いわゆる日本版SOX法、金融商品取引法が6月に成立したことを受け、内部統制商談はますますヒートアップしてきた。半年前とは打って変わり、金融商取法が求める内部統制の本質を踏まえたソリューションも数多く登場し、ユーザー企業の問題意識もかなり明確になってきた。そうした盛り上がりの陰で、ちょっと心配なことがある。監査法人は本当にIT統制をきちんと監査できるのかということだ。
これまでよく指摘されてきたことは、内部統制に資するからと言って何でもかんでも「SOX法対策ソリューション」と銘打って売るな、あるいは買うな、ということである。ユーザー企業がそうしたITツールやサービスを使って、SOX法対応の内部統制を確立したと主観的に思っても、最後に監査法人や会計士がそれを承認しなければアウト。そのためのIT投資が無駄になるだけでなく、巨大な手戻りが発生する。最悪、適正意見をもらえない場合もある。
だから「先走るな」ということで、今は監査法人系の流れを汲むコンサルティング会社によるSOX法対策ビジネスが花盛りである。彼らは、米国SOX法での経験・ノウハウや会計士の“感覚”といった知見を用い、「SOX法対策はこのように進めましょう」とコンサルティングする。まあ、それにより内部統制全般については落ち着くべきところに落ち着くだろう。ただIT統制に限って言うと、かなり心配だ。
というのも、金融商取法による内部統制が義務付けられる2009年3月期決算までに、監査法人のITへの理解がどこまで進むか、どうも心もとないからだ。金融庁からこっぴどくやられた関係で、今はどの監査法人も自らの内部統制確立におおわらわで、ITの勉強などはこれからの状況だろう。
IT統制のうち全般統制は、システム部門の業務プロセスに係る内部統制だから、これはなんとかなるだろう。しかし、システム的な内部統制である業務処理統制は、ERPでも導入していなければ、ITのプロでもその有効性を証明するのは難しい。監査法人がいったいどうやって監査するのか、ちょっと見当がつかない。
もちろん監査法人から言うと、大きなお世話かもしれない。米国の監査法人だって、確かにIT統制を監査できているのだから、日本でも大丈夫という理屈は成り立つ。しかし、その米国の監査法人の例だが、米国SOX法がらみの内部統制監査で指摘した項目のうち、IT統制にかかわる指摘は2割に達したという。かなりのボリュームだ。
一説によると、日本企業が支払う監査報酬は米国企業のそれに比べて、10分の1程度という話だ。米国企業はSOX法で監査費用がかさむと文句を言っているが、日本の監査法人が内部統制監査で米国並みの報酬を請求できるわけもない。大きなボリュームを占めるIT統制に十分なリソースを割けるかは、やはり疑問だ。混乱が起こらないとも限らないので、株式を上場するITサービス会社なら、監査を依頼している会計士に「IT統制の監査は大丈夫か」と尋ねてみてほしい。
