「間違いだらけのJ-SOX法議論」に八田氏が喝--ITコンプライアンス・フォーラム2006

「IT化しなければ内部統制は不可能」は誤り

　日本版SOX法における内部統制の定義は、「業務の有効性および効率性」「財務報告の信頼性」「事業活動にかかわる法令等の遵守」「資産の保全」という4つの目的が達成されていることの合理的な保証を得るために、業務に組み込まれ組織内のすべての者によって遂行されるプロセスであるとされる。

　また、その実現のための6つの基本的要素として「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング（監視活動）」「IT（情報技術）への対応」が挙げられている。

　この中で、特に日本版SOX法の特徴として挙げられることが多い「ITへの対応」について、八田氏は「IT環境を度外視せずに、ITへの対応をしてほしいということ。高度にIT化していない組織環境においても、ITの持っている利便性だけに目を奪われるのではなく、ITの持っている脆弱性、危険性、自らがそれに巻き込まれる可能性などに配慮しながら、経営者にITを理解してほしいという意味を込めて、この要素を入れた」と、その趣旨を説明した。さらに、「これをもって、高度のIT化を行わなければ内部統制が脆弱であるとか、ITガバナンスがなければ駄目だということ言っているわけではないので、誤解のないように」と付け加えた。

　「しかし、実際問題として、ほとんどの公開会社は、高度にIT化しているのが現状。そこでは、ITを駆使した、一貫したITガバナンスに対して十分に取り組んでいくことを求めている」（八田氏）

　現在、検討が進められている内部統制基準案の内容については「（チェックボックス型ではなく）トップダウン型のリスク・アプローチの活用」「内部統制の不備の区分（不備と重要な欠陥）」「（米SOX法では採用されている）ダイレクトレポーティングの不採用」「内部統制監査と財務諸表監査の一体的実施」「内部統制監査報告書と財務諸表監査報告書の一体的作成」「監査人と監査役・内部監査人との連携」の6点が特に考慮されているという。制度化に際しては、原則、一律適用が可能なように、合理的、つまりコストベネフィットを重視した基準を策定することの重要性が強調されているという。

　ここでいう「内部統制の不備の区分」とは、「証券資本市場における会計情報を中核としたディスクロージャの信頼性をより担保しなければならない」という、内部統制制度の本来の目的を理解した上で、その目的に即したリスク評価と是正を行っていくべきであるという考え方だ。

　つまり「財務報告にかかわる内部統制」を行うに当たっては、最終的な成果物である「財務報告」が信頼できるものであるということを保証できるような環境を整えることが必要だということである。その利用者による経済面での意思決定をゆがめるほどに甚大な悪影響を持つ「欠陥」については、それを是正しなければならないが、逆に、そうでない軽微な「不備」については、それぞれの企業の自主的な判断で統制に取り組むべきとするもの。この考え方にもとづけば、過剰なコストをかけて「企業内の業務プロセスを何でもかんでも文書化したり、さらには、ありとあらゆる業務にプロセスを適用するというのは本末転倒」（八田氏）ということになる。

　日本版SOX法における、内部統制報告制度は、2008年4月1日以降に開始する事業年度から適用され、今後、実施基準の策定と公表を急ぐことになるという。

　最後に八田氏は「現在、内部統制議論は、一般公開事業会社において行われている。しかし今後、官民、国内外を問わず、あらゆる組織において同様の議論が行われることは間違いない。まずは、一般事業会社が先行する形で、経営者が主役となって内部統制に取り組んでほしい」と述べて、セッションを閉めた。