日本版SOX法2年目はこの2つをやるべき：特集：ログ管理インタビュー（2）

日本版SOX法適用初年度が一段落したが、多くの企業は今後も内部統制報告書を提出し続けなければならない。しかし、かなりのリソースが削減された現状で、どうやって2年目以降を乗り越えればよいのか。あらた監査法人代表社員・公認会計士である箱田順哉氏に話を聞いた。

[大津心，＠IT情報マネジメント編集部]

　去る2009年6月30日、日本版SOX法で提出が義務付けられた「内部統制報告書」の提出期限となり、3月決算の上場企業約2700社が内部統制報告書を提出した。これで、日本版SOX法初年度が一段落したといえる。なお、3月期決算以外の企業はこれから初年度を迎えるが、上場企業の7割が3月決算のため、今回は約2700社の3月決算の上場企業を中心に考える。

　約2700社の報告結果を見ると、経営者が自社の内部統制について「有効」と評価した会社は全体の約98％にも上る。一方で、「重大な欠陥がある」と評価した会社は56社で同2.1％、評価結果を表明しなかった会社が9社（同0.3％）あった。米国のケースと単純比較するべきではないが、米国SOX法では導入初年度に16.3％の企業で「重大な欠陥」が見つかったことと比較すると、かなり少ない結果となった。

　その背景には、そもそも日本版SOX法では「米国SOX法が当初厳しすぎために、対象企業に多大な負担をかけた」という点を配慮し、「なるべくコストをかけないでできるように」と配慮されて作られた経緯がある。また、金融庁が日本版SOX法対策へのガイドラインを示す時期が当初の予定よりかなり遅れた結果、各社の対応が遅れたことを勘案した結果、“初年度は甘めに見ている”という関係者の意見もある。

　一方で、このような“甘め”の対応をしていると、そもそも日本版SOX法の存在意義がなくなりかねない。その点を懸念して、金融庁の企業会計審議会内部統制部会などが、2年目以降の引き締めを図る可能性もあるという。また、ほとんどの企業では、現在の経済情勢の影響もあり、初年度よりも専属人員を削減して2年目以降に対応していく予定だ。

　では、これから始まる日本版SOX法2年目を少ない人員でどのように回していけばよいのか。その点について、監査法人にて内部統制や内部監査のコンサルティング業務などに従事し、数十社の日本版SOX法／米国SOX法対応マネジメントサポートに従事した経験を持つ、あらた監査法人代表社員・公認会計士である箱田順哉氏に話を聞いた。

重大な欠陥はなくとも、欠陥がある企業がほとんど

　箱田氏はまず、日本版SOX法適用初年度の状況を説明。56社（全体の2.1％）あった「重大な欠陥」の内訳を見てみると、「全社的な統制」に欠陥があったケースが23件で34％、「決算・財務報告プロセスに」に問題があったケースが最も多い28件で41％だった。

あらた監査法人代表社員・公認会計士 箱田順哉氏

　この結果について、「役員による不正と監査修正を原因とするケースが、重要な欠陥に該当する場合が多かった。一方、ITシステムに関するものは少なかった」と分析。そして、「あまりメディアなどで注目されていないが、重要なのは“評価結果を表明しなかった9社”だ。この9社は重大な欠陥があった56社よりも、さらに重大な問題が潜んでいる可能性があるからだ」と説明した。

　ただし、箱田氏は「内部統制は有効だ」と回答した約98％の企業についても、「有効だと回答していても、重大な欠陥がないだけで、実際には軽微?中規模な欠陥がかなりあり、“なんとか初年度を乗り切った企業”がほとんどだ。2年目以降はこの欠陥をつぶしていく必要がある」と警告する。

　そして、日本版SOX法対応2年目の最大の課題がこの欠陥に対する改善だという。

2年目以降も、必要に応じて文書化作業が必要

　この内部統制の不備・欠陥に対する改善作業は、「事業／ビジネスに変更があった」「財務報告にかかわる内部統制に変更があった」「何も変更がないがITシステムが変わった」という3種類に大別できる。

