US-SOXを導入する際に求められる業務・システムの対応

J-SOXを導入している企業がUS-SOXに移行する際は評価対象範囲が広くなる傾向がある
 

US-SOXとJ-SOXでは特に評価対象拠点や評価対象プロセスの範囲が異なります。J-SOXでは「財務報告に係る内部統制の評価及び監査に関する実施基準」（金融庁）において評価対象範囲を示す具体的な定量基準が例示されていますが、US-SOXでは財務報告の重要な事項に虚偽誤りが発生するリスクを含んでいる拠点やプロセスを評価対象範囲とするため、一般的にはJ-SOXよりも評価対象範囲が広くなる傾向があります。
例えば、J-SOXでは評価対象プロセスを「財務報告に係る内部統制の評価及び監査に関する実施基準」にて、売上・売掛金・棚卸資産が重要な勘定科目として例示されていますが、US-SOXでは前述の勘定科目以外に、固定資産や給与、税務等が財務報告の重要な事項に虚偽誤りが発生するリスクを含んでいた場合には、これらの勘定科目も評価対象プロセスとなる可能性があります。
またシステムの観点からは、新たに評価対象となったプロセスで財務諸表の記載誤りを防ぐためのコントロールに用いられているシステムは評価対象として取り扱う必要があります。

US-SOXとJ-SOXでは実務上求められる統制の深度・粒度が異なる
 

US-SOXとJ-SOXの制度上要求される事項を比較した場合、要件の文言上の違いは少ないですが、実務上では求められる対応に差があります。

1. 業務上の差異（人が関わる作業に関する要件）
US-SOXでは、J-SOXで要求される統制に準拠することに加えて、マネジメントレビューコントロール^*1やスプレッドシートコントロール^*2等を実施することが求められます。現在のJ-SOXでは、統制の構築および監査時の評価手続の実施が厳格に求められていないため、US-SOXに移行する際に、業務手順やシステムにて統制の追加や既存統制の厳密化等の対応を行う必要があります。

*1 マネジメントレビューコントロール：分析や評価・判断が伴うレビュー・承認を含むコントロールについて、適性を有する承認者が十分な粒度でレビューを実施することが求められる。
*2 スプレッドシートコントロール：業務プロセスおよび決算・財務報告プロセスで使用するスプレッドシートについて、以下のようなコントロールを整備・運用することが求められる。
⁻各行・各列の合計値が整合していること
⁻入力値の網羅性・正確性や関数・マクロの正確性を検証していること
⁻スプレッドシートのアクセス制御や変更管理・変更履歴管理、バックアップが行われていること

2. システム上の差異（システムそのものが備えるべき要件）
システムが実装すべき仕様についてはUS-SOXとJ-SOXでは大きな差異はありません。しかしながら、レポート出力やログの取得、付与されているアクセス権限やアプリケーション等の変更実績の確認が実機上で行えることが求められます。

US-SOXとJ-SOXの比較

有限責任監査法人トーマツではUS-SOXのプロフェッショナルが関与し、貴社を支援します
 

US-SOXは明確な量的基準や例示が示されていない場合も多く、US-SOXの導入にあたっては会計監査人との協議が重要になります。そのため、専門的な知識や経験を有したプロフェッショナルをプロジェクトに参画させることがプロジェクトの成否をわけます。
有限責任監査法人トーマツではUS-SOXにおける業務プロセスやITシステムの対応について多くの知見・経験を有した内部統制構築のプロフェッショナルがUS-SOXの導入を支援します。

他にもSOX対応として以下の支援サービスが可能です。
・新規ビジネス参入時の内部統制・J-SOX対応
・テクノロジー活用による業務自動化に伴うJ-SOX対応
・システムの導入・変更に伴うJ-SOX対応
・不正発生時のJ-SOX対応
・海外M&A（企業買収）時のJ-SOX対応
・IFRS導入時のJ-SOX対応　　等