本連載では、日本版SOX法に対応する責任者に任命された担当者の立場で、プロジェクトをどのように進めていけばいいのかを解説していきます。この進め方は、我々が実際のプロジェクト経験の中で試行錯誤した結果、現在もっとも手戻りを防止できる方法論だと考えています。実際の適用に当たっては、会社が置かれた状況によって割愛したり、より詳細化したりしています。
IBM ビジネスコンサルティング サービス
フィナンシャル マネジメント/アプリケーション イノベーション
まず,日本版SOX法対応プロジェクトの全体像について説明します。基本的なパターンは、全体を五つのステージに分類します。それぞれのステージで実施するタスクの関係を表したものが図1です。以後、ステージごとにタスクを説明していくことにします。また、様々なタスクで内部統制特有の論争が発生しがちです。我々が遭遇した問題点と、そこでの考え方を載せておりますので、参考にしてください。
 |
図1●プロジェクトの全体像 [画像のクリックで拡大表示] |
なお、プロジェクトは時限的なものですが、内部統制プロセスそのものは継続していくものです。そういう意味からプロジェクトの終了時点は、図1の導入ステージ終了時となります。内部統制の定着化は組織的な活動となり、プロジェクトの対象ではなくなります。また、システム開発のようなモノの完成が目的のプロジェクトとは異なり、新しいプロセスを実行していくことが必要です。そのため、プロジェクトメンバーはその活動のコアとして推進組織の立ち上げに重要な役割を期待されます。したがって、責任者以外に現場で実際に指揮監督できる専任の人が最低一人は必要となります。メンバー全員が兼任というのは難しいといえます。
次に,日本版SOX法対応プロジェクトの事前準備について説明します。
【1】内部統制の理解
内部統制プロジェクトのメンバーが任命されたら、最初にやることは内部統制の理解です。プロジェクトメンバー間で内部統制に関する学習を実施し、監査法人などが主催する勉強会や事例紹介などによって内部統制に関する理解を深めます。
日本版SOX法プロジェクトに必要な体制とスキルとは?
実際の事例では、規模の大小に関係なく最初は、専任者数人が核となって、兼任の人たちと活動しながら、プロジェクト期間を通じて徐々に人数を拡大しています。このコアのメンバーの一人に求められるスキルとして、経理の知識を有していることが挙げられます。
理由は二つあって、一つは、財務報告上のリスクを検討するからであり、もう一つは内部統制推進体制が、組織としてはCFO(最高財務責任者)の配下に置かれることが多いからです。また、各部や監査人とのやり取りも頻繁に発生するために、社内調整や交渉などがある程度できる人が必要です。あまり若い人が任命されることは少ないようです。また、プロジェクト実行中の様々な局面で、監査を担当している監査人からの助言・指導は不可欠です。
ただし、監査人としてもプロジェクトの体制にメンバーの一員として支援することは、自ら支援して作成したものを自分で監査するということになってしまいますから、体制の中に組み入れることは無理な相談になると思います。監査人には、随所で、会社の意見として作成した文書やリスク状況の説明を行って、問題点の指摘や今までの監査上の問題点とその改善方法などを確認して、不備がないかどうかを点検するようにします。これらの作業もかなりの時間を必要としますので、事前に監査人に相談しておかなければなりません。
【2】プロジェクト目的・ゴール設定
プロジェクトというものすべてに共通していえることですが、その目的や目標を関係者が熟知していることが必要です。特に内部統制は、会社の活動のすべてが対象となるし、その定義が一般社員には抽象的であいまいです。プロジェクトは、利害関係者が多くなるほど、また目的が不明確であるほど難しくなります。プロジェクト目的は、日本版SOX法に対応することであり、その終了時に達成すべき目標は、以下の通りです。
(1)自社にとっての内部統制とは、どういうプロセスなのか、会社の全構成員が理解する。
(2)自社の現状の業務、関連するリスク、そのコントロール状況を文書として記録し、不備を改善し、経営層と外部監査人が評価できるような状態にする。
(3)内部統制推進組織が形成され、当該組織が活動を開始できるようになっている
会社法で要請される内部統制と日本版SOX法との関係は?
プロジェクト目的の設定時には、次のような議論が出ることがあります。「会社法でも内部統制を整備しなければいけないが、日本版SOX法とどういう関係になるのか? 日本版SOX法プロジェクトで対処してくれるのか?」
会社の実務担当者の中では、会社法の内部統制に関して、「COSOと同等である」あるいは「若干COSOよりも広い範囲なのではないか」という二つの見解があります。広いと考える人は、会社法の図2で示す部分がCOSOフレームワークよりも拡大していると見ているようです。
 |
図2●会社法の内部統制と日本版SOX法の関係 [画像のクリックで拡大表示] |
また、日本版SOX法では、COSOの「信頼性のある財務報告」を目的とした内部統制システムが整備されていることを内外に立証できるようにすることが求められています。
我々は、財務報告以外の内部統制システムも、基本的には同じ作業で整備していくと考えています。つまり、対象範囲が拡大するだけでやるべきことは、ほぼ同等であり、細かいコントロール要点(アサーションといわれているもの)の分析が不要になって、かつ外部監査人監査を予定していないだけだと考えます(ただし、外部監査のための証拠と、評価を実施しその手続きの監査を受けるという日本版SOX法は、内部統制全般を整備するプロジェクトとはかなり異質なものを含んでいます)。
したがって、「内部統制全般を対象としつつ、日本版SOX法へも対応せよ」という場合には、範囲が拡大するので作業量が相当増加します。さらに、日本版SOX法で特に求められている文書作成を期限に間に合わせるという制約条件があることを、経営者が明確に認識したうえで大きな指導力の発揮と覚悟が必要となります。
日本版SOX法対応とは、監査人から合格点をもらうことか?
日本版SOX法は、監査人による内部統制の整備状況に関する意見を求めています。このことから、会社の内部には「日本版SOX法プロジェクトでは、監査人から自社の内部統制が整備されていることのお墨付きをもらえるようにするのが目的である」という人が出てきます。重要なポイントは、「日本版SOX法は内部統制監査で合格点を取らないと法対応したことにならないということではない」という点です。あくまでも内部統制の状況を立証可能な状態にして、外部監査人の監査を受け、経営者自ら評価することを求めています。ただし、プロジェクトとしては、監査結果が不合格であったとしても、会社の状況をすべて可視化して、リスクとコントロール状況がはっきり分かり、改善策が明示できていれば、「目標達成である」とはなかなかいえることではないかもしれません。
しかし、「絶対外部監査で合格せよ」と厳命されて、TO-BE(理想)をAS-IS(現実)代わりに記録して「虚偽記載」になってしまわないように注意しましょう。米国事情でも記載しましたが、適用初年度は有名な企業でも「内部統制には不備がある」という意見が出ています。むしろ、日本の企業はすべて、「内部統制に関する意見が適正ということはおかしいのではないか?」と外国人投資家は考えるかもしれません。
今までの日本人の気質として、「不合格であるが、ここが課題であることが分かり、現在かくかくしかじかの対応をしている」という正直な報告をすることが、もっとも難しいことなのかもしれません。
(次回へ)
|
