさそう
　ただし、火災に関しては、消防法の適用や指導がありその結果が認証判定に役立つとは思う

　※　ISO 22301は、事業継続マネジメントシステム（BCMS）に関する国際規格です。
地震・洪水・台風などの自然災害をはじめ、システムトラブル・感染症の流行・停電・火災といった事業継続に対する潜在的な脅威に備えて、効率的かつ効果的な対策を行うための包括的な枠組みを示しています
　これと比較する事は可能です

【ウイルス】
　感染症対策ガイドラインに準拠
　物流の業界団体別ガイドラインは以下　guideline.pdf (corona.go.jp)
　日本倉庫協会、日本冷蔵倉庫協会、日本通運聯盟、航空貨物運送協会、国際フレートフォワーダー協会、トラックターミナル協会、日本港運協会など

【セキュリテイ】
　TAPA（Transported Asset Protection Association）
　TAPA認証制度とは、製品の輸送・保管中の紛失・盗難を防ぐためのセキュリティ（保安・警備）規格です。
　TAPA認証制度 (securico.co.jp)

【サイバーテロ】
　最近のランサムウエアに見るように、セキュリテイの弱い企業のネットワークから侵入し、大手企業のデータを拉致して、身代金を要求する
　IPA独立行政法人情報処理推進機構（https://www.ipa.go.jp/）
　こちらが推奨している、まずできる５つの対策（下記の図）

このように物流企業にはリスクが多い、このリスクは即荷主企業（ロジスティクス企業）や大手取引先企業に影響する

SOXはここまで要求しているが、公認会計士では業務内容の評価はできない
ロジスティクスの専門家がこの判定・評価をし、是正勧告しながら正していくことが求められている