連載
» 2006年05月18日 12時00分 公開

内部統制対策にITはどんな役割を果たせるのか?IT担当者のための内部統制ガイド(2)(1/2 ページ)

2008年4月(2009年3月期)の適用に向けて、各企業が内部統制強化を支援するサービスやツールを相次いでリリースしている。また、米国SOX法の対応事例などの情報も豊富に入手できる。しかし、現時点の「日本版SOX法」は審議中であるため、米国COSOモデルやCOBIT、米国SOX法での事例がそのまま役立つとは限らない。双方の違いをきちんと把握しておく必要がある。

[鍋野 敬一郎,@IT]

 日本版SOX法というビジネスチャンスをにらんで、ベンダ各社が内部統制強化を支援するさまざまなサービスやツールを相次いで発表していることは、よくご存じだと思います。内部統制対策というキーワードで検索すれば、米国SOX法の対応事例や有効なITツールなどの情報を豊富に入手できます。ベンダ各社のマーケティング担当者の話を聞くと、「“内部統制”や“日本版SOX法”というタイトルのセミナーやプロモーションの集客力に期待している」といいます。

 しかし現時点での「日本版SOX法」は審議中ですから、米国COSOモデルCOBIT、米国SOX法での事例がそのまま役立つとは限りません。そのことを考慮したうえで、情報収集と整理を行うべきなのです。「似ているけれども、異なるものである」ということを認識しておく必要があると思います(図1)。

図1:米国SOX法と日本版SOX法の主な相違点(クリックで拡大)

 現在、金融庁が組織する内部統制部会の部会長である青山学院大学大学院の八田進二教授が書かれた「これだけは知っておきたい 内部統制の考え方と実務」という書籍が3月に出版されたので、ぜひとも一読されてはいかがでしょうか。日本版SOX法について分かりやすく説明されています。

内部統制対策プロジェクトの体制と活動内容

 通常の場合、内部統制対応のための実行組織は経理や監査といった部門から責任者を登用して、ここにユーザー部門やIT部門のメンバーを加えて専任体制を構築するケースが多いようです。体制作りのポイントですが、経営トップである社長または財務担当役員(CFO)が責任者となり、その直轄組織として監査室や内部統制プロジェクトチームを設置します。チームのメンバーは経理と内部監査部門を中心として、これを支援する形でエンドユーザーやIT部門の中堅クラスの社員が専任で参加します。

 現在作業が進められている「財務報告に係る内部統制の評価及び監査の基準案」では、内部統制に関係する人の役割と責任について説明されています。日本版SOX法の特徴として、経営者が内部統制の責任者でありその評価を行うことを明確に示し、これを適正に運用するための関係者の役割と責任についても言及しています。そして財務監査を行う監査法人がこれを基にして、内部統制監査報告書を作成します。米国では、内部統制の業務プロセスを別途監査法人が直接監査する「ダイレクトレポーティング」という手段が取られていますが、日本ではいくつかの理由により採用されませんでした(図2)。

図2:内部統制に関係を有する者の役割と責任(基準案)

 体制構築のポイントは、本社の経営者がリスクを十分に踏まえたうえで連結対象となる子会社までの統制を確実に、漏れなく、すきなく行うための組織作りにあります。実際に大手企業子会社による架空取引や粉飾によって、親会社の連結決算を見直すという事件もすでに報告されており、内部統制の基本である職務分掌や財務記録の改ざんなど子会社の統制レベルが低い場合のリスクを認識する必要があります。

 特に従業員が少ない子会社や孫会社の場合は、管理スタッフの兼務も多く、不正の発見が遅れたり、内部統制に対する理解不足による不備などが生じたりする管理リスクは高いといえます。こうしたリスクを踏まえたうえで、この機会に管理部門人員の増強や、財務業務のシェアードサービス化に踏み切るといった検討が必要となります(図3)。

図3:プロジェクト体制の構築イメージ(例)

 内部統制対策プロジェクトの作業スケジュールですが、グループ全体の認識レベルをまずそろえるといった観点で、最初にグループ各社の主要メンバーをパイロットプロジェクトに参加させて内部統制対応のひな型作りから始めるという手段が効率的だといわれています。

 パイロットプロジェクトは、本社や中核子会社をモデルケースとして扱い、全社の統制方針に沿って業務フローの見える化(可視化)や見直し、文書化、システム見直し、テスト、評価、改善、再テスト・評価といった一連のサイクルを通して内部統制対応をモデル化・テンプレート化していくものです。そしてこれをひな型として、全社グループに展開し、速やかな対応を実現していきます。2008年4月期以降の決算に適用されるといわれていますので、2009年3月までの対応を想定すると多少の余裕を見てその半年前までに完了している必要があります(図4)。

図4:内部統制強化プロジェクトスケジュール(基準案)

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