いよいよ、日本版SOX法の実施基準が公開さる時期になりました。11月6日に金融庁企業会計審議会で原案が審議にかけられました。早ければ、11月20日に修正を加えた公開草案が公開され、来年1月に実施基準が固まるものと思われます。
11月8日より、草案の案が金融庁のホームページで公開されています。
公開されている資料は、以下のとおりです。
(資料1-1)内部統制の基本的枠組み(案)
(資料1-2)財務報告に係る内部統制の評価及び報告(案)
(資料1-3)財務報告に係る内部統制の監査(案)
(資料2) 参考資料
現時点では内容が変更になる可能性もありますが、おおむね、以下のような内容になっています。
今回の内容で、内部統制整備の手順が定められました。
(1)全社的な内部統制の評価
(2)決算・財務報告に関わる業務プロセスの評価
(3)決算・財務報告以外の業務プロセスの評価
まず、全社レベル統制を評価しろということ。対象範囲は、全拠点が対象となり、持分法適用会社も含まれます。評価自体は、「特に有効」「良好」「有効でない」の基準による判断ということです。
この全社レベル統制が有効であるという前提で、売上高の3分の2以上を占めることを目安に、対象にする事業部門や事業拠点、対象業務を決めるとしています。もし有効でなければ、どうするかということは書いていないみたいです。
業務プロセスの評価は、財務諸表作成プロセスとそれ以外を分けて評価することになります。財務諸表作成プロセス以外のプロセスは、「売上高」「売掛金」「棚卸資産」等事業目的に係るプロセスが原則評価の対象となります。
すなわち、最低限、財務諸表で粉飾決算をする場合に容易に触れる部分を重点的に見よ!と言うことでしょうか。これだけで良いのか、それ以上のプロセスを含めなければならなくなるのか...企業の判断にゆだねられます。「等」という言葉になにやら意味がありそうです。
財務報告以外のプロセスをどこまで含めるかについては、触れられていません。この点は、監査法人との攻防になると思います。
また、どのような文書を作成しなければならないか、内部統制整備の実際の手続きなどについては、変更がないようです。
ただし、どのような文書を作るかは、企業の判断に委ねられます。
職務記述書、業務フローチャート、リスクコントロールマトリックス、職務分離表の4点セットを作るもの良し、業務フローチャートとリスクコントロールマトリックスの2点を作るのも良し。
今回の案の中では、新たに、ITの支援に関する記述が増えています。IT全般統制、IT業務処理統制についても言及されています。
今私が支援しているプロジェクトでは、実際に実施基準が出た後、プロジェクトに変更を加えます。スコープが広がる部分もあるでしょうし、狭くなる部分もあるでしょう。作成した文書でも必要がなくなるものもあるかもしれません。しかし、後は、統制運用テスト、改善実施、関係会社展開を残しているのみです。
実施基準が出てから対応する企業と比べると、はるかに気が楽です。
今から具体的に動き出す企業では、最初の1ヶ月で方針を決め、2ヶ月程度で全社レベル統制の評価を行い、8ヶ月程度で文書化、評価を行う。そして残りの期間で改善と初年度準備を行うと言うような感じではないでしょうか。
これまでに何度も言ってきましたが、非常に強行軍でプロジェクトを推進させなければなりません。
しかも...
東証が初年度以降、3年連続して内部統制の不備があれば上場廃止にすることを考えています。
そのようなことにならないように、気を引き締めてプロジェクトを成功させなければなりません。
コメントする