« IPA 脆弱性情報共有フレームワークに関する調査報告書 ~中小規模組織における脆弱性対策促進への各国の取り組み~ | Main | キーコントロールはデジタルには決まらない »

2008.02.13

米国では、小規模公開会社へのSOX法404条の適用が1年延長されるかもなのですが・・・

 こんにちは、丸山満彦です。米国では、小規模会社へのSOX法404条の適用をさらに1年間延長することを決定したわけですよね。。。少なくとも費用効果分析をしなければ、制度導入の意味はないということなのだろうと思います。
 ところが日本の場合は、そんなことを検討すらした形跡もなく(この点については、「弦巻ナレッジネットワーク」に詳しい)、はじめから導入ありきで始まっている。もちろん、米国での導入の経緯を踏まえて日本ではコストがよりかからないような配慮を基準に織り込んだということなのでしょうけど。。。
 しかし、そこに書かれている。
=====
① トップダウン型のリスク・アプローチの活用
② 内部統制の不備の区分
③ ダイレクト・レポーティングの不採用
④ 内部統制監査と財務諸表監査の一体的実施
⑤ 内部統制監査報告書と財務諸表監査報告書の一体的作成
⑥ 監査人と監査役・内部監査人との連携
=====
 のいずれも、実際はそれほど本質的ではないように思えるんですよね。
①については、米国では勘違いによって網羅的にリスクを洗い出し、コントロールを洗い出し、キーコントロールを識別していくという方法をとった会社が多かったのでそうなったのですが、日本でも同じようなコンサルの仕方をしている会社もあるようですので、あまり効果はなかったのだと思います。
②については、全然本質的ではありません。実務的にはやはり、「重大な欠陥」と、重大な欠陥ではないがこれを放置しているとやがて重大な欠陥につながるので取締役、執行役や監査役には伝えておいたほうがよい「重要である不備」と本当にささいな「不備」の3つに分けるだろと思うんです。
③については、ダイレクトレポーティングか言明方式かには本質的な違いはないんです。あえていうと言明方式のほうが二重責任の原則をより明確にできるという違いくらいだろうと思っています。むしろ、日本の場合は、内部統制報告書の適正性の監査にした結果、監査すべき対象が内部統制の有効性以外にも広がっているという点で、よりコストがかかる方向になっていると思います。この点は、制度で狙っていたことと逆の方向になっていると思います。
④については、米国でもそうです。
⑤については単に報告書の文字数の問題だけかもしれません。
⑥についても同様です。「そうですね。」という程度です。むしろ、日本の場合は、会社法による監査役の会計監査人の監督の話と、金商法の監査役を含む統制環境を公認会計士が監査対象として評価するという、二匹の蛇が互いに尻尾を食べあっている状態を作っているのではないかと話題になり混乱を招いたのではないかと思うんですよね。
 おそらくほとんどの会計士の人は①~⑥の話は「あまり理由になっていないなぁ・・・」と直感では感じていると思うんです。声にはださないけれども・・・
 つまりですね。。。

 
 今回の制度において、日本は費用効果分析を十分にせずに制度導入を図ろうとしているようにも感じるわけです。もちろん、内部統制が十分でなかった企業は、今回の制度導入を契機として内部統制の充実をはかり、企業価値を高めることにつながっていることもあると思います。実際にそのように感じる企業もありますから。。。そういう企業では制度導入により導入費用を効果が上回っているかもしれません。ただ、今回の制度は資本市場全体としての効果と費用という面で分析が単純ではないのですよね。。。

 しかし、そういうことも含めて制度導入の前には慎重にある導入効果と導入費用についての分析を十分にしておくべきだと思うわけです。すくなくとも、将来の日本の繁栄を願うのであれば。。。
 なんとなく、そのあたりがちょっと手を抜いたのかなぁ・・・と思うわけです。

 で、米国では小規模会社については、1年延長するかもと・・・

【参考】
■SEC
・2008.02.01 SEC Begins Small Business Costs and Benefits Study of Sarbanes-Oxley Act Section 404
Commission Proposes One-Year Extension of Final Compliance Requirements for Smaller Companies While Study Underway
FOR IMMEDIATE RELEASE 2008-8

Spotlight On:Internal Control Reporting Provisions

Sarbanes-Oxley Section 404 A Guide for Small Business

|

« IPA 脆弱性情報共有フレームワークに関する調査報告書 ~中小規模組織における脆弱性対策促進への各国の取り組み~ | Main | キーコントロールはデジタルには決まらない »

