帝人は4月、日本版SOX法(J-SOX)への対応を開始した。その際に、グループ約150社におけるリスク管理の仕組みを生かす。同社は2003年から、情報システムや安全、環境など13分野で、業務に影響を及ぼすリスクに関する監査や管理の体制作りに取り組んでいる。

 帝人が4月に立ち上げたのは、日本版SOX法対応のための全社横断組織である「内部統制推進班」。CFO(最高財務責任者)をトップに、業務監査室や経理、財務、購買、物流、そしてグループ全体のシステム部門に当たる「CIOスタッフ室」のメンバーなど12人で構成する。現在、グループ各社で監査用文書の作成を進めている。

 帝人が内部統制に取り組むのは、これが初めてではない。同社は2003年4月、持ち株会社化を契機に、全社的なリスク管理体制の整備を始めた。「この一環として、内部統制の仕組み作りを進めている。日本版SOX法に対応する際に、その成果を生かせる」と、CIOスタッフ室の江尻実室長は話す。

統制の対象と統制のポイント
統制の対象と統制のポイント

グループ全体の規定や監査体制を整備

 グループに属する各社が、事業に関係するリスクを発見するたびに対応策を個別に考えるのではなく、「リスクを事前に検知し、予防する方法を体系的・組織的に整える」(江尻室長)。これが、帝人のグループ全体におけるリスク管理の基本方針である。持ち株会社化によってグループ各社への権限委譲が進むため、このようなリスク管理をはじめとするグループ全体のガバナンス(企業統治)強化が不可欠だった。

 そこで同社は、「トータル・リスク・マネジメント(TRM)」という名称で、グループ全体のリスク管理体制の整備に取り組んでいる。まず03年4月に、リスク管理の総責任者として「CRO(最高リスク責任者)」を任命。CROを含む取締役5人からなる「TRMコミッティー」を設置した。TRMコミッティーは年に数回、帝人グループのリスク管理体制について議論している。

 規定類や監査の体制も整備した。規定の内容は、リスク管理に加えて、倫理、コンプライアンス(法令順守)など多岐にわたる。これらをグループ会社が守っているかどうかを調べるため、内部監査を担当する専任部署を設置。年に1回、全世界の帝人グループで監査する体制を作った。

 こうした作業と並行してリスク分析を実施し、TRMで管理対象とするリスクを明確化していった。まず全体を、景気などの外部環境が影響する「戦略リスク」と、業務執行上のリスク(オペレーショナル・リスク)である「業務リスク」に分けた。さらに業務リスクを、人材、環境、安全、ITなど13種類に分類した。

150社の情報セキュリティ監査を実施

 業務リスクへの対応策は、TRMコミッティーおよび各担当事業部門が立案する。ITリスクへの対応は、CIOスタッフ室の役目だ。

 CIOスタッフ室は、ITリスクをより詳細に分析していった。リスクを、(1)火災などによるシステム停止、(2)システム異常・不正、(3)情報漏洩・破壊、に分類。(1)なら「停電」や「空調故障」、(2)なら「開発延期」や「バグ」といった具合に、14個のリスクを洗い出した。

 CIOスタッフ室は、これらのリスクに関して、損害の大きさや発生頻度などを基にビジネスに与える影響度を明確化し、リスクごとの対応策を考えている。昨年はその一環として、「情報セキュリティ監査」体制を見直した。

 グループ会社150社の中には、システムの担当者がほとんどいない企業もある。その場合でも情報セキュリティの状況を自己点検できるよう、規定類を作成した。グループ全体の情報セキュリティに関する考え方を示す「企業行動基準」や「グループリスクマネジメント規定」、それらを実践するためのマニュアルなどを整備していった。

 次に監査法人のコンサルタントに依頼し、110項目に及ぶチェックリストを作成。各企業自身で情報セキュリティの状態を診断できるようにした。

 この診断結果が「問題あり」だった場合は、監査を受けることになる。情報セキュリティを特に重視する必要がある、IT事業グループの中核会社インフォコムなどに対しても、毎年監査を実施している。

 江尻室長は、「規定は、守ってもらわないと意味がない。PDCAサイクルの『チェック』と『アクション』を欠かさないことが大切」と話す。情報セキュリティに関しては、毎年「個人情報保護」など特定のテーマを掲げ、「グループとして強化すべきポイントを明確化するよう心掛けている」(同)。

 グループ全体のITリスク管理のために、2004年からシステム監査も受けている。同社の監査法人であるあずさ監査法人が、ITガバナンスのフレームワーク(評価基準の体系)「COBIT」を基に作成したチェックシートを使って実施している(図1)。

図1●帝人は全社的なリスク管理の一環として日本版SOX法に対応している
図1●帝人は全社的なリスク管理の一環として日本版SOX法に対応している
[画像のクリックで拡大表示]

財務視点でのリスク分析が発生

 帝人が進めているTRMの活動は、内部統制を進める際に必要な「統制環境」を整備したり、「リスクの評価と対応」の手順を確立することに役立っている。これらは内部統制の基本要素として挙げられるもので、日本版SOX法に対応する際にも重要になる。

 それでも、「これまでの取り組みだけでは不十分」(江尻室長)と、同社はみている。日本版SOX法の目的は、財務報告における虚偽記載をなくすこと。リスクを分析する際に、財務の視点がより強く求められる。加えて、「文書化の部分が弱かった」(同)。

 そこで帝人が今年4月に立ち上げた内部統制推進班はまず、全社レベルの統制用文書の作成を支援するテンプレートや、グループ全体のプロジェクトの指針(ガイドライン)の策定に着手した。同時に4月から6月にかけて、プロジェクトの対象範囲を決めた。「売上高・収益」の75%以上を占める勘定科目に結びつくことを、その条件とした。結果的に、日本版SOX法の適用対象となる業務プロセス数はグループ全体で100程度になると見込む。

 これらに関するコンサルティングは、財務諸表監査を担当するあずさ監査法人には依頼できないため、新日本監査法人が担当している。

 日本版SOX法対応プロジェクトで、CIOスタッフ室は、グループ全体のIT全般統制の整備を担う。CIOスタッフ室は今年4月から約半年かけて、IT全般統制の作業を効率化するためのテンプレートを作成。「外注管理」や「変更管理」など約20種類を用意した。このテンプレートをグループ会社のシステム部門などが利用する。

 IT業務処理統制に関しては、個々の企業ごとにユーザー部門がこれから進めていく。その際に国内企業に対しては、CIOスタッフ室や、国内グループ会社の情報システムの運用・保守を担当しているインフォコムが支援していく。海外グループ会社では、各国のシステム部門が担当する。

 全社的には、今年7月から9月にかけてパイロット会社を選び、1プロセスについて文書化を先行して実施した。11月から国内44社、海外36社で文書化プロジェクトを展開している。2008年3月までに、文書化を含めひと通りの監査を終える予定だ。江尻室長は、「現在内部で実施している情報セキュリティ監査の対象を、IT全般に広げていきたい」と話す。

次回へ