内部統制実施基準（公開草案）その後

内部統制実施基準（公開草案）が公開されて２か月が経ち、そろそろ最終決定するかと思っていたら、もうひとつ、公開草案が発表された。

「システム管理基準　追補版（財務報告に係るIT統制ガイダンス）（案）」である。約150頁もある、かなり「力作」のように見える。

私もこれから読むので、内容にはふれられないが、目次を紹介しよう。

まえがき
１．本追補版の構成と用語について
２．IT統制の概要について
３．IT統制の経営者評価
４．IT統制の導入ガイダンス（IT統制の例示）
参考文献
付録

内部統制実施基準（公開草案）を踏まえ、システム管理基準と財務報告に係る内部統制で求められている「ITへの対応」との関係を明らかにしたもののようだ。目次からもわかるとおり、例示が示され、より具体的な情報として参考にできると思う。

http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207003&OBJCD=100595&GROUP=

意見募集、いわゆるパブリックコメントが始まっている。ぜひ多くの人が目を通され、建設的な意見を寄せられることを望みたい。

さぁ、私も読もう。

内部統制実施基準案その後

前にこう書いた。

「実施上のガイドラインになると期待されている。」

また、先の記事に「（内部統制実施基準案は）非常にわかりやすい」というコメントをいただいたが、私の感想では「実務指針」にするほどには明快ではないと思った。ただ、米国（の失敗した、あるいは上手くいかなかったところ）を意識して、同じ轍をふまないようにするための措置（効果・効用がどれくらいあるかはよくわからない）がいくつかあることが特徴的である。

内部統制実施基準案の、その後の動向を見ると、11月21日に「公開草案」が出され、一般の意見が募集された。それも12月20日に終了した。おそらく、来年１月下旬（20日ごろか）に最終的に決定するだろうと予想する。

これから、年末年始の休暇を使って、私なりに公開草案を読み解いていくことにする。

その導入として、「おもしろい」と感じていることを述べたい。

いわゆるJ-SOX法で導入されたものは「内部統制報告制度」とよく言われるが、もう少し詳しく言うと「内部統制報告・監査制度」であった。

報告と監査でそれぞれ主体が異なる。主体は２つ。報告では経営者、監査では公認会計士や外部監査人といった外部監査人である。

単純に考えて、経営者は、自組織の内部統制について、「有効である」、「有効でない」という報告をなし得るとし、一方、外部監査人は、経営者の報告について、「適正である」、「適正でない」という意見をのべ得ると仮定する。

すると、その組み合わせは４とおり：
（１）経営者は「有効である」という報告－外部監査人は「適正である」という意見
（２）経営者は「有効である」という報告－外部監査人は「適正でない」という意見
（３）経営者は「有効でない」という報告－外部監査人は「適正である」という意見
（４）経営者は「有効でない」という報告－外部監査人は「適正でない」という意見

（４）は、おそらく、まずあり得ないのではなかろうか。（１）は理想というか、内部統制が良好に構築されている場合、（２）は内部統制に不備が見つかった場合であろう。

おもしろいのは（３）の場合。外部監査人が確かに内部統制は有効でないというお墨付きを付与することがあるということ。監査報告書の結論だけを見て判断すると見誤ることになるかもしれない？

内部統制実施基準案

待たれていた内部統制の実施基準案の公開が近づいた。近いうちに（11月末か）草案として公開され、一般の意見を募集して、それを反映した後、最終決定される。

実施基準案というのは、日本版SOX法と言われる金融商品取引法に定められた内部統制に関する実施指針のこと。実施上のガイドラインになると期待されている。

金融商品取引法では、上場企業（連結子会社等を含む）に対し、財務報告に係る内部統制について、経営者が評価し、報告しなければならないと規定している。その報告書を公認会計士等が監査することになっている。内部統制報告・監査の制度（以下、内部統制報告制度という）が導入されたわけだ。外部監査を前提としているところが特徴。

内部統制報告制度では、会社の数字が正しく把握できる仕掛け・仕組み（制度）があり、どれくらいきちんと運用ができているかについて経営者が評価し、その結果（財務報告に虚偽記載はない、まず大丈夫、今回は保証しきれない等）を社外に公表することがもとめられる。評価にあたっては、規程等を洗い出し、ルールが適切か確認（必要に応じ是正）した上で（制度の妥当性）、きちんと運用できているか記録（証憑）を残しながら評価（運用の有効性）することになる。つまり、内部統制報告制度に対応するには、一般に、「制度整備⇒確認⇒不備の対応・是正⇒評価⇒報告⇒監査」という手順になるのである。すべての工程に文書化がついてまわる。

では、いったい何をどのように整備・評価・報告・監査すればいいのか、具体的な手順・内容が従来あまり明確でなかった。だから、実施基準が待たれていたわけである。

米国SOX法では、米国に上場している企業も対象になるので、日本でも十数社が対応した。米国SOX法対応は、文書化など、かなり手間と費用のかかる作業であったので、「日本版SOX法対応」でもそこまでやるのか、という点が焦点であった。

実施基準案は企業会計審議会内部統制部会というところで審議されていて、金融庁のホームページにアクセスすると、審議された実施基準案（まだ審議のための『たたき台』だということに注意されたい。議事録がまだないので審議の状況がわからないが、今後、大きな変更があるかもしれない）を読むことができる（今は、官公庁でもかなり情報開示が進んでいることがうかがえる。ただ、インターネットが前提になっているのが情報格差にならないか多少心配な気がする。また、知っているかどうかも大きい…）。

さて、実施基準案で、みんなが待っていた「解」が提示されたのだろうか。

企業会計審議会第14回内部統制部会　議事次第
http://www.fsa.go.jp/singi/singi_kigyou/siryou/naibu/20061106.html