日本版SOX法の施行が2008年4月から始まり、上場企業は2009年3月期から自社の内部統制の整備状況・運用状況を評価した「内部統制報告書」を義務づけられ、今年6月末には内部統制報告書の提出が締め切られ、内部統制に「重要な欠陥」があると報告した企業の存在が明らかになった。ここでは、アビームコンサルティングで内部統制に関するコンサルティングの統括責任者 プリンシパル プロセス&テクノロジー事業部 FMCセクターリーダーを務める中野洋輔氏に、今回の内部統制報告書の内容、そこから企業が学ぶべきことについて話を聞いた。
--これまで日本版SOX法による内部統制監査についてさまざまな憶測が飛び交っていたが、初年度の結果が出揃った今、どのような見解を持っているか?--
中野氏: 今回、内部統制報告書について「重要な欠陥」もしくは「意見不表明」とした企業は67社であり、全体の約2.4%だった。SOXに対する米国のそれは約14%だった。つまり、日本は米国に比べて内部統制に重要な欠陥があったと意見表明した企業がかなり少ないという結果が出ている。これは予想していたよりも少ない。
--その理由は何か?--
中野氏: 1つは米国と日本のカルチャーが違う、つまり、日本では不適正な意見を表明することをあまり好まないということがある。今回の結果は、日本社会らしい"着地点"に落ち着いたと言えよう。一方で、実施企業並びに監査法人がきちんと対応をしたことの表れと言える。「重要な欠陥」を表明した企業の中には日本経済を支える大手企業も含まれており、一部危惧されていた監査法人と企業の"馴れ合い"はなく、法の下、きちんと内部統制の仕組みが評価されたのではないかと考えている。
--今回、開示された「重要な欠陥」内容について教えてほしい。--
中野氏: まず、領域においては「決算・財務プロセス」が38件、「業務処理統制」が30件、「全社統制」が22件、「IT統制」が2件という結果が出ている。この事から個別のプロセスにおいて、欠陥が見つかっていることがわかる。
--重要な欠陥が見つかったプロセスには経理上の数字も不具合が生じているのか?--
中野氏: そうとは限らない。あくまでも、内部統制の観点から見て「重要な欠陥」があるプロセスという話だ。逆に、論理的には、数字に問題があるプロセスも内部統制の観点から問題がなければ「重要な欠陥」にはならない。ただし、数字に問題があれば、関連したプロセスもおかしいケースがほとんどだ。
--IT統制において「重要な欠陥」が2件しか報告されなかったのは意外だが。--
中野氏: 金融庁のガイドラインでも示されているが、IT統制への対応は必ずしもIT製品を用いることにつながらない。今回は手作業など、「代替的統制」で対処した企業が多かったのではないかと思われる。ただ、初年度ということでIT統制に対する監査は若干緩かったかもしれず、今後、IT統制も強化していったほうがよいだろう。
また、手作業による処理は工数がかかるので注意が必要だ。そもそも、内部統制に関わる作業自体、専門的な知識やスキルが必要であり、そうした人材を企業内部で育成して抱えるにはそれなりのコストがかかる。したがって、内部統制業務の効率化を考えると、システム化や専門のサービスを利用するのも有効な手だと思う。実のところ、多角化している大企業は内部のリソースと当社のようなサービスをうまく使い分けている。海外の事業所の評価を行う場合、言語や現地の法規など、一企業ではなかなか対処しきれない課題が存在する。こうした部分は、ぜひ専門家によるサービスを活用して、効率よく作業を進めてもらいたい。