6月7日に金融商品取引法が成立した。これで、内部統制対応までの締め切りは確定した。一方、当初成立直後に発表予定だった実施基準の公開が遅れている。しかし、締め切りは迫るばかりだ。そこで、今回は“やるべきことと、いまできること”を整理して紹介する。
6月7日に金融商品取引法が参議院本会議にて可決され、正式に成立しました。これにより、すべての上場企業(約3800社の上場会社と、その連結子会社約5万社)は、2009年3月期からの決算以降、「内部統制報告書」を提出する義務を負うことになります。
内部統制対応の期日は確定しました。
内部統制対応プロジェクトの事務局メンバーや関係者の皆さんとしては、「期日までに内部統制の整備作業に間に合わせなければ」という気持ちだと思います。しかし、1つ問題があります。それは『実施基準』がまだ公開されていないことです。
『実施基準』とは、内部統制の仕組みを整備するうえでその具体的なガイドラインを詳細に記述したものです。約200ページに及ぶ文書で、そこには内部統制の整備を進めるための具体的な数値目標や、各要件に対する詳細な説明が書かれているといわれています。
当初の予定では6月ごろに公開されるといわれていたのですが、最近のメディアなどの報道によると、早くても7月ごろに草案を公開してパブリックコメントを求め、秋以降に正式なものとするとのことです。確かに200ページ以上にも及ぶといわれている膨大な文書ですから、その記述内容の重要性から慎重に吟味する必要があるのは当然です。しかし、内部統制の仕組みの整備を行う事務局にとって、この遅れは予想外という声が大きいようです。
「監査法人に問い合わせたが、相談に対応できるレベルにないといわれてしまった」や、「実施基準が確定していない現時点で、方針策定や対象範囲の検討、全体の作業スケジュールの計画を作るのは難しい」などという話をよく聞くようになりました。
『実施基準』が公開されるまでにまだしばらく時間があります。対応期限はすでに決まっていますから、時間は限られています。ですから“やるべきことと、いまできること”を整理して、ムダなく効率良い作業を行う必要があると思います。
現在整備を進めている日本版SOX法の『実施基準』が参考にしているものが、米国SOX法のガイドラインです。これはPCAOB(公開会社会計監視委員会:Public Company Accounting Oversight Board)と呼ばれる組織が出している「監査基準第2号(Auditing Standard No.2)と呼ばれるものです。
もちろん日本版SOX法は、米国SOX法をベースに日本の現状と考え方を考慮したものなので、まったく同じではありませんが、基本的な目的や方向性は同じと考えることができます。すでに米国では内部統制対応3年目となっていることから、その事例や経験から学べるところは多いと思います。
こうした米国対応事例や現時点で公開されている草案をひもといて、内部統制対応プロジェクトの事務局は、どのような作業をしなければならないのかを考えてみたいと思います。
まず、全体のマイルストーンですが以前にもご紹介したように、大きく4つのフェイズと8つのステップに分けることができます(図1)。
フェイズ1: | プロジェクトの立ち上げ |
---|---|
(1)事前調査と(2)計画策定 | |
フェイズ2: | 文書化作業と仕組み構築 |
(3)文書化作業と(4)仕組みの構築 | |
フェイズ3: | テスト・評価・改善 |
(5)内部統制のテスト・評価と(6)欠陥の是正(改善) | |
フェイズ4: | 内部評価と外部監査 |
(7)経営者による評価と(8)外部監査 | |
まずフェイズ1ですが、ここはプロジェクトの立ち上げですからプロジェクト体制やメンバーの選定、関係者(経営者、内部監査、外部監査、プロセスオーナーなど)を特定する必要があります。
関係者が多数になりますので、その役割や責任、コミュニケーション手段などを明確にしておく必要があります。内部統制整備の対象範囲は、外部監査法人との協議で詰めていくことになりますので、現時点では確定させることは難しいかもしれません。しかし、重要拠点や対象とする業務プロセス(サブプロセス含む)の考え方は、米国SOX法を参考に想定することは可能だと思われます。会計処理や販売管理、購買管理など財務報告書にかかわる業務プロセスと、これに関連する社内文書類(職務規定書、マニュアル、システム文書とその操作マニュアルなど)を事前に収集しておきます。
フェイズ2は、内部統制整備作業で最も負荷が高いといわれている文書化作業と、これに沿った仕組み(組織、ルール、システムなど)の構築です。
公開草案では米国COSOフレームワークをベースとした対応という記述がありますから、米国事例を参考にして全体の作業イメージや作業負荷を試算することができます。例えば、マイクロソフトがセミナーなどで公表しているキーコントロール数は約5200、プロセス数は157、対象アプリケーション数は61(2005年度)です。
HPがセミナーで公表していたところによると、キーコントロール数が約5000、プロセス数は544、対象アプリケーション数は156とのことです。企業によって作業範囲や作業ボリュームは異なりますが、コントロールごとに数ページ程度の文書を作成しますので、成果物の文書量は1万ページを超えるものとなります。
整備するだけでなく、その後は毎年見直しを行う運用も考えると省力化と効率化を考慮した何らかの文書化ツール(システムやソフトウェアツール)の検討が必要だと思われます。ちなみに、米国で文書化作業に使われた最も一般的なツールは、マイクロソフトのExcelだったそうですが、運用フェイズにおける見直し作業には、こうした作業負荷を減らす苦労があったようです(図2)。
フェイズ3では、文書化作業で作成したリスクコントロールマトリックスに記述したテスト手順書に沿ったテスト・評価を行います。当然のことながら、プロセス数や拠点数が多いほどテスト作業は膨大になります。サンプリングの取り方についてはISACA(情報システムコントロール協会)に参考情報が提供されています。改善すべきポイントが発見されれば、速やかに対応し再度評価を行います(図3)。
テスト・評価の基準があいまいだったり、テスト実施後に組織変更や業務プロセスの見直しなどが発生したりした場合には、文書化からのやり直しになりますので、経営者や取締役会などと十分なコミュニケーションを取っておく必要があります。さらにIT統制対応については、システム改修が伴います。大幅な業務プロセスの見直しや組織変更は、情報システム部門への作業負荷の増大と時間的な制約がありますので、早めの対応が求められます。特に基幹システムの変更、改修は費用面でも大きな負担になりますので、中長期的な視野で投資を考える必要もあります。
フェイズ4では、経営者による内部統制評価と本番対応に向けた外部監査人(監査法人)からの評価を実施します。
事務局は、内部統制整備の結果報告と運用状況を経営者に報告します。経営者は、こうした報告書やCSA(コントロールセルフアセスメント)と呼ばれる社員や現場担当者からのアセスメント結果などを踏まえて内部統制の整備状況、運用状況の評価を行います。見直すべきところがあれば事務局が速やかに対応します。外部監査人(監査法人)の監査に対しては、監査のポイントや評価基準にズレが生じないように事務局が留意する必要があります。
Copyright © ITmedia, Inc. All Rights Reserved.