日本版SOX法対策商談の本番は、金融庁のガイドラインである「実施基準」が出てから----。多くのITサービス会社がそう考えていたが、その実施基準の案が先週ついに出た(いま読めるのは“ 案の案”だが)。さて、これで商談本番と行きたいところだが、ちょっと待て。非上場企業も含めてITサービス会社は、そろそろ自分たちのSOX法対策に真剣に取り組まないと、大変なことになりそうだ。
この「実施基準案(の案)」は、用語の概念が場所によって微妙に異なるなど、現時点では相当バギーだが、企業の負担軽減に大きく配慮し、記述も思ったより分かりやすいので、私なんかは「結構いいじゃん」と思っていた。でも昨日、SOX法に詳しいコンサルタントに実施基準案の評価を聞いたら、様々な問題があるとのことだ。
例えば内部統制の重要な欠陥のくだり。金額的目安として税引き前利益で5%ほど“虚偽”が入る可能性があれば、内部統制が有効でないと評価せよとも読めるが、これはとんでもない話だという。「じゃあ何かい。もし5万円しか利益を出せなかった年に、銀座での接待の経理処理でハンコを1個忘れたら、内部統制に重要な欠陥があるとでも言うのかい」。まさに、おっしゃる通り。
ただ、私がコンサルタントの話を聞いて大変だと思ったのは、こうした一般的な問題ではなく、ITサービス会社固有のSOX法対策についてだ。実施基準案では、売上高や売掛金、棚卸資産に関わる業務プロセスに焦点を当てることを明記しているが、ITサービス会社の場合、主な棚卸資産といえば労務費の塊である仕掛品。SE稼働の配賦などで相当厳格な管理が必要になりそうだ。そして、さらに大きな問題がある。
日本版SOX法が適用される2008年度には、会計基準の大きな変更が控えている。国際会計基準とのコンバージェンスへ向けた取り組みで、売上計上の方法が完成基準から工事進行基準への変更が義務付けられる見通しなのだ。完成基準は検収書をもらってから売上を計上するIT業界でお馴染みのやり方。一方、進行基準はシステム開発の進捗状況に合わせて売上を“分散計上”するやり方で、IT業界では富士通や野村総合研究所など一部の企業しか採用していない。
進行基準はその性質上、完成基準と異なり、 プロジェクトに対して会計面から強力な統制が働く。だから日本版SOX法対策の観点から見ても、進行基準の採用は悪い話ではない。問題は、今のITサービス会社に、SOX法対策を推し進めつつ、進行基準を採用する経営管理力があるのかということである。ITサービス業界で粉飾決算などの不祥事が多発した際に、進行基準の義務付けが検討されたが、「無理」との判断で先送りされたぐらいだ。
そんなわけだから、上場するITサービス会社は「いよいよ日本版SOX法対策商談だ」とのぼせ上がるより、まず2008年度に向けて自社の経営管理力の強化した方がよい。さもないと、ユーザー企業以上に大変なことになりそうだ。
もう1つ大変そうなのは、アウトソーシングに関する内部統制。実施基準案では、ユーザー企業は自らアウトソーシング先の内部統制を評価するか、アウトソーサーから内部統制の評価結果を記載した報告書を入手するかせよ、としている。で、報告書のやり取りの方が現実的だが、その報告書には米国公認会計士協会の監査基準「SAS70」か、日本公認会計士協会の監査基準「18号監査」に基づく監査報告書が想定されている。
でも、その監査がなかなか受けられそうにない。例えば18号監査は、日本の監査法人が手一杯で引き受けられる状況にないという。仮に引き受けてもらっても、監査費用は数千万円にも上る。小規模なアウトソーシング事業なら、これだけで軽く利益が吹き飛ぶ。アウトソーシング事業を手がけているITサービス会社なら、上場、非上場の区別なく、この問題に直面するので、影響は極めて大きそうだ。
さて、この実施基準案の正式バージョンは11月20日に公開されて、パブリックコメントに付される予定だ。既に、様々な産業のSOX法対策担当者や公認会計士などがコメントを入れようと手ぐすねを引いている。ITサービス会社も自らのSOX法対策を“楽”にするために、コメントで問題点を指摘してはどうか。それがSOX法対策の重要な一歩である。
