「実は『3点セット』という言葉は昨年秋に知った。なぜなら、実施基準ではそのような言葉は使っていないからだ」。2月9日、NET&COM2007で開催された「内部統制実施基準の基本的視点」と題した講演で、企業会計審議会内部統制部会長を務めていた、青山学院大学大学院の八田進二教授はこう強調した。

 八田教授は日本版SOX法(J-SOX)の実務上の指針(ガイドライン)である「実施基準」について、「業種業態を問わずにどの企業にも共通する標準を示した。数値の基準を盛り込んだため、対応コストは抑えられるはずだ」と見解を示した。ただし、実施基準をはじめ、制度そのものの理解について「世間には誤解が多い。作成者の意向が十分に通じていない」と感想を述べた。

 その一例が冒頭の「3点セット」だ。3点セットは日本版SOX法への対応において、監査用に、(1)業務の手順を記述する「業務フロー図」、(2)業務中のリスクとそれに対する低減策を一覧表にした「RCM(リスク・コントロール・マトリックス」、(3)業務の詳細な内容を文書で記述する「業務記述書」、の3種類の文書を作成する、としている。この3種類の文書は「3点セット」と呼ばれ、「日本版SOX法への対応で作成が必須」と言われている。

 だが八田教授は「3点セットの作成が必須」という考え方を否定した。実施基準にも付録として、この3種類の文書例が示されているが「あくまで例として示しただけ。実施基準内では、この3種類の文書を必ず作りなさい、とは一言も書いていない」と八田教授は説明。「どんな企業であっても、何らかの規定集やマニュアル、業務の手順を示した文書はあるもの。企業が元から持っている文書を利用して欲しい。作りっぱなしになっている文書があれば、それをアップデートすればいい。必ずしも新たな文書を作成する必要はない」とした。

 同様に、実施基準で取り上げられている「ITへの対応」についても、「システムを作り変えろ、とはどこにも書いていない」と指摘。さらにITへの対応について「これ以上、詳しい説明は出ることはないだろう」と説明した。「実施基準は、100ページ弱のうち7分の1を割いて、ITへの対応について書いてある。当局(金融庁)もITへの対応について、必要なことは盛り込んだ、と言っている」(同)とし、「金融庁からこれ以上、ITについては詳しい解説は出ない」との見通しを示した。

 このほか、全社的な統制が整備されているかを評価するための質問項目が、実施基準には42項目挙がっている。これについて、八田教授は「経営者に『これなら、自分にもできるだろう』と思ってもらえるように質問項目を作った」と解説。「内部統制は経営者が責任を持って整備するもの。経営者が『こんなのはできない』と思っては困る」(同)からだ。

 また実施基準には示されていないが、「コンサルタントに内部統制の整備を丸投げしている企業は『内部統制が整備されている』と判断されないから要注意」と八田教授は指摘した。これは、1月31日に開催された内部統制部会での金融庁と部会委員のやり取りを受けての発言だ。「どういった統制を整備するかの最終的な判断に責任を持つのは経営者。第3者に丸投げしてはいけない。財務報告の信頼性確保のために、内部統制を整備するのは、日本では『未体験ゾーン』。経営者は社員や監査人などと議論を尽くして、取り組んで欲しい」と八田教授は訴えた。