実施基準ができるのを待ってから取り掛かるほうがよいのか？

　こんにちは、丸山満彦です。財務報告に係る内部統制の評価と監査の制度が上場企業等に対して平成20年4月1日開始事業年度から適用されることになり、多くの会社で取り組みを開始、又は開始に向けて準備を進めているようですね。
　ある人から、「実施基準の公開はいつになるんですか。7月頃ですか？。でもパブリックコメントを受け付けるので10月頃に確定するのですよね。10月から開始したら遅いでしょうか？」という質問を受けました。

　
　このブログはどこまでいっても個人的見解なんですが、会社の事業規模、業務の展開の状況、ガバナンスの聞き方、既存の内部統制の整備・運用状況にもよるし、そもそも1年目は内部統制報告書は有効意見でなくてもよいと割り切っている、とか、いろいろな条件があるので、一概には言えないのですが、やはり早めに取り組んだほうがよいのではと思います。

　もちろん、実施基準ができないと未確定な部分があるので、ひょっとしたらやり過ぎによる無駄な投資？があるかもしれないし、他の会社が試行錯誤をして苦労し、洗練されたところで効率よく対応するという考え方もありますが・・・

　実施基準はどうなるの？ということですが、それは私にもわかりませんが、部会長が講演で200ページ以上のものになると説明したようですから、かなりの分量になるような気はします。
　実施基準が具体的にどのようにかかれるのかは今のところわかりませんが、実施基準は、「財務報告に係る内部統制の評価及び監査の基準のあり方について」をベースにするはずで、主な検討項目は、
第13回内部統制部会（17．12．8）の配布資料をみれば大体わかるわかりますね。
＝＝＝＝＝
資料１　財務報告に係る内部統制の評価及び監査の基準のあり方について(PDF:2,551KB)
資料２-１　企業会計審議会内部統制部会作業部会委員(PDF:64KB)
資料２-２　実施基準に係る主な検討項目（案）(PDF:70KB)
＝＝＝＝＝

　財務報告に係る内部統制の評価及び監査の基準のあり方についてのそれぞれの章は、
Ⅰ．内部統制の基本的枠組み＝COSO内部統制報告書
Ⅱ．財務報告に係る内部統制の評価及び報告＝SEC Final Rule
Ⅲ．財務報告に係る内部統制の監査＝ PCAOB Audit Standards No.2 (AS2)
です。

それぞれのボリュームを考えると、実は200ページというのはたいしたボリュームではなく、COSO内部統制報告書、SEC最終規則、PCAOB AS2を上回る情報というのはあまりないのだろうと思います。
　
上回る情報として考えられるのは（考えられるだけで織り込まれるかどうかはわかりません）、
・米国でのSOX404条対応の最近の動き
・IT統制についてのISACAの報告書の内容
・日本の監査基準（ほとんど国際会計連盟の基準と同じ）と米国の監査基準の差分
だろうと思います。

　それぞれの内容については、このブログでもかなりの部分を網羅していると思いますし、なによりも各監査法人はこのような情報を適時にキャッチアップしているはずですから、それほど違ったものが実施基準に書き込まれるとは思えないわけです。

　多くの人が気にしているが、評価範囲をどの程度までとればよいのかが実施基準に具体的に書き込まれるのではないか（米国の実務よりもゆるい基準で。。。）ということですが、これはフレームワークの話ではなくて、パラメータの話ですから、プロジェクト全体からみるとあまり障害にはなりませんね。（もちろん、フレームワークに若干影響するという話もありますが、全体からみるとやはりあまり大きな問題とはならないように思うわけです。）

　ということで、ほとんどの作業は米国のSOX404条対応の実務を踏襲すればできるだろうと思いますので、実施基準の公表を待つよりも早めに対応するのが得策なのではないか・・・と、個人的には思うわけです。。。

　個人的には、
・PCAOB AS2などよりもどれほど具体的に書いてくるのか
・「ITへの対応」、「ITの評価」、「ITの評価の検討」をどのように書いてくるのか
が気になるところですね。。。（実は、もっとありますが・・・）