「実施基準案では、ITに関して監査人が監査すべき内容をかなり具体的に記述している。監査人がどのようなチェックポイントで監査するかを知るためにも、まず監査について書かれたところから見るべきだ」。アビームコンサルティングEBS事業部の永井孝一郎プリンシパルは、同社が11月13日に実施した報道関係者向け説明会で、「日本版SOX法」の実施基準案について、こう語った。
実施基準案は、日本版SOX法が求める内部統制の整備を実施するための指針(ガイドライン)である。11月6日に、金融庁 企業会計審議会内部統制部会が第14回部会を開催。ここで、実施基準案に関して議論した(関連記事1、関連記事2)。金融庁は11月中にも同案を公開する予定だ。その後パブリック・コメントを受け付けて、年末または来年初めにも、確定した実施基準を公開すると見られる。
実施基準案は、内部統制の整備方法を記述した「基本的枠組み」、内部統制の整備・運用状況の評価方法を経営者向けに示した「評価および報告」、監査人向けに内部統制監査のチェック・ポイントを記述した「監査」の3部で構成する。このうち監査の部について注目すべき、というのが永井プリンシパルの主張だ。その一方で、「監査の部が詳細に書かれすぎているために、ITの監査はかなり負担になるのではないか」と、永井プリンシパルは見る。
永井プリンシパルは加えて、「実施基準案の内容は、米SOX法(企業改革法)と異なる部分があるので注意すべきだ」と主張する。その例が、内部統制の整備範囲の決定方法だ。実施基準案では、売上高や売掛金、棚卸資産などにかかわる「業務プロセス」を基に決める。これに対し米SOX法では、勘定科目から金額的に与える影響の大きいものを選び内部統制の整備範囲を決める「勘定科目アプローチ」で、整備範囲を決める。この違いにより、「すでに米SOX法のやり方で対応を始めている企業は、若干の修正が必要になるかもしれない」(永井プリンシパル)とした。
実施基準案が明らかになったことで、「日本版SOX法への対応を始める企業が急増するだろう」と、永井プリンシパルは予想する。ところが、これらの企業が、「コンサルティング会社などの外部に、全面的に頼ることはできない」(同)と断言する。すでに、SOX法対応を支援できる監査法人の担当者やITベンダーのコンサルタントが不足しているからだ。
とはいえ、全く外部の支援なしに日本版SOX法対応を進めるのは、事実上不可能。永井プリンシパルは、「実施基準案を読んで理解することはもちろん、研修など外部の力を利用して、社内の要員を教育していくことが必要。直ちに日本版SOX法対応プロジェクトを立ち上げないと、手遅れになる」と警告する。
