システム部門にとって日本版SOX法(J-SOX)への対応は、日常業務に加わった余分な作業であるのは間違いない。J-SOX対応を効率化するコツは「初年度だけで完ぺきを目指さない」ことだ。2年目以降の対応も視野に入れて取り組むべきである。
初年度に混乱が起こるのは仕方がない──。日本版SOX法(J-SOX)の適用があと半月に迫った今、こう考える専門家は多い。企業ごとに置かれた環境が異なるうえ、監査法人だけでなく監査人個人でも、判断基準が異なっているのが現状だからだ。
とはいえ、混乱が起こったとしても、内部統制の状況を開示する「内部統制報告書」を作成するというゴールは決まっている。残された期間を効率良く活用することが、J-SOX対応企業の課題なのは間違いない。
J-SOX対応を効率化するコツは大きく3つある。1つは「初年度だけで、すべてを終わらせようとしない」(アビームコンサルティングEBS事業部の永井孝一郎プリンシパル)ことだ(図1)。
 |
| 図1●J-SOX対応を効率的に進めるためのポイント |
2~3年計画で完了を目指す
J-SOXは、2008年4月から毎年続く制度である。これを念頭に「2~3年計画で進めるべき」と金融庁企業会計審議会内部統制部会の八田進二部会長は話す。複数の事業拠点を持っている企業であれば、対象の拠点を決める際に、2~3年で一巡するような計画を立てる、といった具合だ。
2つめのコツは、J-SOXの目的を見失わないことである。J-SOXはあくまで、財務報告の適正性の確保を目的にした制度。監査法人トーマツの久保惠一代表社員は「プロジェクトが進むにつれ、システム部門はIT統制の対象を見失いがちになる」と警告する。
J-SOX対応の対象となる業務を特定して初めて、それを支援するアプリケーションが明らかになる。結果、IT統制の対象となるシステムが確定する。余分な作業を減らすためにも、システム部門の担当者は全社プロジェクトの担当者と、対象範囲などについて密な連携をとることが欠かせない。
時間がかかる対応策に注意
3つめのコツは、対応策に優先順位を付けることだ。J-SOX自体、財務報告に与えるリスクが高い業務プロセスから統制を整備・運用する「リスク・アプローチ」の考え方を採用している。すべてのリスクに対する統制の整備・運用は求めていない。
システム部門にとっても同じだ。会計システムなど、財務報告そのものを扱うシステムに対するIT統制の整備・運用を優先する。また、変更管理やアクセス管理など、「財務報告に係る内部統制の評価および監査に関する実施基準」といった公式な基準やガイドラインで、すでに「重要」と指摘されている項目の対応も必要だ。
これら3つに加え、システム部門が注意しなければならないのが、システム関連の対応には時間がかかるケースが多いことである。初年度中に稼働予定のシステムだけでなく、今後、新規に構築するシステムについては、「JSOX対応を前提に、必要な統制機能を組み込んでおく」(日本公認会計士協会の中山清美常務理事)といった考慮が必要になる。
