日本版SOX法・徹底解析

プロティビティジャパン

ディレクタ　公認会計士

東 義弘

http://itpro.nikkeibp.co.jp/article/COLUMN/20090609/331577/

　多くの3月決算上場企業が，内部統制報告制度（J-SOX）適用初年度の対応を終えて，ほっとしているのではないか。何しろ初めての制度である。企業も監査人も不慣れな状況のなか，何とか初年度対応を終えた企業も少なくないようだ。

　J-SOX初年度はとりあえず乗り切ったとはいえ，多くの企業がその対応に課題を残していると言っても過言ではない。対応が過度に保守的になっているケースが多いからだ。詳細かつ広範囲な文書を必要以上に作ってしまった，評価対象のコントロール数が膨らんでしまった，などが挙げられる。

　だが，J-SOXは1年で終わるものでない。毎年続く制度である点を忘れてはならない。上記の課題を放置しておくと，多大な社内外のコスト，評価担当者や関係部署の負荷がと続くことになる。このままでは社内の理解を得られず，内部統制を自社の仕組みとして定着させるのが困難になってしまう。

　J-SOXの取り組みを自社に定着させるためには，「過度に保守的な対応」の効率化に取り組む必要がある。この連載では，J-SOX適用2年目以降に内部統制の効率化に向けてどう取り組むべきかを7回のシリーズで解説する。

　執筆は，日本版SOX法（J-SOX）対応後の企業経営を考える非営利団体であるAfter J-SOX研究会のメンバーがリレー形式で担当する。今回は総論として，適用初年度の問題点と，2年目以降に目指すべき方向を概観する。

2年目以降も「重大な欠陥」が改善しないと株価が下がる

　J-SOX対応の話題に入る前にまず，米国におけるUS-SOX法404条への適用初年度の状況とその後の推移を見ておこう。日本での適用2年目以降を考えるうえで参考になると思われるからである。

　US-SOX適用初年度に「重大な欠陥」はどれだけ報告されたのだろうか。「重大な欠陥」はJ-SOXの「重要な欠陥」に相当し，開示対象となる内部統制上の問題点のことである。米Audit Analyticsの調査によれば，US-SOX法の早期適用対象となった大企業3700社のうち，16.9％にあたる624社が「重大な欠陥」を報告した。

　だが，その後の推移を見ると，「重大な欠陥」を報告する企業は年を追うごとに減っていく。適用4年目では4012社中，7.0％の280社となっている。US-SOX法対応にかかるコストも，適用初年度は1社当たり平均440万ドルだったが，適用4年目には同170万ドルへと大幅に減少している（米Financial Executives Internationalの調査による）。

　この結果から，米国のUS-SOX法早期適用企業は適用初年度以降も継続して改善活動とコスト削減に取り組み，内部統制の仕組みを維持可能なものとする努力を続けていると考えられる。

　では「重大な欠陥」を報告すると，企業はどれほどのダメージを被るのだろうか。米国で「重大な欠陥」を公表した企業の平均株価を見る限り，適用初年度の平均株価への影響はほとんどないようだ。

　2年目以降は状況が異なる。2年目以降に「重大な欠陥」を改善した企業の平均株価は上昇したのに対し，2年目以降も改善できなかった企業の平均株価は下落したと報告されている。重要な欠陥が見つかったことよりも，その後に経営者や企業が内部統制の整備にどう取り組んだかが，平均株価や企業価値に影響していると考えられる。

　J-SOX適用初年度には，一定数の日本企業が「重要な欠陥」を報告するだろう。問題はその後の対応である。事業年度末に存在する重要な欠陥は「今後改善を要する重要な課題」という意味であり，その改善を図ることが大切になる。経営者の姿勢が企業価値の維持・向上につながるといえるだろう。

J-SOX初年度に顕在化した問題点

　J-SOXはそもそも米国の反省点を踏まえて導入された。加えて，金融庁は対応策として，2008年3月に「内部統制報告に関する11の誤解」，同6月と2009年4月に「内部統制に関するQ＆A」の追加分を公表した。

　しかし，実際には日本企業でもUS-SOX法導入時と似た状況が発生している。J-SOX適用初年度で発生した問題点を，J-SOX対応プロジェクトの流れに沿って「プロジェクト管理全般」「評価範囲の決定・文書化」「評価体制・方法」の3つに分けて整理してみよう。

●プロジェクト管理全般

(1)会社における内部統制の整備・運用の方針が明確になっていない

(2)膨大な文書の作成や，文書に対する多大な評価作業が発生したため，進捗管理を適時・適切に行うのが困難で，管理業務に多くの時間を要する。不備の改善状況も適時に把握できていない

(3)文書，評価管理ツールを導入したものの，機能面やプロジェクト体制などの問題があり，十分に使いこなせていない

(4)適用初年度の対応に追われ，今後の体制や取り組みの方向性といった2年目以降の継続的な対応について議論できていない

●評価範囲の決定・文書化

(5)重要な虚偽記載につながる可能性の低い業務プロセスやリスクを評価対象としている

(6)一律の金額基準だけで評価範囲を決定しており，業務の特性上重要なプロセスや拠点が評価範囲に含まれていない

(7)取引パターンやリスクを過度に細分化して文書を作成しており，類似のプロセスや取引パターン，リスクを共通化・標準化できていない

●評価体制・方法

(8)J-SOXの評価作業負荷が大きく，内部監査部門の本来業務である業務監査を実施する余裕がない

(9)社内の内部監査要員では足りず，多くの外部リソースを利用しており，その分コストがかさんでいる

(10)独立評価部署の客観性と専門性について，外部監査人から疑義を持たれている

(11)プロセス・オーナーやコントロール実施者が内部統制を十分に理解しておらず，経営者評価や外部監査人評価への協力も不十分なため，評価作業に多くの時間を要している

