- 2006/07/27 掲載
日本版SOX法に対応するための内部統制強化について(2/2)
【法令順守】ビジネスインパクトvol.8
記事をお気に入りリストに登録することができます。
日本版SOX法対応の成功ポイント
次に日本版SOX法対応で成功するためのポイントを述べていこう。 ・方針の確認の重要性
・リスクの洗い出し
・要員の確保
・生産性の低下に対する対応
・プロジェクト・マネジメント
・毎年の運用への備え
はじめに強調しておきたいのは、方針の確認の重要性である。米国では、監査で内部統制の強化範囲を指摘された事例の多くで、方針そのものにすでに問題があったことが報告されている。作業工数上の大きな部分を占める文書化、運用テストの対象を決定する方針の確認では、論理的なアプローチの他、監査人とのコミュニケーションが重要なカギを握る。
次の段階では重要プロセスに対するリスクを正確に把握する作業を行う。内部統制が機能する業務プロセスの構築には、リスクの理解が欠かせないからである。手法としては、各社の対象となるビジネスに関するプロセスに内在する不正や誤謬の可能性をリスクとして洗い出し、それらへの対応策として重要性、発生可能性等に応じたコントロール(統制)をプロセスに埋め込むという、リスク・アプローチを用いるのが一般的である。
さて、実作業に着手する際に、多くの企業で直面する課題が要員の確保である。内部統制強化にはリスクの洗い出しから統制を埋め込んだ業務フローの作成、そしてその導入までに至る一連の作業が必要となる。前述のようにほとんどの定型業務は重要プロセスに含まれるため、多くの部門に対して業務に精通した要員の確保を依頼し、それらの作業に多くの時間を割いてもらわなけらればならないのである。弊社が関与した事例では、たとえば連結ベース2.5兆円程度の会社で約700人/月の工数が必要と試算されている。
もちろんある程度は外部に任せることも可能であるが、その際も内容確認のためのウォークスルーや新プロセスの導入、運用テスト等に現場の要員の工数が必須となる。また、内部統制強化に精通した監査法人やコンサルティング・ファームもニーズの高まりに応じて人員が逼迫してきており、対応が遅れるとこうした外部リソースも当てに出来ない状況に陥りかねない。
内部統制強化につきまとう大きな不安の一つとして、業務プロセスの非効率化が挙げられる。基本的に統制を強化するほど確認や承認などのステップが増えるため、内部工数や保管文書(メールを含む)も増加し、生産性向上の阻害要因となってしまう。内部統制強化は時間的制約から既存業務の小修正に止まる傾向が強いが、この業務プロセスの非効率化を防ぐには、抜本的な業務改革やシステムによる統制の強化に踏み切ることでしか解決できない。見方を変えれば今回の法制化は業務プロセスの改革(BPR)を行う絶好の機会とも言えるのである。
また、入力情報のチェック機能の強化や承認フロー等の自動化/IT化などのシステムによる統制は一度構築されれば信頼性が高く業務効率化にも大きく寄与するため、特に大企業では有効な対策となるはずである。実はSOX法対応までの期間が短かった米国ではIT化が遅れ、生産性の低下をもたらした。現在では生産性回復のために、さながら第二次SOX対応現象ともいえる様相を呈しているほどであるが、日本はこれと同じ轍を踏まないよう最初から生産性の維持をも意図した内部統制強化を行うべきである。幸い、米国のSOX対応時にはあまり存在しなかった内部統制管理ツールをはじめ、ワークフローやID管理などの内部統制強化を支援するツール群が現在ではかなり発達している(図2)。
(図2)
必要なプロジェクト・マネジメント能力
2008年までの短期間でのシステム対応範囲は限られるであろうが、IT部門にはこれらのツールの有効活用が期待される。ここまで各フェーズに対応するための要点を述べてきたが、もう一つ忘れてはならないのは、内部統制強化活動を効率的に運営するプロジェクト・マネジメント能力である。日本版SOX法対応には重要プロセスを掌る部門をはじめ、連結対象会社や国内外の拠点に至るまでの多く関係者に内部統制の重要性を理解してもらい、協力を取り付けていく必要がある。
具体的にはさまざまなコミュニケーション手段(トップからのメッセージ、マニュアル、社内報、SOXヘルプデスク等)を用意し、全社的な活動であるとの認識を周知させるとともに、関係者への支援体制の整備が必要となる。たとえばある大企業ではバインダーで厚さ5センチ程のSOX対応マニュアルを配布し、子会社の重要度に応じた対応項目を指示している。特に大きな組織になるほど、こうした取り組みは重要性を増す。
また、プロジェクトの進捗管理、課題管理も重要である。多くの法人、事業部、部門が関与するため、それぞれの進捗状況や上がってくる課題をタイムリーに把握し、対応していく仕組みも必要となる。文書化作業は決して単純な整備作業ではなく、適切な情報収集、開示および指示を行うことが要求される作業である。
たとえば業務側担当者とIT側担当者の連絡が上手くいかず、業務側の大量の成果物がIT側に届くのが期限間際になって、処理に余計な負担がかかるといった例も少なくなく、さらに期限に追われた部門が文書化の途中やテスト時になって業務プロセスの見直しを始めたりするなど、現場の状況の急変は珍しいことではない。また、予備調査の段階で洗い出されていたシステム以外にも財務情報に関わる処理をしているシステムの存在が発見され、アプリケーション・コントロールやIT全般統制面での追加対応をせざるを得なくなることさえある。
最後に、この内部統制の強化プロセスは法律施行時の一時的な取り組みではないということを言及しておきたい。企業のビジネスと環境は流動的であり、顧客からの要求、取り扱う商品やサービス、組織、システムなど、あらゆるものが常に変化を続けている。それに伴ってリスクや重要プロセス、そして該当する内部統制に対する認識を見直し、変更を加えていかなければならない。また、定められた業務フローどおりに業務が実行されているかを監視する必要もある。
つまり内部統制の強化活動は、通年にわたって関わる作業なのである。このため内部統制にかかる部門の整備や、内部統制に関する知識を備えた現場の担当者の育成が何より重要となってくる。また、内部統制関連の文書の管理方法等も毎年変更されることを前提にバージョン管理を可能にしておくことや、組織変更を予め想定しておくことも不可欠である。
米国SOX法の対応を終えた日本企業が、内部統制強化作業のプロジェクト管理や文書管理をおこなう内部統制管理支援ツール等の導入を検討し始めるようになったのは面白い現象である。ワールドワイドで内部統制のレベルを管理、強化していく作業をITツールなしで実施していくのは困難であることを身をもって理解したからと言える。
関連タグ
関連コンテンツ
あなたの投稿
PR
PR
PR
