2年目のJ-SOX対応

内部統制評価報告制度が導入されてから、3月期決算のJ-SOX対象企業においては、その対応が2年目となり、はや第2四半期も過ぎようとしています。2年目においてはすでにひととおりの文書化が終わっており、新しく追加された事業拠点や変更のあった業務プロセスへの対応、運用テストが作業の中心となっている企業が大半ではないかと思われます。

適用初年度を振り返ってみれば、2009年3月期決算の会社では、内部統制に重要な欠陥があり、「有効でない」と表明した企業は56社となりました。これら企業の内部統制報告書をみると、その直接的な原因として、決算発表後や財務諸表監査時に重要な虚偽記載が見つかったか、あるいは大きな不正が発覚したというケースが目立って多くみられます。そして、そのような問題が引き起こされた根本原因として、人員不足、決算担当者の能力不足、モニタリング体制や統制手続の不備といった人的な側面での問題点が挙げられています。
反対に、虚偽記載は現実化していないけれども社内の評価で重要な欠陥が見つかり期末までに是正されなかったために「有効でない」と表明した会社は、むしろ少数派となっているように見えます。
このような開示事例から分ることは、たとえ文書化作業をきっちりと行っていたとしても、重要な虚偽記載や不正が発生すればその結果自体が重要視され、その原因が何かしらの内部統制の欠陥に求められて広く世間にむけて内部統制が全体として「有効でない」旨を公表しなければならなくなる可能性があるということです。極論すれば、どれだけ費用をかけ立派で完璧な評価文書を作成したとしても、ただひとつの重要な誤謬が発生してしまうことで、多大な費用と時間、労力をかけて一大プロジェクトとして行っていた活動が、社内で全く無意味なものだったとみなされる危険性があります。

「J-SOXの目的は監査法人の内部統制監査を乗り切ることである」とみる向きもありますが、問題が発生した時には「結果」責任が問われる、ということの恐ろしさからすれば、あまり的を得た見方ではないように思われてきます。監査法人と対峙するのではなく、むしろ監査人と頻繁にコミュニケーションを持ち、その知識、経験、能力をも活かして、問題が発生しそうな領域を聞き出し、社内で絶対に虚偽記載や不正を起こさせない、未然に防止するという活動に集中することの方がより実効性があるといえるでしょう。
2年目のJ-SOX対応を、企業をさらに強くするための契機とするためには、56社の問題事例から学び、メリハリを利かせて、本質的に問題が生じるケースの少ない領域や省力化できる部分については思い切って省力化し、他方で、企業内外に変化のあるところや関係会社など手の届きにくい領域については、本当にリスクが生じていないか、管理が手薄となっていないか、会計上の見積りや処理で検討しておくべき事項がないかを、大局的あるいは詳細にみて、十分に検討を行うということが必要になってくるのではないかと考えます。

2年目のJ-SOX対応の活動は、ゼロからの出発であった適用初年度とは異なった心構えと課題認識のもとに、緊張感をもって進めていく必要があるでしょう。