|
冒頭で触れたように、日本版SOX法対応プロジェクトが成功するかどうかは、最初の2カ月にかかっている。では、システム部門は一体何をすべきだろうか。
日本版SOX法や米SOX法(2002年サーベインズ・オクスリー法)への対応に携わるユーザー企業の担当者やコンサルタント、公認会計士の意見を総合すると、ポイントは三つに集約できる。(1)実施基準を読んで、日本版SOX法の全ぼうを把握する、(2)対象となるシステム範囲を決める、(3)監査人からの信頼を得る、である。
【1】実施基準を読む : IT以外の記述にも目を通すべき
まずシステム部門が取り組むべきなのは、「実施基準」を読んで日本版SOX法の全貌を理解することだ。特に、システム部門の日本版SOX法対応プロジェクトの担当者や、システム部門の対策に責任を持つシステム部長は必須となる。
1週間を勉強に充てるのがベスト
実施基準は、日本版SOX法対応を進めるための実務上のガイドラインとなる文書。同法の考え方に加え、対応プロジェクトの手順や、経営者や監査人が内部統制の有効性を評価する際の方法を例を挙げながら説明している。金融庁のWebページから無償で入手できる。
日本版SOX法について解説した書籍やWebサイトは数多いが、同法の全ぼうを理解するには、金融庁が作成した実施基準を避けて通れない。「内部統制のあり方は企業ごとに異なる。だが、実施基準を踏まえて対策を考える必要があるという点は、どの企業も共通している」と、金融庁企業会計審議会内部統制部会の専門委員を務める堀江正之 日本大学商学部教授は話す。
とはいえ実施基準は100ページ近くもあり、システム部員にとって分かりにくい記述も少なくない。それでもベリングポイントの山本浩二ディレクターは、「IT関連の記述だけでなく、最初から最後までひと通り目を通すべき」と主張する。そうしないと、日本版SOX法の全ぼうが見えてこないからだ。
ただし、KPMGビジネスアシュアランス(BA)の小見門恵執行役員マネージングディレクターは、「実施基準を解説した本を読むのでも構わない」という。そのときのコツは、「自社に置き換えたらどうなるかを頭の中で想像しながら、読み進めること」(同)。できれば「1週間くらい集中して勉強すべきだ」と、小見門マネージングディレクターは話す。
効率性も追求すると対策が過剰に
実施基準を通じて、日本版SOX法の全ぼうを把握する必要があるのは、「目的を正しく理解しないと、対策が過剰になってしまうからだ」(みすず監査法人システムアンドプロセスアシュアランスの嶋守浩之パートナー)。
よくある例は、「日本版SOX法対応の際に、『財務報告の信頼性』だけでなく『業務の効率性』なども目的とすること」(嶋守パートナー)。業務の効率性は、確かに内部統制の主要な目的の一つである。だが、日本版SOX法対応で最も優先すべきなのは「財務報告の信頼性」の確保だと、実施基準に明記されている(図1)。これを踏まえずに欲張ると、「短期間で対応を終えるのが困難になる」(同)。
図1●日本版SOX法が求める内部統制整備の目的は、「財務報告の信頼性」を確保することだ |
業務の効率性を落としてでも財務報告の信頼性確保を優先させた企業の1社が、ワーナーミュージック・ジャパンだ。同社は米SOX法に対応する際に、ワークフロー・ソフトで電子的に管理していた文書を、あえて紙に打ち出して保管する形に変えた。同社の監査法人が、承認の証拠として担当者の手書きのサインを求めたからだ。「期間がわずか1年だったので、SOX法対応を優先させざるを得なかった」(藤野勲システム管理課長兼開発課長)。今から日本版SOX法対応を始める企業も、ワーナーと同様に「優先すべきことから手掛ける」姿勢が大切になるのは間違いない。