前回は、法律の内容を簡単に紹介しましたが、今回はより具体的な基準案※に基づき、企業が日本版SOX法対応として行うべきこと、を紹介していきます。基準案自体30ページ弱と短いものなので、興味のある方はこちらより、原文を読んでみてください。
(※2005年12月8日公開の「財務報告に係る内部統制の評価及び監査の基準のあり方について」)
内部統制の基本的枠組み
ここでいきなり、「内部統制」という言葉がでてきましたが、日本版SOX法の説明をするにあたり、この「内部統制」を抜きにはできません。簡単に言ってしまえば、内部統制とは、「経営者・従業員の不正・ミスによるリスクを無くすための仕組み、及び組織的活動」です。前回、法律内容の紹介において、「正しい決算ができる体制になっていますよ」ということを企業が報告する義務があるということを書きましたが、言い換えれば、「決算に関して内部統制が取れている」ということになります。
基準案の最初のパートでは、内部統制の基本的枠組みとして、内部統制の4つの目的(業務の有効性及び効率性)、財務報告の信頼性、事業活動に関る法令等の遵守、資産の保全)と、6つの基本要素、(統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応)というフレームを定義しています。
この部分をあまり深堀しても面白くないので、詳細は省略します。(興味のある方は、Googleで「COSO」で検索すれば多数の解説ドキュメントが見つかるので、そちらで代替してください。)
財務報告に係る内部統制の評価及び報告
この部分が、いよいよ本論です。基準案に書いてあることに加え、巷で言われていることもふまえ、企業が「財務報告に係る内部統制の評価及び報告」をするということが、具体的に何をすることなのか、説明していきます。
評価・報告すべきは、あくまでも「財務報告に係る」です。つまり、売上だとか、請求だとか、お金のやり取りにまつわる数字の正しさや、プロセスの正当性を評価・報告することが、やるべきことです。
とはいえ、お金のやり取りにまつわる数字・プロセスなんて1つの企業(ましてや上場企業には)無数といっていいほどありますよね。それらの全てを仔細に評価・報告していくことなんて到底できません。
では、どうするか?
まず、企業全体を浅く、広くチェックした上で、内部統制に不備がありそうな箇所、かつ財務報告上重要そうな箇所に絞って、業務プロセスのレベルで細かく見ていく、ということになります。具体的には、「こんなこと、できていますか?」というような質問に答えていくことで、浅く・広くチェックします。それで、業務プロセスレベルで細かく見るというのは、例えば、売上などの数字が計上される業務プロセスにおいて、ミスや不正が発生しそうなポイントに対して、適切な対応が取られているか、ということを一つひとつチェックしていきます。巷で言われている方法では、業務のフローチャートを記述し、フロー上に存在するリスク(ミスや不正が発生しうるポイント)を洗い出します。そして、そのリスクへの対応策としてのコントロールを設計していく、という手順になります。最後に書いたリスクとコントロールの対応表がRCM(リスク・コントロール・マトリクス)と呼ばれ、これが内部統制の仕組みをつくり上げるキモになります。
ITとのかかわりはどこに?
ここまで読んでいただいて、何か疑問は感じませんか?おそらく皆さんが目にする内部統制や日本版SOX対応に関する広告、大半がITのソリューションに関するものだと思います。でも、ここまでは全くITソリューションに関する話、出てきていませんよね。(フローを作って、RCMを作るという対応は、ITの領域にも存在しますが、それでもITソリューションとは関係ありません。)
実は、今見えている範囲の情報を冷静に見ると、日本版SOX法を契機としてIT特需は見込み薄だと私は思っています。上に書いたように、日本版SOX法では財務諸表が正しいです、および正しいプロセスに則って作られています、ということを評価・報告するためには、質問表で聞かれることを満たすこと、コントロールの効いた業務フローを実現することです。そのために、必ずしも新しいITを導入する必要なんてなく、人的なコントロール(例えば、上司によるチェック)を増やすなどの対応で何とかなってしまうのです。
もちろん、ITに関係がないとは言いません。フローをシステムで自動化してしまえば、そこには人的なミスや不正が入り込む余地が減るので、内部統制整備の一助になります。とはいえ、2008年4月まであまり時間の無いなか、この法律対応だけのために、システムのリプレースが多数発生するとはあまり考えられないだろうな、というのが私見です。
次回に向けて
日本版SOXにかかわるビジネスがITソリューション販売中心のビジネスではなさそう、というのはご理解いただけたと思います。次回以降は皆さんフリーのITエンジニアにとって、どのような影響があるのか、を中心にお伝えします。
|
