J-SOX（内部統制報告制度）がスタートして15年。たいへんな労力をかけて導入、運用されているわけですが、J-SOXが入ってよかったことは何で、そうでないことは何なのか。これまで断片的にしか発信してこなかった意見をまとめてお話しします。

監査法人で30年強、うち17年をパートナーとして勤めた「てりたま」です。
このnoteを開いていただき、ありがとうございます。

J-SOXもUS SOXも導入当時から付き合ってきましたので、個人的にいろいろ思うところがあります。
これまでもnoteやXでちらほらとは発言してきました。

こうやって断片的につぶやいてきましたが、まとめてお話ししたことはありません。
今回と次回とで、今の時点で思うことを遠慮なく書こうと思います。

J-SOX導入前はどうだったか？

J-SOXへの不満はいろいろ耳にしますが、プラスの面ももちろんあります。
導入前がどうだったか、をお話しすれば分かりやすいと思います。当時、クライアントから言われた言葉とともにご覧ください。

「内部統制？　監査人がやることでしょ？」

職務分掌だとか承認といった内部統制は、おそらく組織というものが生まれた太古より実質的には行われてきました。

ところが、J-SOX導入前は「内部統制」を監査用語だと思っていた人が少なからずいたように思います。
監査現場でクライアントに内部統制の改善を求めても、「監査人の仕事をこっちに回さないでよw」といった反応を受けたこともありました。

「内部統制は、この○○君（CFO）に任しているから大丈夫ですよ。だよな？」

監査クライアントの社長に、内部統制に対する考えを質問したときの反応です。社長から「だよな？」と振られて、同席しているCFOは微妙な表情でうなずいていました。

この社長としては、内部統制は聞いたことはあるが自分と縁のない仕事、という認識だったと思います。

もちろん、役員間で業務分担はあって当然ですし、社長がすべての業務に細かく関与することはできません。今でも、実際には内部統制のことをあまり分かっていないし興味もないという社長はいるでしょう。
しかし、J-SOX導入によりほとんどの社長は制度上の立て付けを理解するようになり、監査人に面と向かって「任しているから知らない」といった態度はとらないと思います。

「みんなが見ているから大丈夫」

J-SOX導入前でも、財務諸表監査では内部統制を識別し、評価していました。

私が担当した監査クライアントで、ある重要な月次資料があり、これが正確に作られていることを確かめる内部統制を探す必要がありました。ところが作成部門にヒアリングしても、典型的な内部統制が何もない。
部門の責任者に質問したところ、返ってきた答えが「みんなが見ているから大丈夫」でした。

その資料は経営層、経営企画、経理などに配布され、作成部門内でもたくさんの人の目に触れます。そこで「間違いがあれば誰かが文句を言ってくる」ということでした。

このどこに問題があるでしょうか？

確かに大勢が利用することで、誤りが見つかる可能性はあるでしょう。しかし、誰も気づかなかったり、気づいてもわざわざ連絡してくれないかもしれません。
そうすると、毎回同じレベルでチェックが働いているのかどうか分かりません。
また、チェックを働かせることに責任を持っている人もいません。

やはり有効な内部統制とは言えないという結論でしたが、クライアントにはなかなか納得してもらえませんでした。

「えっと、分からないので○○さん（部下）に聞いてください」

J-SOXが入るずっとずっと前のことです。
内部統制のヒアリングはトップダウンアプローチでやるのが効率的、という話がアメリカから輸入され、日本の監査法人でも取り組むことになりました。

それまで監査クライアントの担当者にヒアリングしていたのを、管理職に聞くことに。そうすると……
「私が担当者のときはやっていましたが、今はどうか……」
「分からないので○○さん（部下）に聞いてください」
「おーい○○（部下）、先生に教えてあげて」
現場の判断で、トップダウンアプローチはすぐに取りやめにしました。

日本の多くの会社では、現場の生真面目な創意工夫の中で生まれた内部統制が多いと感じます。

担当者が交代すれば、新旧担当者の引き継ぎによって内部統制が維持される。
しかし、引き継ぎを繰り返す中で内部統制のレベルが下がったり、引き継ぎがうまくいかずに内部統制がなくなってしまったり、ということが起こることがあります。
そのときに、上席者には何も分かりません。そもそも、そんな内部統制があったことすら知らないのですから……

J-SOX導入によるメリット

上記の裏返しですが、導入されるとこうなりました。

• クライアント社内で、「内部統制」という言葉が認知されるようになった

• 社長/CEOなどCFO以外の経営陣も内部統制を意識するようになった

• 内部統制の文書化の過程で、個々の統制活動が定義され、明文化された

• 統制活動はRCM（リスク・コントロール・マトリクス）としてリスト化され、部門内で共有できるようになった

今となっては当たり前のことですが、かつてのカオスな状況と比べると格段の進歩です。

監査人にとっては、クライアントとの間で内部統制に関する会話がやりやすくなりました。
「内部統制」「不備」「IT全般統制」などの言葉や概念について理解が進み、内部統制を自分事として考える人がクライアントに増えました。
その結果、経理・内部監査以外の部門の方々とも意思疎通が図りやすくなりました。

おわりに

J-SOX導入後、日経新聞に「2008年に内部統制が導入され……」といった言葉を見て、がっかりしたことがあります。
手元にそのときの紙面はないのですが、少なくとも2回は見た記憶があります。心の中で「2008年に導入されたのは『内部統制報告制度』でしょ！　内部統制は大昔からあるの！」と寂しく突っ込みました。

ひょっとすると、今でもJ-SOX導入によって日本に内部統制がもたらされたと誤解している人がいるかもしれませんが、導入後15年も経った今となっては実害はありません。

次回は私が考えるJ-SOXの「闇」編です。本当はこちらが書きたかったので2回シリーズのこの企画を考えました。

最後までお読みいただき、ありがとうございます。
この投稿へのご意見を下のコメント欄またはX/Twitter（@teritamadozo）でいただけると幸いです。
これからもおつきあいのほど、よろしくお願いいたします。

てりたま