3点セットの作成は容易ではないが、実はそれ以上に工数も費用もかかるのが、事前に評価・監査を受け、指摘事項を修正するプロセスである「予備評価・予備監査」だ。
もちろん、予備評価・監査は必須ではない。しかし米SOX法に対応した各社は例外なく実施している。「予備監査を通じて監査人と意見を合わせていかなければ、ぶっつけ本番は無理」(NISグループの高瀬尚彦リスクマネジメント本部副本部長兼内部統制部長)と声をそろえる。
J-SOXの基準や実施基準で「監査人との協議」が強調されていることもあり、「監査法人の予備監査を受けた方がよい」(新日本監査法人の中山清美代表社員)との声は多い。
では、予備監査にはどの程度の工数と費用がかかるのか。リコーでは、システム部門に限らず全社で実施した内部監査を受ける被監査部門の工数は1260人日。内部監査人側も540人日をかけた。リコー本体単独の社員数は約1万1000人。社員の6.5人に1人が評価・監査にかかわった計算だ。システム部員が8人のワーナーミュージック・ジャパンでも、米国企業の日本法人として米SOX法に対応した際の予備監査に60~90人日かかった。
RCMの工夫で漏れをなくす
修正のプロセスを見越して内部統制を整備していくのに参考となるのが、キヤノンのRCM「自己評価シート」である。内部統制の整備状況や運用状況の評価を書き込める欄を用意している。当初決めた統制について、「実際に実現している証跡は何か」「証跡の記載者は誰か」などを記していく(図4)。この欄は、「対応が不足している項目をすぐに見つけられるようにするために作った」(金土課長)。
 |
| 図4●キヤノンは修正のプロセスを考慮したRCM(リスク・コントロール・マトリックス)を作成 [画像のクリックで拡大表示] |
自己評価シートが特に力を発揮するのは、システム部門に十分な人数がいない関連会社の場合だ。RCMに記載されている標準としての統制と、自社が実際に整備している統制を1つの用紙に書き込むことで、「監査人との食い違いが起きにくくなる」(情報システム推進部の工藤秀美部長)。
実施基準に「IT全般統制において、指摘事項を放置している場合は『重要な欠陥』になる可能性がある」と記されているように、監査人から受けた指摘の修正は必須だ。プロジェクトのスタート時点で、予備評価・監査や修正時間を盛り込むことが欠かせない。
