Q&A形式で押さえる内部統制対応の“勘所”:内部統制担当者は、何をよりどころにすればいいのか?
日本版SOX法の適用初年度、確固たる基準が見えない中で企業の内部統制担当者は何をよりどころに対応作業を進めればよいのか? アビーム コンサルティングの永井 孝一郎氏は、「そこには“勘所”がある」と言う。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
いよいよ2008年4月から日本版SOX法の適用が開始された。早くから対応を始めていた企業では、十分な準備期間を置いた後に内部統制の運用を開始していることだろう。しかし一方で、まだ内部統制の整備が十分に進んでいない企業も多いと聞く。
また企業だけではなく、企業の内部統制をチェックする側の監査法人や外部監査人も状況は同じのようだ。どの業務範囲をどれぐらいの粒度でチェックし、どのようなドキュメントを作成しなければいけないのか。監査法人や外部監査人によって、その基準はまちまちなのが実情のようだ。こうした中、企業は内部統制やIT全般統制をどのような方針に従って進めればよいのだろうか。
2008年9月25日、内部統制担当者が抱えるこうした課題に応えるべく「日本版SOX法対策ミーティング」と題したイベントが、@IT情報マネジメント編集部の主催で開催された。基調講演では、内部統制のコンサルティング実績が豊富なアビーム コンサルティングの永井 孝一郎氏が登壇し、「本当に困っている人のためのJ-SOX対応の勘所」と題した講演を行った。永井氏いわく、内部統制対応をスムーズに進めるためには、制度の基本をしっかり理解することと、実際に対応作業を行う上での勘所を押さえることが重要だという。本稿では、迷える内部統制担当者のために、イベント当日の永井氏の講演の概要をお伝えする。
内部統制対応のために理解しておくべき基本知識
日本版SOX法の適用対象となる企業では、これに対応するため内部統制の整備・評価などの取り組みを進めているが、その進ちょく度合いには大きなばらつきがある。そもそも誤った対応をしている企業、どうすればいいのか分からず立ち往生している企業、さらには外部監査人と意見が合わない企業や、いまだに経営者の理解を得られていない企業すらあるという。
永井氏は、こうした企業において多くの悩みを抱えている内部統制担当者に対して、内部統制の整備・評価を進める上で、まず理解しておくべき基本的なポイントを指摘した。
「そもそも内部統制とは、組織経営や計画経営の仕組みであり、その在り方を決めるのは経営者自身です。外部監査人による内部統制監査は、経営者の作成した内部統制報告書に誤りがないことをステークホルダーに保証する業務であり、監査結果に対してはどうしても保守的になりがちです。また、いわゆる『内部統制の実施基準』はあくまでもガイドラインにすぎません。趣旨、方向性、範囲などが合理的で、かつ内容が妥当であれば、実施基準や監査法人の書式に無理に合わせる必要はないのです」(永井氏)
内部統制を整備・評価するに当たって、明確な基準が存在しないことも重要なポイントだ。現時点では、個々の企業が置かれた状況や監査法人、外部監査人などによってその判断基準が異なることが当たり前になっている。今後数年間の運用経験や事例の積み上げによって、徐々に判断基準が定まるとともに、内部統制の評価制度も固まってくると永井氏はみる。
さらに、内部統制の評価範囲は状況に応じて絞り込むことが可能だ。
「重要な拠点、事業、業務であっても、しっかりとした理由があれば評価対象から外すことができます。従って、どうしても準備が間に合わない拠点などがある場合には、無理に内部統制対応させずに、理由を明示して除外する選択肢もあります」(永井氏)
しかし、準備不足を虚偽の報告で乗り切ろうとするのは、言うまでもなく許されざる行為だ。内部統制報告書を提出しなかった場合や、その記載に虚偽があった場合は、経営者個人には5年以下の懲役もしくは500万円以下の罰金(または併科)、法人には5億円以下の罰金が課せられることも忘れてはならない。
Copyright © ITmedia, Inc. All Rights Reserved.