先日（12月25日）掲載した、「これならわかる日本版SOX法と内部統制 第12回 補足」の内容について、メールにてご質問をいただきましたので、この場をお借りして回答しておきます。

質問のポイントを私なりにまとめてみますと、
「今回の実施基準（公開草案）で定義している「重要な欠陥」のどこが不十分で、ならばどうすればよいのか」
といったところでしょうか。

まず、不十分と感じた部分ですが、例えば、公開草案の「Ⅱ．３．財務報告に係る内部統制の評価の方法 （4）内部統制の有効性の判断 ①全社的な有効性の判断 ハ. 全社的な内部統制に不備がある場合」に重要な欠陥となる全社的な内部統制の不備の例示があります。
簡略化して記せば以下のようなものです。
a 経営者がリスクの評価と対応をしていない
b 取締役会等が内部統制の整備運用を監督・監視・検証していない
c 内部統制の有効性を評価する責任部署が明確でない
d ITのアクセス制限に不備がある
e 内部統制の整備状況に関する記録を欠いている
f 報告された不備が改善されていない

上記５つのうち、a,b,cに該当する会社はほとんどないと思われますし、反対にｄを完全に行っている会社もありえないと思います。例示による基準のハードルが、高すぎるものと低すぎるものの両極端しか提示されていないため、実務の参考になりづらいと感じた次第です。

次に、「ならばどうすればいいか」ということになりますが、この回答はかなり難しいです（当然、委員の方々も様々なご検討をされた結果ですので）。
また、法令や基準というものは、特定の事象を例示等によって具体的に定義したほうが利用者には使いやすいのですが、そうすると「それ以外ならば、その事象に該当しない」と考えて脱法的な行動をとる人々が現れるため、条文上では抽象的に定義せざるを得ません。
ひとつのヒントとして、米国における内部統制監査の基準であるPCAOB のAuditing Standard No2では、重要な欠陥を直接定義するのではなく、「重要な欠陥の存在を示す事例」”strong indicator”を例示するというアプローチをとっています。

十分なご回答になりませんでしたが、本日は、こんなところでご了承ください。