内部統制で「×」となる会社は多い!?：J-SOX法対策の死角となるか？ IT統制の標的 第4回（1/2 ページ）

J-SOX法対策では、SOX法対策での「反省」を基にガイドラインが築かれつつある。それでも、内部統制が有効とならないケースは増えると見られている――。

[アイティセレクト編集部]

「トップダウン」で臨む対策

　監査法人トーマツのトーマツ企業リスク研究所所長、久保惠一氏によると、J-SOX法対策の考え方は米国におけるSOX法対策での「反省」に基づく。米国も日本も「信頼できる財務報告」を目指しているという点において、法整備のコンセプトは同じだ。しかし、そのとらえ方を誤ったばかりに、米国ではSOX法対策に失敗した例が目立ったという。

　下図に示すように、米国では適正な財務報告をするため、「まず、文書化だ」と、個々の業務プロセスを文書化して統制を図り、次に決算・財務プロセスを統制し…という「完璧主義」的な手段を講じて、SOX法対策に臨む会社が多かった。これは実際には、非常に時間のかかる作業・工程だ。そのため、決算期になっても決算報告や全社統制が等閑になるという事態を招き、結果的に時間切れで決算を出せない――つまり、内部統制が不適正になった――会社が相次いだ。すでにSOX法適用から3年目を迎えているが、大手企業でも依然として決算を出せていないところがあるという。

SOX／J-SOX法に対する考え方の概念図

　この取り組みは、本来なら正当だと考えていい。しかし、時間がなかったり人員不足という現実問題があることから考えると、「重点がはっきりしない準備作業」（久保氏）となる。

　そこで、J-SOX法においては、「決算が重要」という大前提に立って、「トップダウン」で対策に臨むことが提唱されている。極端にいえば、業務プロセスは統制されてなくても構わないが、「決算・財務報告は必ず適性にする」ことを命題にしたのである。

　「トップダウン」の考えの最終ゴールも、「信頼できる財務報告」になる。それは、まず全社的な内部統制でカバーできる範囲を決め、次に決算・財務報告統制でカバーできる範囲を決め…という具合に進めていく。そして、業務プロセスまで見なければならないという場合には、その業務プロセスだけを見るようにする。

　SOX法もこのように規定しているのだが、実際には「ボトムアップ」で対策を講じた会社が多かった。だからこそ、J-SOX法では「トップダウン」の考えをかなり強調していると、久保氏は説明する。日本経済団体連合会も「ボトムアップ」の考え方を勧めることには強い難色を示している、といわれている。

決算・財務報告は「○」となるが……

　ただ、「トップダウン」の手順は完璧主義とはならないので、「漏れ」の部分が生じる可能性はある。下図で示すブルー部分がそれに当たるといってもいい。とはいえ、「トップダウン」も財務報告という重要な部分から整えていくやり方であることから、その「漏れ」の部分はあったとしても大したことではないという考え方ができる。

評価範囲の決定と財務諸表監査の概要図

　仮に、経理部門で業務プロセスがいくら間違っていたとしても、当該会社自身がそれを見つけられれば、それで構わない。「見つける内部統制があった」ということだからだ。そうであれば正しい財務報告がつくれるので問題ないというのが、J-SOX法における内部統制の考え方である。