Comments

コンピュータ屋です。
こんにちは。

「米国では、小規模会社へのSOX法404条の適用をさらに1年間延長することを決定したわけですよね」、と言うことはよく実態を検討しながら進めていると言うことですね。
小規模の規模とは売上でどの程度か、その数は、教えていただければありがたいですね。
おっしゃるように日本では対象企業すべてが暴走中ですね。誰ももうとめられないとなると、行き着いた結果の影響は大変です。
何とかなりませんか、その先を飯の種と考えている自分にとって心配です。

丸山先生、
そして眞田さん(また前線に出てきてください)よろしくお願いします。

Posted by: コンピュータ屋 | 2008.02.13 11:12

そうなんですよね。
眞田さんお忙しいんでしょうか?
最近おとなしい(誠に失礼な表現ですが)ので
おそらくいろいろおありなんでしょうけど
また出てきて欲しいんです、私も。

昨日の道路予算を巡る国会審議でも
改めて分かりましたが、
日本には「費用対効果」という思想がないんですよね。
あるように錯覚しますが、
それは単なる官僚のアリバイ作りのためにやってるだけです。

Posted by: 機野 | 2008.02.13 11:24

こんにちは、丸山満彦です。

小規模会社への適用については次のようなニュースもあります。

●TechTarget
・2008.02.12 SOX法初年度の費用、予想を大きく下回る
=====
 SOX法調査・コンサルティング会社の米Lord & Benoitの調べによると、中小規模の公開企業(時価総額7500万ドル未満)が初年度に支払った経営評価と追加監査の費用は平均7万8474ドルだった。これは米証券取引委員会(SEC)が予想していた9万1000ドルを13.8%下回った。
 「費用の収拾がつかなくなるといううわさは、この報告書で一掃されると思う。この報告書にある数字が実際に掛かった費用であり、これまで掛かると言われてきた金額からはほど遠い」。Lord & Benoitのロバート・ブノア社長はこう話す。
 Lord & Benoitの報告書「The Sarbanes-Oxley Investment: A Section 404 Cost Study for Smaller Public Companies」は、製造、流通、金融、バイオテクノロジーなど12業界の中小企業29社と、公開企業約5500社が報告した実際の監査料の分析結果に基づいている。
=====

報告書を読むと、経営者評価で、約54,000ドル(約600万円)、監査報酬の増加分で、約25,000ドル(約280万円)という感じですね。。。29件というサンプル数の少なさも気になるところですが・・・

Posted by: 丸山満彦 | 2008.02.13 14:54

小規模会社へのSOX404適用延期はまだ確定ではないかもしれませんね。SECが提案して、パブリックコメントに掛けている状態でしょうか。。。
調査自体は、晩夏あるいは初秋の完成を予定しているようで、この結果も楽しみです。
日本も、法と実務が連動するような、それこそPDCAサイクルをまわしていくような発想が必要ではないかと思います。

Posted by: trainee | 2008.02.13 23:22

お久しぶりです。中堅(中小?)でJ-SOX担当をしているtonchanです。

 今回のお題を私流に考えると「J-SOX対応コストに見合うメリットとは何か?」になります。今回の評価を「財務諸表の有効性を担保する」ことだけにフォーカスすると、殆んどの中堅企業ではコストに見合った効果は望めません。
 私の経験からすると今回の評価プロセスで会社には同時に大きく以下のメリットをもたらしました。
①「守れるルールだけを守る。」から「守れるルールを作って徹底する。」
②「残せる伝票だけを残す。」から「少なくとも後で確認できるような証拠を残す。」
 これは「全社的統制のチェックリスト」には出てきませんが、大きな統制環境の向上となっています。
 同時に、J-SOX対応をてこにして業務改善を行うことができました。個人的にはこの効果まで考えるとある程度のコストは許容できるように思います。
 現場からのとりとめのない意見で申し訳ありませんが、一言コメントさせていただきました。
 これからも、このブログを楽しみにしております。

Posted by: tonchan | 2008.02.14 08:59

>① トップダウン型のリスク・アプローチの活用

実際は重要な事業拠点の絞込みという意味にしか捉えていない方が多いと思います。業務プロセスの評価対象とする事業拠点の数が減ったところで、その業務プロセスのリスクやコントロールを"網羅的"に抽出していたら、結局手間はかかります。でもこれが一般的に推奨されている方法なので、従わざるを得ない部分もあるのが現実です。日本人にとって、"みんなやってます"、というのは本当によく効く台詞だと思います。

>③ ダイレクト・レポーティングの不採用

意見書で堂々とこれを謳ってしまった手前、いまさら"やっぱりダイレクトレポーティングに変更します"とは言えないでしょう。監査人の内部統制報告書に対する監査対象を限定することで、実質的にダイレクトレポーティングにするのが現実的な解決策かと思います。これだと、金融庁および実施基準の制定に関わった学者先生の面目もある程度保たれるでしょう。

