プロティビティ ジャパン
プリンシパル
後藤 英夫
日本の上場企業の多くがJ-SOX(日本版SOX法)対応2年目に突入した。対応初年度にプロジェクト体制を採っていた企業のほとんどが2年目以降,定常部門による継続的な内部統制の推進体制へと移行している。
だが,すべての企業がスムーズに移行を終え,低コストで実効性のある内部統制を継続して実現できているだろうか。それができた企業はごく少数で,大多数は必ずしもできてないのではないか。筆者はこう感じている。
J-SOX2年目以降に向けた内部統制の体制を適切に整備していないと,コストを削減できず,効果も上がりにくい。それどころか,外部監査人からの指摘にモグラ叩き的な対応しかできず,対応スケジュールの遅延や工数増を招く可能性が高くなる。
しかも,J-SOXへの対応が必要になるのは初年度や2年目に限らない。この制度が続く限り,それ以降も毎年対応しなければならないのだ。この取り組みを単なる法対応にとどめず,より広い範囲や目的に対応した内部統制の整備につなげる必要もある。
この連載では,限られた予算や時間,要員の中で,内部統制のコストを削減すると同時に効果を維持・向上するためのヒントを提供していく。前編に当たる今回は,内部統制を継続して推進する上で忘れがちな「資源(リソース)」をどのように確保するかを解説する。後編に当たる次回は,J-SOX2年目以降に必要なリスク・マネジメントの体制作りを取り上げる。
今なら,まだ手遅れにならずに済む。この連載の内容を,内部統制の体制を見直す際に役立てていただければ幸いである。
「目的」「プロセス」「資源(リソース)」に分けてとらえる
J-SOX2年目以降に向けて,内部統制の体制の移行や整備をうまくできた企業とできていない企業の差は,どこにあるのか。内部統制にかかわる一連の活動を「目的」「プロセス」「資源(リソース)」に分けてとらえると,その違いが浮かび上がる(図)。
目的は,内部統制にかかわる活動目的そのもの。プロセスは,目的を実現するために実施する作業を指す。たとえば,3点セットと呼ばれる文書(業務フロー図,業務記述書,RCM=リスク・コントロール・マトリックス)に基づく評価作業をいう。もう一つの資源は,プロセスを実行するための人的資源やデータ資源を指す。3点セットによる評価作業なら,評価担当者や3点セットが資源となる。
内部統制の継続的な体制を適切に整備できている企業とできていない企業を比べると,目的とプロセスについては程度の差はあるが,本質的な違いはない。差が顕著に表れるのは資源の部分だ。そもそも内部統制を整備する際に,目的やプロセスを優先させ,資源については分かっていながらも後回しになりがちになる。
J-SOX2年目以降に体制が移行する際に,うまく移行できないのも主に資源の部分である。資源が不足している中,無理にプロセスを回そうとしてもうまく進まないのは当然だろう。ちなみに,この目的,プロセス,資源という三つの側面でとらえる考え方は,ITガバナンスのフレームワークである「COBIT」から援用したものだ(COBITについては,日本ITガバナンス協会のWebサイトを参照)。
