見出し画像

米企業にみる最新SOX動向【内部統制ガチ勢向け】

てりたま|元大手監査法人パートナー|会計士の新しい生き方を見つける

キーコンの数は? 不備を認識した会社の割合は? 内部監査部門はどれくらいの時間をSOXに使っている? 米企業での状況をプロティビティ社のレポートから見ていきます。

監査法人で30年強、うち17年をパートナーとして勤めた「てりたま」です。
このnoteを開いていただき、ありがとうございます。

米プロティビティ社がSOX対象企業564社に対して行ったサーベイ結果を公表しました。

この中から、日本の我々に役立ちそうなところを紹介します。
なお念のためですが、このサーベイは会社に対して行ったものですので、以下は内部統制監査ではなく、経営者評価に関するデータです。

ちなみに最近、アメリカ関連の話題を取り上げることが多くなりましたが、たまたま思いついた話題がそうなっているだけで他意はありません。
では、参りましょう。



キーコンの数

P. 21より

まず、SOX対象のキーコントロールの数です。
ちなみに、全社統制は含まず、IT全般統制は含んでいます。

調査対象会社を拠点数に基づいて3つに分類し、それぞれのキーコン数の平均を出しています。

  • 拠点数1:307個

  • 拠点数2~9:421個

  • 拠点数10以上:718個

拠点の数が多いほどキーコンも多いのは予想通りですが、正比例するわけではありません。
本社だけの内部統制があったり、拠点間で共通する内部統制もあるためですね。

【追記】「拠点数1でずいぶん多いな」という反応を複数の方からいただきました。これにはJ-SOXとの違い(SOXでは対象勘定科目を絞り込まない)の影響も大きいと思います。


不備のあった会社の割合

P. 32より

調査対象会社のうち、75%が何らかの内部統制の不備を発見しています。

日本の方が「不備なし」と言っている割合が多いように思うのですが、どうなんでしょうか。


IT統制

キーコンに占めるIT全般統制の割合

P. 22より

キーコンのうち、IT全般統制は30%。
キーコンの数が経営者評価に費やす時間とぴったり比例するわけではありませんが、IT全般統制に相当な労力をかけていることが分かります。

キーコンに占める自動化された統制の割合

P. 23より

自動化されたキーコンの割合も30%。

細かい話になりますが、こちらは全社統制も含んだ割合のようで、しかもIT全般統制の中にも自動化された統制があるかもしれません。
したがって先ほどの30%と単純に合計するわけにはいきませんが、キーコンのうちかなりの割合(半分くらい?)がIT統制だと言えます。

SOX対象のシステム数

P. 26より

ここは売上高の金額によって5つに分かれています。

一番大きい分類(売上高100億ドル以上)の対象システム数は53個、規模が小さいほど少なくなり、5億ドル未満では23個となっています。

このうち、クラウドベースのシステムはどれくらいあるのか、という質問もあります。

P.28より

売上高100億ドル以上の会社が42%、以下規模が小さくなるほどこの割合も小さくなりますが、一番小さい5億ドル未満が59%と跳ね上がっているのがおもしろいですね。
プロティビティはこのように分析しています。

Smaller organizations have a notably higher percentage of cloud applications, which could be due to reduced need for upfront capital expenditure and the flexibility offered by cloud. Some of these smaller organizations may also have been "born digital," thus more digitally minded and less encumbered by legacy technologies.
(小規模組織は、クラウドアプリケーションの割合が際立って高い。これは、最初の設備投資の必要性が少ないことと、クラウドによって提供される柔軟性に起因している可能性がある。また、こうした小規模な組織の一部は「生まれながらにしてデジタル」であるため、デジタルに対する意識が高く、古いテクノロジーにあまり縛られていない可能性もある。)

P. 27より
(和訳は筆者)

キーコンに使用されるIPEのテスト頻度

P. 36より

IPE(企業作成情報)は、ここでは社内で作成されたデータで内部統制に利用されるものを指しています。

上の表は、SEC登録企業のうち大規模早期提出会社(Large Accelerated Filer)への調査結果を示しています。
SEC登録企業は、時価総額などによりSECへの財務書類の提出期限が異なっています。規模の大きい会社はおおむね一番早いカテゴリーになり、これを大規模早期提出会社と呼んでいます。

IPEの検証頻度について、2、3年のローテーションによる会社、年1回の会社、テストの都度実施する会社に分かれ、それぞれ30%前後になっています。


経営者評価の実施者

P. 34より

経営者評価を誰が実施しているか。複数回答ありです。
それぞれ意訳し、さらに私の想像による説明(「※」以降)をつけています。

  • 内部監査 74%

  • 経営者・管理者またはプロセスオーナー 54%
    ※例えばある部門のスタッフが実施している内部統制について、上席者がテストする場合

  • プロジェクトマネジメント事務局 46%
    ※内部監査と別に設けられたSOX対応専門の組織

  • 事業部門・経理部門の統制チーム 39%
    ※事業部門や経理部門に設けられた経理的なチェックを行うチーム

  • 第三者のサービス提供者 36%

やはり内部監査が一番多いですね。

その内部監査部門は、SOXがかなりの負担になっていると言われています。
内部監査に費やす時間のうち、SOX関連の割合も聞いています。

P. 34より

およそ半分の時間をSOXに使っている、という結果になっています。


SOCレポートの利用

クラウドベースのサービスが増えたこともあってSOCレポートを利用する場面が増えています。
J-SOXでも委託業務に関する記述が強化されたところです。

そのSOCレポート、意外に内部統制の逸脱が報告されていたり、さらに適正意見でなかったりすることが多いため、入手できても安心するわけにはいきません。

P. 29より

プロティビティのレポートでも、調査対象会社の31%が逸脱事項の記載や除外事項付結論の付されたSOCレポートを入手しています。


おわりに

以上はあくまでもアメリカの状況ですが、事業会社にお勤めの方は自社の、監査法人の方はクライアントの状況と比較されるとおもしろいと思います。

このレポートでは、ご紹介した以外にSOXのためにかかった費用(監査報酬を除く)、ESG関連開示にかかる内部統制についても記載しています。
興味があれば一度ご覧ください。

最後までお読みいただき、ありがとうございます。
この投稿へのご意見を下のコメント欄またはX/Twitter(@teritamadozo)でいただけると幸いです。
これからもおつきあいのほど、よろしくお願いいたします。

てりたま

この記事が気に入ったらサポートをしてみませんか?