まだまだ安心できないSOX法対策：[Analysis]

[大津心，＠IT]

　以前、金融庁が6月に追加発表した「内部統制報告制度に関するQ＆A」について、「役立つと思われるものが多いので一読をお勧めする」と述べた。追加発表されたQ＆Aでは新たな解釈なども含まれ、役立つ部分が多い。しかし、その後の取材で、現場では金融庁の見解だけでは安心できない状況になっていることが分かってきた。

　まずはさっと日本版SOX法についておさらいしてみよう。今年の4月から日本版SOX法の適用が始まり、上場企業は決算時に、新たに「内部統制報告書」と「内部統制監査報告書」を提出しなければならなくなった。従来は「財務諸表」と「財務諸表監査報告書」だけでよかったので、提出書類が増えた形だ。これに伴って、上場企業の経営者は社内の内部統制の状況を把握して報告しなければならなくなった。

　内部統制自体は有効でなくても法律違反ではないが、本当は有効でない状態なのに、ウソをついて「有効である」と報告すると、虚偽報告で刑事罰の対象になる。ただし、現実的には内部統制がキッチりできていなければ会社の社会的信用が下がり、株価低迷などの事態を招く可能性が高いので、内部統制もキチンと行う必要がある。

　具体的には、各種内部統制への取り組みを行って社内監査などを通過した後、財務諸表などと同じように、内部統制の実施状況も監査人に監査をしてもらう。金融庁は、内部統制実施の参考書となる実施基準や、前述のQ＆Aを発表して内部統制への取り組み方に対する見解やお手本を示してきた。これらの情報やコンサルタントのアドバイスを基に各種内部統制への取り組みを行えば、金融庁の意向に沿うことはできる。しかし、実際の決算では監査人に監査を受けた「内部統制監査報告書」も提出しなければならない。

　つまり、金融庁の見解に沿って取り組みを行っても、監査人が“NO”といったら監査報告書に「内部統制に重大な欠陥あり」と書かれる可能性があるのだ。では、監査人は何を基準に監査しているのだろうか。日本公認会計士協会は2007年10月に文書を発行し、監査の基準を公開しており、この内容は金融庁の見解よりも厳しい内容となっている。

　例えば、内部監査の扱いについて、Q＆Aでは「経営者が評価に使ったサンプルと違うものを抽出すること」としているのに対して、日本公認会計士協会では「内部監査の利用については、企業が実施している内部監査の状況を評価すること」としている。

　各監査法人はこの基準を基に、各法人ごとに所属する監査人向けの独自マニュアルを作成している。しかし、実際のところでは監査法人ごとに考え方や解釈が異なるようだ。監査法人としては、もし“ゆるい”マニュアルを作成して、監査後に“監査がゆるい”と評価されると自身の評価を落としかねないため、必然的に保守的になっている傾向があるという。

　あるSOX法コンサルタントによると、監査法人ごとに“保守的な度合いの差”が存在し、監査マニュアルにも影響が出てきているという。その結果、来年の監査では、同じようなケースでも監査法人ごとに監査結果に差が出る可能性があるようだ。

　このように、監査法人自身も悩みつつ監査マニュアルを作成し、近ごろでは多くの監査法人で出揃ってきているようだ。“弊社の内部監査はバッチリ”と自信のある企業であれば特に問題ないと思われるが、自信が持てない企業はこの時期にいま一度、評価基準などを確認した方がよいかもしれない。