J-SOX対応の追い込みの時期には、不備の修正を急ぐ必要がある。しかし、今年度中にすべての不備を修正するのは難しい。優先順位付けが大切になる。
「指摘されたすべての不備を今年度中に修正する必要はない。むしろ初年度は完ぺきを目指すのではなく70点くらいで対応すべき」。新日本有限責任監査法人の中山清美 代表社員/公認会計士は、残りわずかの段階での不備の修正に対して、こう助言する。
“本来のゴール”に向けた一般的なロードマップを示すと、図1のようになる。100点を目指したくても時間的な余裕はない。「J-SOXは毎年続くもの。今年度は対応できなくても次年度以降に対応すればいい」(中山代表社員)。
さらにアビームコンサルティング プロセス&テクノロジー事業部J-SOXイニシアチブ統括の中野洋輔プリンシパルは「完ぺきを求めると日常業務が回らなくなりかねない」と警鐘を鳴らす。人数の少ないシステム部門で開発と運用の担当者を分けたばかりに、どちらの業務も不十分になるといったケースが想定される。
不備に優先順位をつける
そうは言っても、70点に抑えた結果、「重要な欠陥」が残っては意味がない。その点をプロティビティジャパンの百野公裕シニアマネージャは「監査人は不備を指摘するのが仕事。影響の大きさは考慮に入れない。こうした“事実”を理解すべき」と語る。監査人の指摘には「修正しないと内部統制が有効な状態にならない」不備から、「修正するのが望ましいが、そのままでも内部統制は有効」な不備まである、ということだ。
となると重要なのは、(1)指摘された不備に優先順位をつけることと、(2)その優先順位のなかで、どう対応していくかである。
優先順位が高くても、今年度は手作業で対応しておくという選択肢がある。一方で優先順位が低ければ何もしなくていいわけではない。次年度以降の計画を立案することで不備の修正につながる(図2)。
