内部統制で「×」となってもいい!?：J-SOX法対策の死角となるか？ IT統制の標的 第5回

内部統制が有効とならないケースは増えるという見方は強い。だとすると、そうした企業には何が起こるのだろうか。果たして、内部統制は不適正なままでいいのだろうか。

[アイティセレクト編集部]

監査法人の能力が問われる

　内部統制の評価範囲における業務プロセスの一つに「企業の事業目的に大きく関わる勘定科目（例えば、一般的な事業会社の場合、原則として、売上、売掛金及び棚卸資産）に至る業務プロセス」（※）がある（12月4日の記事参照）。これについて、監査法人トーマツでトーマツ企業リスク研究所所長を務める久保惠一氏は「非常にあいまいな、分かりにくい書き方になっている。それに惑わされてはいけない。そのまま解釈して楽だと思って臨むと、大変なことになる」と注意を促す。

　久保氏は「会社自身が監査人になるほどでなければいけない」と、強調する。要するに、監査法人に監査を受ける前に、当該会社自身できちんと監査し、完璧な決算書をつくれるようにしなければならないということである。上場企業に対してそうさせることが、J-SOX法における内部統制の最大の目的だというのだ。とにかく、業務プロセスが駄目でも常に完璧な決算を出し続ければ、内部統制が適正だから決算が適性だという判断が下されるのである。

　とはいえ、そんな「魔法にかかった」ようなことが実際にあり得るとは考えられない。とすると、裏を返せば、内部統制により「監査法人の能力が問われる」ことになる。「監査法人に能力がないと、決算・財務報告が間違っていても指摘できない。すると、（当該）会社は本当に見なくてはならない部分を見ずして決算を終えることになる。つまり、内部統制は、監査法人がしっかりしなくてはならないということを示す制度だ」と、久保氏は解説する。

　完璧な決算書を作成するために、当該会社は業務プロセスをチェックする必要が求められる。そのチェック機能を充実させるためには、内部監査部門や監査部など社内に第三者の立場をつくる必要がある。あるいは、監査法人など外部に頼まなければならないだろう。そこには当然、IT／システム監査の能力も求められる。

内部統制が不適正だと……

　内部統制は財務報告を適正にするために必要とされるもの（12月1日の記事参照）。正しい決算書を出す自信があれば、「内部統制はやらなくてもいい」（久保氏）ことになる。あるいは、内部統制が「不適正」と判断されたところで痛くもかゆくもないという会社であれば、何も気にする必要はないのである。

　では、内部統制が適正でなければどうなるのか。現在、その罰則規定は一部で検討中だという。例えば、東京証券取引所などでは3回（=3年）連続で「×」となると、上場廃止とする方向で考えているようだ。

　先行する米国の場合、そういった基準は全くないという。「×」は何回もらっても何も罰せられることはなく、上場を続けられるというのである。

　内部統制ができているかどうかは結局、企業としての信用問題だ。米国では実際に、「×」を受けた会社の格付けが下がったとか。それはひとえに、株価下落や借り入れ条件が厳しくなることにつながるのである。SOX法適用から2年連続で「×」を受けた会社もあり、その中には、世界的規模の監査法人や保険会社が含まれているという。

　久保氏曰く。

　「1年目は『×』でもいいと割り切っていると、2年目も『×』になる。1年目でがんばらないと、2年目でもできないということを理解しなければならない。やるだけのことをやって駄目だったら、どこが駄目だったのかが分かる。最初からそういう努力を続けないと、いつまで経っても駄目だろう」（「月刊アイティセレクト」1月号の特集「J-SOX対策の死角となるか？　IT統制の標的」より）。

＊本稿では、内部統制を日本版SOX（J-SOX）法により課される部分を中心として考える。2006年5月施行の会社法や各金融商品取引所（現行の証券取引所）が定める規則（上場基準など）に従う部分は基本的に考慮に入れていない。ちなみに、J-SOX法とは6月に公布された「金融商品取引法」の一部を指す（12月1日の記事参照）。

＊本稿は、可能な限り最新情報を盛り込んでいるものの、基本的に2006年11月15日時点の情報に基づく。

※　「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」の「�U財務報告に係る内部統制の評価及び報告」から引用。