「日本版SOX法(J-SOX)対応で外部監査人は、決算・財務報告プロセスを重視している。だが今、企業は受注や出荷など業務プロセスにかかわる統制の整備・運用の方に力を入れ、決算・財務報告プロセスには手が回っていないのではないだろうか」---。
東京ビッグサイトで開催中の「エンタープライズ・リスク・マネジメント2008」で2008年8月22日、「J-SOX、締めくくりのチェックポイント―あなたの会社は見落としていませんか?―」と題したパネルディスカッションが行われた。登壇したのは、リスク・コンサルティング会社プロティビティ ジャパンの神林比洋雄社長/公認会計士(写真1)と、新日本有限責任監査法人アドバイザリー・サービス バリューチェーンソリューション部の森本親治部長ディレクター/公認会計士(写真2)。
「決算・財務報告プロセスが後回しになりがち」と指摘した森本氏は、「J-SOX適用企業の実際の対応を見ていると、業務プロセスにかかわる統制の整備・運用が7、決算・財務報告プロセスが3、といった割合で進んでいるケースが多い」とみる。しかし森本氏のように監査する側の立場から見ると、「重要度は業務プロセスが3で、決算・財務報告プロセスが7」という。
加えて決算・財務報告プロセスの場合、期中に統制の運用状況の有効性評価を実施するチャンスが少ない。そのため「期末になって初めて不備が見つかる可能性がある。さらに、企業が自ら不備を発見できず、外部監査人から不備を指摘されると、その不備が重大なものとして扱われる。『現行犯逮捕』のようなもの」と森本氏は指摘する。「業務プロセスと決算・財務報告、両方のバランスが大切だ」(森本氏)。
一方の神林氏は、チェックポイントとして、「J-SOX対応のプロジェクトメンバーのコミュニケーションがうまく機能しているかどうかを確認すべき」と指摘した。実際に会計システムを利用する経理部門と、会計システムを構築・運用しているIT部門のコミュニケーションが不足していると、「適正な評価範囲を設定出来ないケースがある」(神林氏)。
特に業務プロセス内で整備・運用する業務処理統制は、「システムの機能として実装してあるIT業務処理統制と、マニュアルで実施している統制が混在している」(神林氏)。「業務処理統制は原則、利用部門が担当すべきもの。経理や営業、販売など現場の担当者が、システムで実施している統制の内容を理解することが必要」と神林氏は強調。「IT部門と利用部門がコミュニケーションをとって、何がリスクで何が統制かを改めて確認すべき」(同)とした。
最後に、今後のJ-SOX対応で「ここだけは押さえてほしいポイント」について、神林氏は「J-SOX対応は始まったばかりの制度であると同時に、来年以降も続く制度。そろそろ来年以降の長期的な体制をどうすべきかを考えても早過ぎない」と指摘。多くの企業は、各部門から優秀な人材を集め、プロジェクトチームとしてJ-SOX対応を進めているが、「来年以降もプロジェクトチームを継続するかどうかは、人事施策にもかかわるので、真剣に協議すべきだ」とした。
森本氏は「これまで企業は、文書化など細かい作業を進めてきたと思うが、ここで一回手を休めて全体を見渡して欲しい」とアドバイス。「連結財務諸表の中で、J-SOXの対象となる売掛金や棚卸資産などの重要勘定科目を改めて確認し、不正や虚偽記載が起こりそうなプロセスをもう一度確認しておくべき」と強調した。