　「事業／ビジネスに変更があった」場合には、当然それにかかわる内部統制対応にも変更が必要だ。そして、内部統制対応を是正した後には、整備状況の再評価→運用状況の再評価が必要となる。

　同様に、内部統制対応に変更があった場合や、内部統制対応やビジネスに変更がないもののITシステムが変わった場合でも、同じく是正した後に整備状況と運用状況の再評価が必要となる。また、それに伴い変更個所について、新たに文書化したり、既存文書を修正したりする必要がある。

　箱田氏は、「初年度、多くの企業では文書化にかなりの工数・コストをかけて実施した。2年目以降も状況に応じて、変更などがあれば当該個所の文書化が必要だ。しかし、文書化には手間がかかるため、工数を減らしつつ、効率化を図った対応が必要になってくる」と説明する。

効率化ポイントは「ツール」と「監査法人との協議」

　しかし、現在の経済状況下において、ほとんどの企業は初年度よりも内部統制対応コストを削減している。多くの企業では内部統制専門部署を解散し、人的リソースも大幅削減しているのが実情だ。

　このような状況を踏まえて、箱田氏は日本版SOX法対応2年目における最大のポイントに「効率化」を挙げる。リソースが少ない状況であっても、毎年内部統制報告書を出さなければならない状況では、効率化を図らなければ対応できないからだ。

　効率化の具体的な方法には、「ツールの導入」「監査法人との協議」の2点を挙げる。ツールの導入とは、「内部統制対応を効率化するためのツール」を導入することで作業の効率化を図るというものだ。例えば、文書化支援ツールで文書化作業を効率化したり、ログ管理ツールで、サーバログなどをトータルで管理するといった具合だ。このようにツールを導入することで、管理が楽になるほか、自動化によってかなりの工数削減効果も期待できるという。

　「監査法人との協議」も非常に重要なポイントだという。監査法人との協議とは、「キーコントロールをどれにするか？」「キーコントロールの数をもっと減らすことはできないか？」「評価の仕方を簡単なものに変更できないか？」といった点を、あらかじめ監査法人と相談しておくという手法だ。

　箱田氏は「この協議をしておくと、かなりの工数を削減できる。キーコントロールや評価方法をあらかじめ決めておけば、それ以外の余計な作業をする必要がなくなるので、確実に工数を減らせる点は大きい」と語り、有効性を強調した。

2年目以降は提出期限が1〜2カ月早まる可能性が

　そして、箱田氏がもう1点日本版SOX法対応2年目以降のポイントとして挙げるのが、「監査報告の期ずれ問題」だ。これは現在の法制度の関係で、「監査役」が会社法に基づいて監査報告書を提出した後に、「監査法人」から内部統制監査報告書が提出されてしまうという問題。

　この期ずれがあるために、「監査役が提出する監査役監査報告書において、財務報告に係る内部統制の問題を指摘していないのにもかかわらず、その後に監査法人が内部統制監査報告書で問題を指摘したらどうなるのか」というケースが発生してしまう可能性があるのだ。

　箱田氏は、「この問題を解決するために、金融庁が法改正などに挑む可能性もある。しかし、恐らく多くの企業の間では自主的に、“内部統制報告書を提出する期限を前倒しすることで期ずれを防ごう”という動きが出るはずだ。つまり、初年度と比較して1カ月は内部統制報告書の提出期限が早まる可能性が高い。それができないと、“提出が遅い企業”と思われる可能性もある」と説明した。

　なお、＠IT情報マネジメントでは、2009年7月24日に東京コンファレンスセンター・品川において、「＠IT情報マネジメント カンファレンス 第4回ログ活用セミナー」を開催する。同セミナーでは、箱田氏をお呼びして、今回解説した日本版SOX法対応のポイントをさらに掘り下げ、さまざまな実例を交えて解説する。

「特集：ログ管理インタビュー」バックナンバー

• 目的の明確化が、ログ活用の必須条件
• ログは取り始めて初めて分かることがある
• 日本版SOX法2年目はこの2つをやるべき
• ログを有効活用するためにするべきこと