金融商品取引法(通称J-SOX法)の適用が間近に迫り、各社も対応に追われている状況ではないでしょうか。 これまで、J-SOX法や実施基準の解釈、文書化整備のノウハウ等がさかんに取り沙汰されてきましたが、 2009年3月期の適用まであと2年弱、改めてこの間に企業は何をすべきなのか、これまで公認会計士として 内部統制関連の数多くの実績を残されている、株式会社オーディターズスクエア代表取締役 長谷友春氏にお話を伺いました。
~ 準備期間は実は1年を切っている!~
長谷さんから見て各社の対応進捗状況はどのように映っていますか?
しっかりと計画的に対応を進めてきた会社とそうでない会社で大きな差がついているなというところが実感です。(3月決算だとすると)2008年4月からの1年間は構築された内部統制が適切に運用されていなければなりません。つまり、2008年3月末時点では内部統制は既に構築されていることが必要なのです。
もちろん、不備があったとしても2009年3月末時点までに改善されれば問題ないのですが、本番年度の改善作業に多くを依存するのは危険です。この前提を取り違えて社内計画を立てている企業様が意外に多いことに気が付かされます。
~限られた時間の中ではコントロールアプローチが有効!~
この一年を振り返ると文書化の作業・費用負担がさかんに嘆かれていました。
米国SOX法の反省的な記事もよくみかけます。企業が二の足を踏む要因のようですが?
文書化を実施する前に、正しいスコーピングが必要なことは言うまでもありませんが、文書化は結局、対象となる業務における(財務報告の信頼性に関わる)リスクに対してどのようなコントロールを識別するかです。
これをリスクコントロールマトリクス(RCM)という形式で記述するのが通常ですが、このRCM作成に際して、私はリスクアプローチ(RA)とコントロールアプローチ(CA)の2つのアプローチがあると思っています。
RAとは、まずは業務プロセスとそこに潜むリスクを抽出/優先順位付けし、対応するコントロールを個別に埋め込んでいくアプローチです。各会社の特性に応じたコントロールを識別することが可能な反面、その会社に応じた個別事情を大きく反映させるために多くの時間がかかりますし、そもそもそれを実施できる専門性を持った人材を調達するのが難しいのが実情です。
一方CAとは、予め持っているコントロールのデータベースをもとに、あるべきコントロールを記述し、そのコントロールにより軽減されるリスクを紐付けしてRCMを作成するアプローチです。あるべきコントロールをテンプレート的に当てはめていきますので、短期間かつ一定の品質での文書化が期待出来ます。
短所としてはそのデータベース(大手監査法人やコンサルティング会社の実績)の調達コストと、データベースの汎用的なコントロールを新しく導入することによる現場の負担増です。
どちらが良いかは意見が分かれるところですが、対応時間が限られている状況においては多少のコントロール過多には目を瞑り、CAにより品質の最低ライン確保を優先すべきではと私自身は思っています。そもそも
コントロールの構築は一過性ではなく、時間の経過と共に最適な水準に収束させていくべきものだからです。
次のページ~この一年は経営者評価に焦点が当たる!~
続きは会員限定です。無料の読者会員に登録すると続きをお読みいただけます。
-
会員登録
(無料)
-
ログインはこちら
この記事が気に入ったらいいね!しよう
INSIGHT NOW!の最新記事をお届けします
特集◆インタビュー
2007.09.11
2007.09.03
2007.08.02
2007.07.24
2007.07.17
2007.07.04
2007.05.30
2007.04.19
2007.03.29
