J-SOXの現場から（その２）

J-SOXのお仕事の現場でよくいただく質問に「この作業はどれだけやればいいのですか？」というのがあるというのが前回のお話でした。今回はこのご質問に対する私の意見を少し書いてみたいと思います。

どれだけやればいいのか？ということは、何か基準があって、その基準をクリアしているかどうかによって、判断が下せるということになるのではないかと思います。Ｊ-SOXの基準といえば、実施基準や監査に関する実務指針が公表されていますが、これを読んでみても必ずしもクリアすべき基準というのは明確になっていないのではないかと感じます。

私は、この「どれだけやればいいのか？」を決定するにあたって、リスクの評価と対応を決定しておくことがとても重要なのではないかと考えています。

つまり、会社にどれだけのリスク（J-SOXであれば財務諸表の虚偽表示が発生する可能性のこと）があり、それぞれの発生可能性がどれだけあって、発生した場合の影響がどれくらい大きいものなのかをきちんと整理しておくことだと思います。

リスクの発生可能性は低くても発生した場合の影響がとてつもなく大きいものもありますし、リスクの発生可能性が高くても発生した場合の影響が限定的である場合もあります。この場合、それぞれのリスクへの対応の仕方というのも当然変わってくるでしょう。

つまり、リスク評価の整理ができていると、それぞれのリスクにどのような対応をしていくのかを決定することができます。専門書等では、リスクへの対応の例示として、回避・移転・低減・受容等が挙げられているかと思います。ここで、低減の対応を取るべきものが、言い換えれば、内部統制を整備すべきものと考えてはどうでしょうか。

（文中の意見は筆者個人の意見であり、筆者が所属するあすかコンサルティング㈱の公式見解ではありませんので、ご了承ください。）