日本公認会計士協会が監査指針を示したものの、日本版SOX法への対応では、いまだ「システム部門がすべきことが分からない」との声は多い。そうしたなか、有用な事例が出てきた。米国で上場する日本企業が今年、米SOX法への初年度対応を終えたのだ。各社は、どのようにして乗り越えたのか。その経験から、10の盲点が浮かび上がってきた。

(島田 優子、小原 忍)

現実●SOX法対応の増員、新規予算はなし
準備●初期の見落としで遅延
IT統制●3大項目は想像以上に大変
監査●100点を取る必要はない
J-SOX対応で知っておくべき用語

【無料】サンプル版を差し上げます 本記事は日経コンピュータ9月3日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「特集1」の全文をお読みいただける【無料】サンプル版を差し上げます。お申込みはこちらでお受けしています。 なお本号のご購入はバックナンバーをご利用ください。

 7月18日、日本公認会計士協会が日本版SOX法(J-SOX)に対する監査人向け実務指針の草案を公開した。金融庁が今年2月に公表した「財務報告にかかる内部統制の評価および監査に関する実施基準(実施基準)」を補完するのが目的だ。8月に入ると金融庁がJ-SOX関連の内閣府令を公開。J-SOX対応は、「財務報告にかかる内部統制の評価および監査の基準(基準)」に従って行うと定めた。実施基準は基準のガイドラインであることから、J-SOX対応のガイドラインは唯一「実施基準」であると明確になったわけだ。

 これで、来年4月以降に始まる事業年度から適用されるJ-SOXに対して、企業側、監査人側のガイドラインが完全にそろった。しかし、ほぼ同じ時期の7月26日~8月7日にITの総合サイト「ITpro」で実施したアンケートの結果を見ると、「どこまで整備しなければいけないかが不明確」や「監査で要求される“深さ”の判断基準が分からない」といった声が並ぶ。

 実はJ-SOXの担当官庁である金融庁は以前から、「実施基準以上に詳細な内部統制の整備・評価方法を、一律に示すことはできない」という立場を崩していない。「内部統制の在り方は、経営者や企業文化によって変わる。結局は企業自身が考えるべきこと」(金融庁企業会計審議会内部統制部会専門委員の堀江正之日本大学商学部教授)だからだ。9月以降に金融庁は実施基準を補完する「Q&A集」を用意する計画だが、ここに「最低限やっておくべき」ことが明記されることは、まずない。

 こうしたなか、参考にできる事例が出てきた。米SOX法(2002年サーベインズ・オクスリー法)404条に対応した日本企業だ。米国に上場し、米SOX法の適用対象になった日本企業は約30社。3月期決算の企業であれば、昨年4月から今年3月の期が初年度だった。内部統制を整備して有効性を評価し、外部から監査を受けるというプロセスを、J-SOX適用企業よりも一足先に経験したわけだ。

 もちろん、米SOX法404条とJ-SOXは全く同じではない。しかし、法律の目的は同じ。そして、「システム部門に求められる対応策は、日米で差がないだろう」(監査法人トーマツの久保恵一代表社員)との見方が一般的だ。しかも、米SOX法に対応した日本企業は、「自社開発のシステムが多い」や「システム部門の人数が少ない」など、日本企業ならではの特徴を備える。

 では米SOX法対応を終えた日本企業各社は、どう乗り切ったのか。NISグループ、NTTドコモ、アドバンテスト、キヤノン、京セラ、リコーといった米SOX法対応を終えたばかりの担当者の取材をまとめたところ、J-SOXに対応する上での「10の盲点」が明らかになった。

SOX法対応の増員、新規予算はなし

 「リスクを予見するトレーニングになったし、業務遂行におけるルールのあいまいさがなくなってシンプルになった。ただ、性善説に立っていた従来のルールと違い、性悪説を前提とした監査への対応は大変だった」――。半導体試験装置大手アドバンテストの二井(ふたつい) 俊行IT統括室長は、米SOX法404条対応の初年度をこう振り返る。

 ニューヨーク証券取引所(NYSE)に上場している同社は、2004年度から米SOX法対応の準備を開始。今年、初めての本番監査を受けた。財務報告に虚偽記載がある可能性が高いとされる「重要な欠陥」はなかったものの、内部統制が適切に整備または運用されていない「不備」はいくつか指摘されたという。

 その状況に対して二井室長は、「不備に関しては監査法人と当社のリスクに対する認識の違いという面が大きい。指摘事項にはすでに何らかの対応を採っており、初年度としては合格点ではないかと考えている」と語る。

米SOXの経験はJ-SOXの参考に

 アドバンテストに限らず、米SOX法に対応した日本企業の多くは、似たような状況だ。すなわち、初年度の本番監査を終了し、重要な欠陥はないものの、いくつかの不備を指摘された。

 各社の米SOX法対応プロジェクトの進め方にも、大きな違いはない。プロジェクト・チームを発足させ、全社的統制の有効性を評価した上で対象の企業や業務範囲を決める。その対象範囲に対して、業務フロー図、業務記述書、RCM(リスク・コントロール・マトリックス)という、いわゆる“3点セット”を作成。必要に応じて内部統制を整備する。予備監査として整備状況や運用状況の有効性を評価し、不備があれば修正する。そして年度末が終了すると、経営者評価のための内部監査と、経営者評価の適正性を監査するための外部監査を受ける(図1)。

図1●SOX 法対応の流れと、米SOX 法対応企業の初年度の経験から見えた「10の盲点」
図1●SOX 法対応の流れと、米SOX 法対応企業の初年度の経験から見えた「10の盲点」
[画像のクリックで拡大表示]

 システム部門の対応も、プロジェクトに沿った形で進める。IT統制の対象範囲を決め、IT全般統制に関する3点セットを作成。IT全般統制・IT業務処理統制について整備し、監査に対応する。

 こうした米SOX法対応の流れは、J-SOXでも変わらない。J-SOXの目的は「財務報告の適正性の確保」であり、そのために内部統制を整備して有効性を確保するという点で米SOX法と同じだからだ。言い換えれば米SOX法対応企業の経験は、早ければ来年4月から始まる事業年度から本番に突入するJ-SOX対象企業にとっての、先行事例である。

 SOX法対応の工数は、一般的に売上高ではなく、「業務プロセスの複雑さや連結子会社の多さ、経営方針によって決まる」(アビームコンサルティングEBS事業部の永井孝一郎プリンシパル)。そのため、各企業がSOX法対応にかけた工数や人員には差がある。

 それでも共通して言えることがある。システム部門にとって、SOX法対応作業は負荷は小さくないということだ。そして、各社が陥った“思わぬ落とし穴”にも共通する点がいくつもあった。それが、図1右に示した「10の盲点」である。

続きは日経コンピュータ2007年9月3日号をお読み下さい。この号のご購入はバックナンバーをご利用ください。