(12)評価対象となるコントロールを絞りこめず，必要以上に多くのコントロールを評価している

(13)IT業務処理統制を十分に生かせず，手作業によるコントロールを主体に評価している

(14)モニタリングにかかわるコントロールを十分に認識，評価できていない

(15)経営者が積極的かつ主体的に内部統制評価を実施していない。外部監査人対応のための内部統制評価が主となっている

(16)重要な虚偽記載とは関連性の低い不備事項とその対応のために，必要以上に時間を取られている

2年目以降に取り組むべきコスト削減・効率化の方策

　いま挙げた適用初年度での問題点を改善し，コスト削減・効率化につなげるためには，どうすればよいか。まずは，内部統制の整備・運用の方針を再確認し，経営者，プロセス・オーナーを含む社内全体の理解や協力，参画を得る。その上で，重要な虚偽表示リスクに焦点を当ててリスクベース・アプローチにより評価範囲を決定し，評価対象リスク、コントロールを再評価することが肝要である。

　2年目以降に取り組むべき主なコスト削減・効率化の方策を表1に示したので，参考にしてほしい。項目の分類は，先ほど触れた問題点と合わせている。

表1●コスト削減・効率化のアプローチの例

フェーズ コスト削減・効率化アプローチの例

1. プロジェクト管理全般 ・会社の内部統制の整備・運用に関する方針を策定・周知

・リスク・コントロールの変更管理プロセスを構築

・プロジェクトでの対応を持続可能なプロセスに組み込む

・適切な文書化・評価支援ツールを導入・活用

2. 評価範囲の決定，文書化 ・財務報告リスクに焦点を当てたリスクアプローチによる評価範囲を再検討

・評価対象のプロセス，拠点，取引パターンを見直し

・発生可能性や金額的・質的な重要性などを考慮してリスクの重要性を評価し，認識対象とするリスクを統合・追加する

・ベストプラクティスを認識・共有し，コントロールの共通化・標準化につなげる

3. 評価体制・評価方法 ・財務報告にかかわる評価対象リスクとコントロールを絞り込む

・IT業務処理統制の適用範囲を広げて，評価サンプル数を減らす

・前年度結果への依拠により，IT業務処理統制の評価工数を削減（IT全般統制が有効で，変更管理が適切になされていることが前提）

・データ・マイニングを活用，データ分析結果をダッシュボード化

・全社レベルのモニタリング活動や，主要リスク指標などのモニタリングコントロールを評価

・自己評価制度を導入する。内部監査のモニタリングを組み合わせる

・評価方法の合理化やテスト実施時期を検討。期中評価とロールフォワードテストの関係を整理する

・取引パターンのグルーピングにより，複数コントロールにおけるテスト対象サンプル母集団を共通化

　ここで示した方策は，比較的短期間で実行できるものもあれば，時間やコストがかかるものもある。状況に応じて，単年度だけでなく中長期的な対応を含めて継続的に改善を進める必要があるだろう。

内部統制の付加価値を高めるために

　J-SOX適用2年目以降に考えるべきことは，内部統制の効率化だけでない。内部統制の仕組み作りを，経営品質を向上させ，その状態を持続可能にするといった「付加価値」向上の機会としてとらえることが大切である。

　付加価値の高い内部統制はリスクマネジメントの基盤となり，社内外に対する報告制度の品質，社会的信頼，経営の有効性と効率性，経営品質それぞれの向上に寄与することが期待できる。経営品質を高める内部統制を目指すためには，長期的視点に立って正しく選択し，持続可能性を向上させつつ価値創造に結び付けていく必要がある。

図●内部統制の成熟度モデル

　図は内部統制の成熟度モデルを示している。J-SOXの合格ラインとされる内部統制は，レベル3（定義・制度化）相当である。

　2年目以降には，内部統制の成熟度レベル向上に向けて，(1)コントロールの有効性を高めてリスクの低減を図り，品質を安定・向上させる，(2)パフォーマンスを改善し，統制評価の業務効率化により品質を改善する，の双方に取り組んでいかなければならない。

　その際には，ビジネス戦略と方針，ビジネス・プロセス，人・組織，マネジメントへの報告，方法論，データとシステムといった内部統制の要素別に，各社が目指すべき成熟度の目標レベルを設定し，現状とのギャップを把握・改善していくことが有用である。

　さらに，J-SOXへの取り組みで得たリスク，コントロールや評価に関する知見を利用して，コンプライアンス（法令順守），業務の有効性・効率性，資産の保全といった内部統制の目的全般を達成するために展開していくことになる。コスト最適化と品質の向上により経営効率を上げて，効果的なリスク管理による競争優位を確保し，それらを戦略策定に利用して経営目的の達成を支援することが，全社的なリスクマネジメント（ERM）へのアプローチとなる

　次回は内部統制の効率化に向けて，方針や体制，スケジュールをどう考えるべきかを説明する。

東　義弘（あずま よしひろ）

プロティビティジャパン

ディレクタ

アーサーアンダーセン大阪事務所で，財務諸表監査に従事。大手商社でリスクマネジメント部，同社インドネシア現法会社管理部長，本社監査部企画業務チーム長を歴任。2004年プロティビティ ジャパンに入社。通信業・商社，製造業など多くの企業の米国企業改革法対応並びに金融商品取引法内部統制評価プロジェクトを支援。公認会計士，公認不正検査士

<<前ページ 1 2 3

　[2009/06/12]