日本版SOX法の“欠陥・不備”の直し方教えます：SOX法コンサルタントの憂い（12）（1/2 ページ）

多くの企業では来年3月の決算に向けて、日本版SOX法の評価に追われていることだろう。しかし、その結果“欠陥・不備”が出てしまった場合はどうすればよいのだろうか。今回はこの問題を解説する。

サンプルをどう取ればよいのか？

　サンプルの取り方で、是正のやり方も変わります。

　同一のコントロールについて、すべての事業部や子会社に対して横断的にサンプルを採取し、その合計をサンプルの母集団とする方法がありますが、不備が出たときの対応が難しいので筆者はお勧めしません。

　サンプリングは、事業部や子会社をそれぞれ母集団とする方法がベターです。なぜなら、その方法であれば、不備が発見されたときに的確に「是正するターゲットを絞る」ことができるからです。

不備が出た場合の対処法

　「重要な欠陥」も「不備」も会社としては是正しなければなりませんが、それが日本版SOX法上のものか、そうでないかにより対応は違ってきます。

　ちなみに、同一コントロールについての不備が、1つの事業部（や子会社）だけから見つかった場合と、いくつもの事業部（子会社）から出た場合では対応が異なります。

●1つの事業部から不備が出た場合

　全体へ与える影響を評価して、影響が小さければ“重要な欠陥”とはならず、日本版SOX法上は「その内部統制は有効」とできます。しかし、会社としては当該事業部に対して、社内的な業務改善は必要です。

●いくつもの事業部から不備が出た場合

　その場合は“重要な欠陥”となる可能性が高いですね。日本版SOX法上の対応を要します。日本版SOX法上の対応とは、

1. コントロールの強制
2. 補完的コントロールの設定
3. 当該コントロール自体の変更

などを行うことです。

　では、これらを順番に解説していきます。

欠陥・不備の是正は早いほど良い！

　「重要な欠陥」が発見された場合でも、それが報告書における評価時点（期末）までに是正されていれば、「財務報告にかかわる内部統制は有効である」と認めることができます。

　ですから、有効性の評価は早ければ早いほどよいのです。

　遅くとも、第3四半期の終わりの月（3月決算の会社だったら12月）までに行うことが好ましいでしょう。

　そうすれば、是正と是正されたコントロールを評価する時間的余裕が出てきます。

　是正は是正しただけでは足りず、そのコントロールを一定期間運用し、有効性の評価をしなければなりませんので、時間的余裕は十分あった方がよいのです。

コントロールを強制すればよいのか

　「コントロールの強制」とは、整備されているコントロールを現場でそのまま実行してもらうことです。

　しかし、強制するのは大変なのです。毎日5000枚とか1万枚とか集まってくる伝票やデータに対して、

としたら、とても大変な作業ですね。

　最近、皆さんから「文書化は終わった。リスクもコントロールも設定した。けれども、こんなにコントロールが大変じゃ、現場がもたないよ」という声をよく聞きます。コントロールを担当している部署で、チェックしている担当者の負荷が急増していないでしょうか？

　簡単なコントロールでしたら強制することができるかもしれませんが、「つらい」コントロールを強制するのは至難の業ですね。つらいコントロールを強制すること以外に、「リスクを合理的な程度まで低減する」方法はないのでしょうか？

　それがあるのです。