日本版SOX法がついに走り出す
日本版SOX法がついに走り出す
http://www.atmarkit.co.jp/im/cits/special/five_jsox/00.html
「日本版SOX法」「米国SOX法」「J-SOX」「内部統制」など、つい3年前までは一般にはまったくなじみのなかった「内部統制」と「SOX」という言葉が乱舞し、上場企業はその対応に向け一斉に走り出した。
一方、走り出した企業の内部統制対応を支援すべく、コンサルティング会社やIT企業は大きなビジネス機会ととらえ、新たなサービスや製品の投入やプロモーションが花盛りである。
そのような熱い環境の中で、「日本版SOX法は何をどれくらいの範囲で、どれくらいの深さで、良しあしの判断はどんな基準で?」などを解説した実務面でのガイドラインが「財務報告に係る内部統制の評価及び監査に関する実施基準-公開草案-」(以下、実施基準案)として、2006年11月21日に金融庁企業会計審議会から公開された。
公開草案なので確定版に向けた今後の議論の余地は残すが、「目的」や「しなければならないこと」が明確になり「やり方」「やるボリューム」など目指すゴールとそこに行くための道筋、手段が見えてきた。この日本版SOX法やJ-SOXといわれる、「財務報告報告に関する内部統制」のポイントを解説する。
■1分 - そもそも日本版SOX法って?
- PR -
日本版SOX法という法律は、実は存在しない。「SOX法」というのは、米国の法律だ。上場企業の会計不信や開示不信によって大きく傷ついた資本市場の信頼回復を目的に、米議会に法案を提出した2人の議員の名前を取って2002年に制定された「サーベンス・オクスリー法」の略称だ。日本では「企業改革法」と訳されている。
日本でも、大手鉄道会社や大手化学会社などの有価証券報告書への不実の記載が発覚し当該企業が上場廃止に追い込まれ、証券市場の信頼を大きく損なったことは記憶に新しい。この不祥事以前から日本でもディスクロージャーの信頼性確保に向けた機運が高まっていた。
その終着点として金融庁企業会計審議会が2005年12月に「財務報告に係る内部統制の評価及び監査の基準のあり方について」(以下、部会報告)を公表した。そして、内部統制義務化の根拠法として2006年6月に証券取引法の改正という形で金融商品取引法が成立。この法律を受け、実務的な基準を確認すべく、金融庁企業会計審議会が2006年11月に公表したのが実施基準案だ。
部会報告、金融商品取引法、実施基準案の3つを合わせて「日本版SOX法」「J-SOX」と呼んでいる。あくまで法的根拠のない俗称である。とはいってもいまでは完全に市民権を得、デファクトスタンダードな表現になっている。
ところで、2006年5月に法務省も「新」会社法を施行しその中で、資本金5億円以上、または負債総額200億円以上の企業(大会社)に対し、内部統制構築を義務付けた。日本版SOX法と何が違うのだろう。会社法の内部統制は企業活動全般を対象にするものであるが、金融商品取引法を根拠とする日本版SOX法の対象範囲は「財務報告に係る」内部統制であり、対象企業も会社法が“大会社”であるのに資本市場の主役たる“上場企業”(および連携子会社)に限定される。
日本版SOX法と新会社法の適用範囲
■2分 - キモの内部統制を解説しよう
- PR -
日本版SOX法は財務報告に係る内部統制の評価と報告を義務付けるものだ。では、内部統制とは何だろう?
