J-SOXはリスクの評価から

2021年に国内上場した会社は125社(TOKYO PRO Market上場を除く)で、100社を超えるのは2007年ぶりでした。
IPOには内部統制報告制度、いわゆるJ-SOXへの対応が欠かせませんが、上場会社と比較して組織的に未成熟なIPO準備会社が内部統制体制を整備する際には、文書化を含めた内部統制の評価体制の構築も含めて、間違いなく膨大な手間とコストがかかります。

IPO準備会社のJ-SOX対応では、「“必要最低限”の対応をめざす」という話をよく耳にします。限られたリソースとタイトなスケジュールでIPO準備を行うことがその背景と思われ、気持ちはよくわかります。
そうはいっても、上場後はJ-SOXを日常化して運用する必要があることを考えると、最初にきちんと内部統制の体制を構築しておくことも肝要で、そのバランスがわからないので高いハードルとして考えられてしまっていると思います。

“必要最低限”になるかどうかはわかりませんが、内部統制の仕組みをシンプルにすることで、整備そして運用の評価作業をする場合に事務負荷が低減されることは、感覚的にご理解いただけるかと思います。
では、内部統制をシンプルにするとはどういうことでしょうか。
ポイントの一つとして、“リスク”の考え方があると思っています。

まず、J-SOXの内部統制に6つあるとされている基本的要素の一つに「リスクの評価と対応」があります。リスクの評価とは「組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセス」であり、リスクの対応とは「リスクの評価を受けて、当該リスクへの適切な対応を選択するプロセス」と、実施基準では定義されています。

そして、J-SOXにおいて主たる目的とされているのが「財務報告の信頼性」です。財務報告に重要な影響を及ぼす可能性のある情報の信頼性が保たれていること、すなわち重大な虚偽の表示がないことが重要なことから、これを阻害するリスクに着目します。
つまり、識別するリスクを“必要最低限”にし、顕在化する可能性の高いリスクを“必要最低限”にし、リスクへの対応手続、すなわちコントロールを“必要最低限”にすることで、内部統制はシンプルになり、事務負荷が抑えられる――そのことを私は経験上感じています。

とりわけ、業務プロセス上のリスクにおいて、シンプルにすることで事務負荷が抑えられるという傾向は顕著になります。決算財務報告プロセスはもとより、日常的な業務プロセス(販売、購買ほか)については、取り引きなどの単位で業務フローが反復・継続されるため、コントロールの頻度が膨大になります。そのため、整備状況の文書化およびその更新作業、運用テストの工数が比例的に増加していきます。

これら業務負荷を低減していくためのポイントを、いくつか挙げてみたいと思います。

  • 業務プロセス上のリスクは、基本的には「適正ではない情報が確定情報として処理されるリスク」と考えられ、比較的定型化ができます。専門家のノウハウも蓄積されやすいため、利用するとシンプルになると思います。
  • IPO準備会社については、限られたリソースで業務を管理している場合、コントロールは集約されやすいと考えられます。逆にいうと、少ないコントロールで多くのリスクをカバーしている(しなくてはならない)といえますので、組織規模にもよりますが、うまく利用できるポイントになると思います。
  • コントロールのうち運用テストの対象となるのは、「財務報告の信頼性に重要な影響を及ぼす統制上の要点」、いわゆるキーコントロールになります。コントロールを絞り込むことでキーコントロールも絞られていくため、運用テストにかかる工数が抑制されます。

会社はすべてのリスクに対して完璧な対応ができるわけではありません。J-SOXの内部統制で期待されるのはリスクを軽減する仕組みであり、リスクをゼロにする仕組みではありません。誤解をおそれずにいえば、リスクは、顕在化する可能性が少ないものや影響の度合いが小さいものは、受け入れることも考えねばなりません。

新型コロナウイルス感染症の蔓延状況が続いている近年、企業のリスク管理意識は変容し、より日常的なものになっていると思います。その意味では、リスクとは適切に評価して対応すべきものという風土が整ってきていないでしょうか。

リスクの評価こそ、より時間をかけて検討することがJ-SOXを“必要最低限”の対応で定着させる近道ではないかと感じています。

※当コラムの内容は個人的な見解であり、BBSの公式見解ではないことをお断り申し上げます。