アビームコンサルティングは2008年9月2日、「内部統制の現在・過去・未来―J-SOX対応状況調査」を発表した。08年3~5月に実施した上場企業の日本版SOX法(J-SOX)への対応状況をまとめた。調査結果についてアビームコンサルティングは「本番年度に突入しても内部統制の整備を進めている企業が多数ある。規模の小さい企業のほうが総じて対応が遅れがち」と分析している。
J-SOX対応状況調査では規模と事業の複雑性から企業を分類。売上高1000億円以上の企業で事業の複雑性が低い企業をG1、売上高1000億円以上で複雑性が高い企業をG2、売上高1000億円未満の企業をG3と定義。それぞれのカテゴリ別にJ-SOX対応の状況を分析した。回答数は全体で302社。このうちG1の企業が83社、G2は60社、G3は156社で、3社は無記名だったためグループに分類していない。
調査の結果、財務報告に関係がある業務プロセスについてリスクやコントロール(統制)の洗い出しが済んでいない企業は全体の36%。G3の企業が最も遅れていて、G3全体の44%だった。これに対しG2の企業は、G2全体の25%だった。
「現在もG3の企業の対応は遅れている」とプロセス&テクノロジー事業部FCMセクターの中野洋輔プリンシパルはみる。ほかのグループについては「G2の企業は海外拠点を持つなど、整備・運用すべきコントロール数が多い。その結果、有効性評価の工数も多くなり評価を実施する期間を長めにとっている。G1では評価の人員を十分に確保していて、順調に進んでいる企業が多い」(中野プリンシパル)と分析する。
調査では「不備の発生状況」についても聞いた。その結果、グループ企業全体で整備・運用する全社的統制では50%が「不備がある」と回答。日常の業務上で整備・運用する業務処理統制では72%が、決算・財務報告プロセスに対する統制では57%が不備があるとしている。
システム部門が整備・運用を担当するIT全般統制について中野プリンシパルは「監査法人の要求水準が高めになっている。対応が間に合わないと判断した企業も多い」と現状をみる。間に合わないと判断した企業は「初年度は手作業の運用にし、2年目以降に改めてIT全般統制の整備・運用にとりかかろうと考えている」(中野プリンシパル)という。