内部統制は、
業務の有効性および効率性
財務報告報告の信頼性
事業活動にかかわる法令の遵守
資産の保全
この4つの目的が達成していることを保証するために、企業集団の業務に組み込まれ構築され、派遣や臨時雇用の従業員など企業集団内のすべての者が業務の中で遂行するプロセスをいい、(1)統制環境、(2)リスクの評価と対応、(3)統制活動、(4)情報の伝達、(5)モニタリング(監視活動)、(6)ITへの対応の6つの基本要素で構成される。
日本版SOX法は経営者がこのプロセスを整備し、運用し、有効性を自ら評価し、結果を報告する、そして、この経営者による一連の流れを監査人により監査することを求めているのだ。
先行する米国でSOX法への対応に多くのコストが掛かったことへの配慮から、日本版では財務諸表監査との一体実施、ダイレクトレポーティングの不採用や、不備の区分を米国SOX法の3区分から2区分にするなど、米国での反省が大きく生かされている。
これで、ゴールと道筋は見えた。しかし、「内部統制の評価および報告をする子会社、関連会社の範囲はどこまで?」「プロセスの範囲はどこまで?」「評価といっても良しあしの基準は?」といったゴールへ向かう手段と手法が分からない。そこで、実務的な指針として公開されたのが実施基準案だ。
日米SOX法の比較
■3分 - ガイドラインがあります
- PR -
実施基準案は、「内部統制とは……」を示した「I 内部統制の基本的枠組み」と、経営者がしなければならないことをガイドした「II 財務報告に係る内部統制の評価及び報告」、そして、監査人がなすべきことをガイドした「III 財務報告報告に係る内部統制の監査」の3部で構成されている。
基本的枠組みは「すべての組織に適合するものを一律に示すことはできない」「共通の基本的枠組みが考えられる」と基本的な考え方と最低限のルールを示しており、それ以外のルールは経営者が自らの判断でルールを作るという精神だ。
自動車の運転にたとえると、制限速度は決めるが、実際に走るスピードは運転する人が判断する。つまり時速40キロ制限の道路のカーブでスピードをどれくらい落とすかはルールを作るか作らないかを含めて、運転手の判断に任せるということだ。
もし、カーブでの「はみ出し事故」(リスク)を防止するため「カーブでは時速10キロで走る」(統制)というルールを運転者(経営者)の判断で作るとすると、ルール(統制)が守られているか否かをカーブを通過する都度、スピードメーターで速度を確認(テスト)し、そのルールが有効かどうか評価、報告する。そして、この一連の手続きは監査人の監査を受けることになる。これが内部統制の一連のプロセスの例だ。
■4分 - 具体的な進め方を確認しよう
- PR -
実施基準案の「II 財務報告報告に係る内部統制の評価及び報告」では経営者が「どうやって内部統制の評価、報告を行うのか」を説明している。以下がその手順と要点だ。
まず、第1ステップとして全社的な内部統制の評価を行う。これは連結対象子会社、持分法適用関連会社、在外子会社といった連結ベースでの企業集団全体と業務委託会社が対象となる。
次に第2ステップとして主に経理部が担当する決算・財務報告プロセスの統制の評価を行う。これはすべての事業拠点が対象になる。
第3ステップで決算・財務報告以外の業務プロセス統制を評価する。
例えば、第1、第2ステップでの評価が良好であれば、売上高の3分の2程度の割合に達する事業拠点といった重要な事業拠点に絞り込む。一般の企業の場合は、売上、売掛金、棚卸資産といった事業目的に大きくかかわる勘定科目に至る業務プロセスは原則対象範囲とする。
さらに、リスクが大きい業務プロセスや見積もりや予想を伴う重要な勘定科目に掛かる業務プロセスを評価の対象として追加する。この評価範囲について経営者は、監査人と協議を行いながら設定することが適切である。
次は評価の基準だ。内部統制の不備のうち「重要な欠陥」は期末時点で存在している場合、内部統制報告書に内容と理由を記載しなければならない。では、何をもって重要な欠陥と判定するのだろう。当該不備の金額的重要性と質的な重要性を勘案して判断することになるが、実施基準案は判断基準として「連結税引前利益の、おおむね5%程度」と例示している。
そして、このような経営者の評価、報告を「III 財務報告に係る内部統制の監査」では、監査人が「どのように監査するか」という監査の手段と手法を説明している。具体的には業務プロセスに係る内部統制の運用状況の評価については、90%の信頼を得るために、評価対象となる統制上の要点ごとに、少なくとも25件のサンプルを必要とするといった例が示されている。
■5分 - あった方がいいITシステム
- PR -
最後に実施基準の内容から見て、あった方がいいITシステムや、導入が求められていると思われるITシステムはどのようなものだろうか。
会計システムにつながる販売、購買、生産管理、固定資産管理などの業務システムが統合され業務処理統制の自動化を実現しながら、システムの利用に関する認証やアクセス管理、マスタデータの一元管理などのITにかかわる業務処理統制がもともと組み込まれているERPは非常に有効だ。
さらに、運用方法としては内部統制の範囲は企業集団となることから、企業集団で1つのシステムをシェアードで利用することが極めて有効だ。シェアード型のシステムであればIT統制の評価は1つのシステムの評価で済む。
そして、今後継続的に実施しなければならない内部統制の評価、監査、不備の改善、報告をカバーする「内部統制管理ツール」も強力な道具だ。
スポンサードリンク
