7月19日、驚いた「事件」があった。9時ごろから夕方近くまで、日本公認会計士協会(JICPA)のWebページが閲覧できない状態が続いたのだ。理由は、「アクセスの集中」だ。普段、JICPAのWebページは公認会計士や企業の経理担当者など、限られた人しか閲覧しないだろう。人気を集めたコンテンツは、「財務報告にかかる内部統制の監査に関する実務上の取り扱い(以下、監査指針)」の公開草案だった(関連記事1)。
監査指針は、いわゆる「日本版SOX法(J-SOX)」で内部統制の整備・運用状況の外部監査を担当する監査人向けの文書。「内部統制の評価範囲」や、「全社的な内部統制」「業務プロセスにかかる内部統制」「ITにかかる内部統制」の評価の検討方法が示されている。日本版SOX法の監査のポイントを示しているものといえる。
監査指針が、日本版SOX法対応の“模範回答”になるという期待が、日本版SOX法への対応を手掛ける担当者や、コンサルタント、ITベンダーの関係者の間であった。監査指針で示されるポイントに従って統制を整備すれば、最低限の対策の「範囲」や「深さ」が分かると考えられていたからだ。
しかし、公開された監査指針をみると「期待通りの詳細な模範回答はなかった」と感じられたIT関係者の方も多いのではないだろうか。日本版SOX法対応全体で言えば、経営者が内部統制の評価状況などを示した「確認書」のひな形が付くなど詳しくなった部分も多い。「ITにかかる全般統制の評価の検討」という項目があったり、これまで監査対象になるかあいまいだったスプレッド・シート統制にかかわる言及があるなど、ITについて全く触れられていないわけではない。だが79ページの文書で、IT統制に触れられている個所は5ページ前後だ。「どのような方法で監査をするか」は書いてあっても「何をどこまで実現できていれば、内部統制の整備がされているとみなせるか」には触れられていなかった。
いつまでたっても模範回答は出ない
どこまで内部統制を整備すれば、日本版SOX法の監査で認められるのか――。日本版SOX法対応の担当者が今、もっとも悩んでいるのはこの疑問だろう。3月期決算の企業であれば、日本版SOX法の適用事業年度まであと8カ月しかない。IT業界の日本版SOX法関係者が監査指針の動向に注目したり、JICPAのWebページへアクセスが集中したのは、その証しだ。
日本版SOX法の「どこまでやればいいのか」を巡り、監査指針のような状況が過去にもあった。日本版SOX法の実務上のガイドライン「財務報告にかかる内部統制の評価および監査に関する実施基準(以下、実施基準)」の草案が公開された際だ(関連記事2,関連記事3)。実施基準が模範回答になるのでは、といううわさが広まっていた。「実施基準は300ページ以上あり、実施基準に示される通りに内部統制を整備すれば良いものになる」、「チェックリスト代わりに利用できるQ&A集が付属し、これを基に対策をすればよくなるだろう」といったものだ。
だがこの時も「どこまでやればいいか」を明記したものではなかった。「内部統制の運用状況の評価範囲は連結売上高で3分の2が目安」など具体的な数値例も入った。ITについても、それなりに詳しい。約90ページのうち、15ページ以上をIT統制について割いている。監査について記述した章では、IT全般統制の整備対象の例として「システムの開発・保守・変更」などと特定しているし、IT業務処理統制では「入力情報の完全性、正確性、正当性等を確保するための手段がとられているか」をチェックするべきと例示している。
ただし、「システムの開発・保守・変更についてのIT統制の整備は何か」、「何をしたら入力情報の完全性、正確性、正当性をチェックできたことになるのか」といったもう一歩踏み込んだ例示はなかった。「結局、どこまでやればいいのか」という担当者の悩みは解消しなかったのだ(関連記事4)。これが監査指針が模範解答になるのでは、という期待につながった。
実は当初から、実施基準を作成した企業会計審議会内部統制部会や金融庁は「どこまで統制を整備すればよいか」は「企業の状況によって異なるので、一概にはいえないし、企業が個別で考えるべき」という姿勢を崩していない。実施基準に挙がっているさまざまな数値も、「例えば」「おおむね」などが付いており、すべてが例示だ。監査指針も実施基準を補完する目的で作られているため、この考え方を踏襲している。今後、実施基準の「Q&A集」が金融庁から公開される予定だが、金融庁のこの姿勢は変わらず「実施基準について、問い合わせの中から誤解が多かったものに回答する方針」としており、実施基準以上に踏み込んだ記述は、ほぼないだろう(関連記事5)。
前述の通り、金融庁の姿勢は2年前からほぼ一貫している。日本版SOX法対応において、実施基準以上に詳細な例示をした文書は今後、公開されることはないだろう。日本版SOX法に対応する企業にとって、まっさきに参考にすべき文書は実施基準である、ということが監査指針の公表からも明らかになった、というのが現状だ。
米SOX法に対応した日本企業の経験が参考に
とはいえ会計・監査の専門家ではないシステム部門にとって、実施基準を読み込んで、自社に必要な対策を一つずつ考えていくのは簡単ではない。システム部門だけでなく、多くの日本企業にとって財務報告の信頼性を担保するために、内部統制を整備し、その状況の監査を受けるというのは初めての経験だ。その“未知の領域”に対し、3800社の上場企業とその関連会社は対応しなければならない。
未知の領域に向かうにあたり、システム部門は何を参考にすべきなのか。そして、日本版SOX法はシステム部門にどんな影響を与えるのだろうか。そのヒントの1つが、米SOX法に対応した日本企業のシステム部門の経験だ。米SOX法と日本版SOX法は、まったく同じ対策をシステム部門に要求しているわけではない。だが、「財務報告の虚偽記載や誤りを防ぐために内部統制を整備する」という目的は一致している。日本企業の米SOX法対応を監査した経験がある監査法人は実際、その経験をベースに各法人独自の日本版SOX法の監査指針を作成している。米SOX法に対応した日本企業は、少しだけ早く、未知の領域を体験しているのだ。
米国市場に上場する日本企業は約30社ある。各社は今年、米SOX法対応の1年目を終えたばかりだ。システム部門にも数多くの苦労があった。NYSE(ニューヨーク証券取引所)に上場するアドバンテストの二井俊行IT統括室長は、「当初、性悪説の内部統制の考え方に慣れなかった」と打ち明ける。システム部門で作成していた規定類を作り直すことになった。同じくNYSEに上場するNISグループは、「システム部門に所属する部員の負荷は確実に増えた」という。同社はシステムの開発・運用の多くを外部に委託している。外部委託先とのやりとりの業務プロセスを大幅に見直すだけでなく、システム部門の業務のやり方にも影響があったのだ。
日経コンピュータでは9月3日号で、アドバンテストやNISグループのように米SOX法に対応したシステム部門の経験をまとめた特集を企画している。日本版SOX法対応にかかわる方々の参考にして頂ければと思う。加えて今後、日経コンピュータやWebサイト「内部統制.jp」では、日本版SOX法対応に悩む方々の疑問に、専門家が回答する企画を計画中である。日本版SOX法対応にかかわる疑問を以下のアンケート欄までお寄せ頂ければ幸いだ。
※本アンケート調査は終了しました。