Posted by: FN | 2008.02.15 00:44

traineeさん、コメントありがとうございます。
その通りです、費用効果分析の結果を受けて決定するということです。。。米国でも結局いいだしたからには引っ込めにくいという状況はあるとは思います。。。
ということで、表題を変えました。


tonchanさん、コメントありがとうございます。
「J-SOX対応コストに見合うメリットとは何か?」ですが・・・一企業のメリットというよりは、資本市場全体のメリットなんですね。従って、個々の企業に対してはメリットがなくても、資本市場全体としてメリットがあればよいのだろうと思います。で、おそらく一企業にとっては総じて大企業でも中小企業でもメリットがコストを上回るのは難しいようにも思うんです。
 で、資本市場にとってメリットがあるかどうかが重要となってくるわけですね。
∑(個々の企業にとっての費用対効果)+資本市場における費用対効果になるのでしょうかね。。。

FNさん、コメントありがとうございます。
国家が不利益を被っているかも知れないという状況の中で、政府の役人や学者の先生のメンツなんてどうでもよいと思うのです。

Posted by: 丸山満彦 | 2008.02.15 07:42

丸山先生

 コメントありがとうございます。成程、資本市場全体のメリットですか?分かったような分からないような?
 少なくとも、個別の企業で通すのは困難な理屈のような思いがします。(私だけかもしれませんが…)できれば、上場会社の責任に応じた応分の負担論とか何か(地球温暖化みたいなお題目)が欲しいですねぇ。
 私だけが低俗な話になってしまいますが、実際の担当の本音はこのようなものだと思います。私は関西人(関西弁で厚かましい)なので、皆さんのような方にも現場の雰囲気を知っていただきたくてコメントを書いています。
 丸山先生が関西に見えられた時には、ぜひお会いしたいと思います。

Posted by: tonchan | 2008.02.15 10:22

tonchanさん、コメントありがとうございます。
証券市場(取引所)もグローバルな競争ですので、魅力的な市場にしなければならないわけですよ。。。
そういう観点からどうよ・・・って話も重要なんですよね。。。

Posted by: 丸山満彦 | 2008.02.16 10:20

費用対効果は大事ですね。
それが検証されていないことは問題ですが、法律を運用する我々が、費用対効果があるように運用すれば自ずと答えは出てくるでしょう。多少の時間は要するかもしれませんが、そうすることが今は一番大事だと考えます。
お役所に「効果があるからやれ」と言われるのはもっとも嫌ですから。

tonchanさんの書かれている
>>>>
①「守れるルールだけを守る。」から「守れるルールを作って徹底する。」
②「残せる伝票だけを残す。」から「少なくとも後で確認できるような証拠を残す。」
<<<<
の部分は、キーコントロールの真髄ですね。まずはキーコンの運用を徹底しろということですね。大賛成です。

Posted by: 閑人 | 2008.02.16 12:29

>証券市場(取引所)もグローバルな競争ですので、魅力的な市場にしなければならない

全くその通りだと思います。ただ、下っ端の社員として販売などの業務プロセスの文書化を行っていると、"この作業が一体どのような理由で健全な資本市場の整備に約立つのか?"という感じずにはいられません。

内部統制報告制度の本来の目的は適正なディスクロージャーを担保することにあるわけですから、全社統制や決算財務報告プロセスに注力するの合理的だと思いますが、現実は枝葉末節の業務プロセス文書化が中心。これはこれで業務の再確認という意味はありますが、それにしてはコストかかりすぎです。

"制度本来の目的は適正なディスクロージャーを担保すること"だと主張しても、"そんな理屈はよいからさっさと文書化しろ"というのが、実務現場での一般的な雰囲気ではないかという気がします。

Posted by: FN | 2008.02.18 01:10

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 米国では、小規模公開会社へのSOX法404条の適用が1年延長されるかもなのですが・・・:

» 米国SOX 小規模公開会社へのSOX法404条の適用が1年延長 [◆CFOのための最新情報◆]
丸山満彦会計士のブログにも書かれていますが、米国SOXの小規模公開会社へのSOX法404条の適用がまた1年延長されるようです。 米国では、中小規模公開企業のSOX法適用延期措置が取られていました。 それは、中小規模の公開企業から、会社によって規模も業種も違うのに...... [Read More]

Tracked on 2008.02.14 11:18

« IPA 脆弱性情報共有フレームワークに関する調査報告書 ~中小規模組織における脆弱性対策促進への各国の取り組み~ | Main | キーコントロールはデジタルには決まらない »