日本版SOX法「実施基準案」を使いこなすポイント

2006.12.21

内部統制に取り組む上場企業にとって、金融庁が11月に公表した「実施基準（公開草案）」は、準備作業を進める上で重要なガイドラインとなる。だからこそ、実施基準案をプロジェクトに利用する際には、その記述内容を十分に理解する必要がある。方針策定を中心に内部統制プロジェクトに従事してきたコンサルタントが、実施基準案を使いこなす上で注意すべきポイントを解説する。（実施基準案関連の特集ページはこちら）

西澤秀和
ベリングポイント株式会社　マネージャー

　金融庁が11月21日に、「実施基準案」（正式名称は「財務報告に係る内部統制の評価および監査に関する実施基準(公開草案)」を公表した。これにより、これまで日本版SOX法（正確には、「金融商品取引法」における内部統制報告書の提出義務の条項）への対応を控えていた企業も、いよいよ具体的な準備に取りかからざるを得ない状況となった。

　実施基準案には、「内部統制の有効性の評価対象をどう選定すればよいか」といった、経営者が準備を進めていく上で判断が必要となる事項について、基本となる考え方が示されている。日本版SOX法の適用まで既に１年半を切った今、経営者はもちろん、内部統制に必要な体制作りや実務作業を計画・実施していく責任者や担当者は、実施基準案の内容を十分に理解し、監査人と協議を重ねた上で、主体的に準備作業を進めていく必要がある。

押さえておきたい実施基準案の特徴と注意点

　まず、今回公表された実施基準案の位置づけを明確にしておこう。実施基準案では、米国SOX法（企業改革法）への企業の対応で明らかになった問題点を踏まえ、経営者が主体的に内部統制の評価に取り組めるような工夫が随所になされている。

　米国SOX法では企業向けのガイドラインが存在しなかったこともあり、経営者は「 PCAOB（米国公開会社会計監視委員会）」の監査基準書を保守的に、すなわち厳格に解釈して対応した。その結果、膨大な文書化作業やテストを実施することが必要となり、過大なコストがかかってしまった。

　これに対して日本の実施基準案では、企業の対応が過剰にならないための工夫として、 (1)内部統制の有効性の評価方法や、(2)会社の状況に応じて適切に判断すべき項目を示し、 (3) 不備を事前に発見・改善できるように監査人との協議などに言及している。これらは実施基準案の3つの特徴として注目したい（図1）。

図1●実施基準案で注目すべき３つの特徴
[画像のクリックで拡大表示]

　評価方法に関しては、まず評価の流れ（ステップ）と評価範囲の選定の基本的な考え方を示している。評価範囲の選定については、例えば金額的な重要性の判断基準として、連結ベースの税前利益などの概ね「5％」、評価対象となる事業拠点の選定基準として、連結ベースの売上高などの概ね「3分の2程度」というように、具体的な数値を使って例示している点が注目される。

　その上で、こうした金額的な重要性の判断や、事業拠点の選定、評価対象に加える重要な業務プロセスの選定などについては、個々の企業の状況（業種・規模・特性など）に応じて適切に評価範囲を検討すること、としている。また、経営者が判断した項目については、事前に監査人と協議することを推奨している。

　一方、実施基準案には、「明確に示されなかった点」や、「米国SOX法の考え方とは異なる点」があり、注意が必要である。実施基準案を利用する際に、ぜひ注意していただきたい点を図2に挙げた。

図2●実施基準案を利用する際の注意点（7つのポイント）
[画像のクリックで拡大表示]

　まず、最終的に経営者が作成すべき「内部統制報告書」の内容や、決算・財務報告プロセスの評価方法や有効性の判断について、実施基準案では示されていない。これらの点については、パブリックコメントを受けて1月にも「実施基準」として確定する時点で、明らかにされることが望まれる。

　また、有価証券報告書の記載項目のうち、財務報告の範囲（実施基準案II-p.2）や、連結ベースで評価対象として検討すべき関連会社の範囲（実施基準案II-p.5）についてはそれぞれ、これまでの財務諸表監査で求められる範囲や、米国版SOXの対象とする範囲よりも広い概念でとらえられている（IIは後述する実施基準案の第2部を指す）。

　このほかにも、「監査人が行う評価（サンプリング）の範囲は、経営者の評価範囲と同じ水準である」と解釈できる記述があること、決算・財務報告プロセスは「全社的な観点で評価するもの」と「固有の業務プロセスとして評価するもの」に分けて考えること（実施基準案III-p.12）、といった注意点がある（IIIは後述する実施基準案の第3部を指す）。

　このように注意すべき点がいくつかあるとは言え、企業が的確かつ効率的な内部統制を実施する上で、実施基準案が果たす役割は大きい。経営者は実施基準案に従って企業の状況に応じた内部統制の整備を行い、協議を通じて監査人の信頼を得ることができれば、米国SOX法に対応した米国企業ほどには、評価や監査に要するコストの増大に悩まされることはないと考えられる。

3つの文書で構成する実施基準案

　続いて具体的な内容の説明に移ろう。実施基準案は3つの文書で構成されている。

　実施基準案の第1部である「I.内部統制の基本的枠組み（案）」には、内部統制の基本的な考え方が示されている。特にITが内部統制とどのように関わるか、また統制活動にITをどのように活用できるかについて、具体的な例が示されている。全社的な取り組みとして実施すべき事項（例えば、組織全体の目標の達成を阻害するリスクの評価や対応など）は、「全社的な内部統制」を評価する際に参考とすることができる。

　実施基準案の第2部である「II.財務報告に係る内部統制の評価及び報告（案）」には、経営者が実施する「財務報告に係る内部統制」の評価方法が示されている。3つのステップに分けた評価・報告の進め方 (図3)や、評価範囲の選定の考え方など、内部統制の準備作業を進める上で重要な内容を含んでいる。また、作成する文書（業務記述書、業務の流れ図、リスクと統制との対応関係）や全社的な内部統制の質問項目のサンプルを示しており、経営者はこれらを参考に、適宜、必要な項目を追加して利用することができる。