SOX法対応はこうやって進めろ!!：事例紹介 日東ロジスティクス（2/3 ページ）

[大津心，＠IT]

SOX法対応で重要なのは、「職務分掌の明確化」と「データの正確性」

　米国SOX法対応においては、親会社から「米国SOX法404条対応のための要求リスト」が送られてきて、それに準拠する形で進められた。このリストの大部分はGRANDITの初期機能や設定で対応可能だったが、ログトレースの部分だけはなかったため、コンソーシアムに相談し、後日ログトレースの機能追加が行われることになった。

　米国SOX法404条対応において重要なのは、「責任や職務を明確にすること」と「データの正確性」だという。特に責任や職務を明確にすることは、重要かつ時間の掛かる作業で業務ワークフローの作成や文書化、運用整備も伴う大作業だった。また、システムが統一されていることも重要で、「会計や経費、資産などが個別システムで運用されているようなケースでは対応は難しかったのではないか」（福田氏）と説明する。

　このような米国SOX法404条対応を行った結果、システムのデータの正確性が向上したほか、職務分掌が明確になり、業務作業が標準化されるなど、数々のメリットが生まれた。

良いプロジェクト体制の構築がスムーズな進行の必須条件

　また、米国SOX法対応で重要なのが、プロジェクト体制の構築だ。日東ロジスティクスの場合、プロジェクト全体を総括する「総括者」を中心に、プロジェクトリーダーをIT推進部と経理部から1名ずつ出して2名体制とし、その下に業務部署ごとにテーマに応じたプロジェクトの検討を行う業務リーダーを据えた。

　福田氏は、プロジェクト体制構築のツボを「いかにプロジェクトリーダーがリーダーシップを発揮できる環境を作るか」と説明する。日東ロジスティクスのケースでは、各部門から業務リーダーを選抜することで、ボトムアップを図るほか、業務部門の意見を吸い上げることで全社的に対応した。

　ただし、「導入企業のトップ自身が『自分たちがやらなきゃならないんだ』という意識を持ち、全社に導入へのコミットメントを行い、トップダウンで体制を作ることが、早期導入や導入効果を上げるためにはとても重要だった。日東ロジスティクスのケースでは、トップダウンがうまくいったケースだ」（菊池氏）という。

　この点については、日東ロジスティクスがすでにISMSやISO 9001を取得しており、このようなプロジェクトの運用ノウハウを持っていた点も大きかった。「ISMS取得時にリスクの洗い出しができていた点が大きい。また、取得時の経験から、プロジェクトの進め方も習得していた」（高野氏）点や、「ERP導入といった業務改革を伴う場合に多い、社内の反対勢力もプロジェクトリーダーが抑えてくれた。トップダウンの効果もあり、プロジェクト開始後は社員全員が腹を決めたのか（笑）、予想以上にスムーズにプロジェクトが進行した」（福田氏）点が、プロジェクトをスムーズに進めるのに役立った。

SOX法対応の半分以上を占める“文書化”という作業

　日東ロジスティクスの意欲的なプロジェクト体制構築により、米国SOX法対応プロジェクトは比較的順調に進んだ。では、プロジェクトで最も手間の掛かったのはどの部分なのだろうか？

　福田氏は、一番時間がかかったのは「文書化」だと即答する。米国SOX法対応では、内部統制の対象となる業務プロセスを文書化する必要がある。文書化に対しては、経理部門だけではなく、全社部門の企業活動が統制の対象となるため、全社の業務フローを作成する必要がある。

　米国SOX法対応の業務フローでは、「Xという伝票はY部長が承認して、経理部へ回す」といった業務部分のフローに加えて、システムフローも必要だという。

　例えば、Aという伝票の業務フローとシステムフローを考えた場合、提出者の上長がまず承認して経理へ回す。そして経理部の担当者が確認のうえでシステムへ入力すると、本社システムにデータが保存される。データ入力と同時に、紙の伝票も本社へ郵送され、経理部長がシステムのデータと伝票を見比べて確認のうえ、承認するとシステムが自動的に仕訳して作業が完了する。

　といった業務フロー＆システムフローの図を作る必要がある。「この作業が非常に時間のかかるものだった」（福田氏）。具体的には、日東ロジスティクスが社内の各部署にヒアリングして、業務内容を整理。アイディーエスがその内容を週に1回?2回の割合でヒアリングして、社内に持ち帰りフロー図を描く→修正、といった作業を繰り返した。このような「社内ヒアリング→アイディーエスがフロー図を描く→修正」という作業を、日東ロジスティクス5名、アイディーエス5名の要員で20回（約2カ月）、延べでおよそ10人月を要した。

　この点について福田氏は、「米国SOX法対応において、ERPの役目は半分以下だ。ERP以外の文書化や従業員教育などに多くの工程が必要だからだ。日東ロジスティクスのケースにおいても、文書化や従業員教育に時間がかかった」と説明する。