日本版SOX法・徹底解析

プロティビティ ジャパン

プリンシパル

後藤 英夫

http://itpro.nikkeibp.co.jp/article/COLUMN/20091202/341374/?ST=management

　日本の上場企業の多くがJ-SOX（日本版SOX法）対応2年目に突入した。対応初年度にプロジェクト体制を採っていた企業のほとんどが2年目以降，定常部門による継続的な内部統制の推進体制へと移行している。

　だが，すべての企業がスムーズに移行を終え，低コストで実効性のある内部統制を継続して実現できているだろうか。それができた企業はごく少数で，大多数は必ずしもできてないのではないか。筆者はこう感じている。

　J-SOX2年目以降に向けた内部統制の体制を適切に整備していないと，コストを削減できず，効果も上がりにくい。それどころか，外部監査人からの指摘にモグラ叩き的な対応しかできず，対応スケジュールの遅延や工数増を招く可能性が高くなる。

　しかも，J-SOXへの対応が必要になるのは初年度や2年目に限らない。この制度が続く限り，それ以降も毎年対応しなければならないのだ。この取り組みを単なる法対応にとどめず，より広い範囲や目的に対応した内部統制の整備につなげる必要もある。

　この連載では，限られた予算や時間，要員の中で，内部統制のコストを削減すると同時に効果を維持・向上するためのヒントを提供していく。前編に当たる今回は，内部統制を継続して推進する上で忘れがちな「資源（リソース）」をどのように確保するかを解説する。後編に当たる次回は，J-SOX2年目以降に必要なリスク・マネジメントの体制作りを取り上げる。

　今なら，まだ手遅れにならずに済む。この連載の内容を，内部統制の体制を見直す際に役立てていただければ幸いである。

「目的」「プロセス」「資源（リソース）」に分けてとらえる

　J-SOX2年目以降に向けて，内部統制の体制の移行や整備をうまくできた企業とできていない企業の差は，どこにあるのか。内部統制にかかわる一連の活動を「目的」「プロセス」「資源（リソース）」に分けてとらえると，その違いが浮かび上がる（図）。

図●内部統制にかかわる活動を構成する三つの基本要素

　目的は，内部統制にかかわる活動目的そのもの。プロセスは，目的を実現するために実施する作業を指す。たとえば，3点セットと呼ばれる文書（業務フロー図，業務記述書，RCM＝リスク・コントロール・マトリックス）に基づく評価作業をいう。もう一つの資源は，プロセスを実行するための人的資源やデータ資源を指す。3点セットによる評価作業なら，評価担当者や3点セットが資源となる。

　内部統制の継続的な体制を適切に整備できている企業とできていない企業を比べると，目的とプロセスについては程度の差はあるが，本質的な違いはない。差が顕著に表れるのは資源の部分だ。そもそも内部統制を整備する際に，目的やプロセスを優先させ，資源については分かっていながらも後回しになりがちになる。

　J-SOX2年目以降に体制が移行する際に，うまく移行できないのも主に資源の部分である。資源が不足している中，無理にプロセスを回そうとしてもうまく進まないのは当然だろう。ちなみに，この目的，プロセス，資源という三つの側面でとらえる考え方は，ITガバナンスのフレームワークである「COBIT」から援用したものだ（COBITについては，日本ITガバナンス協会のWebサイトを参照）。

スムーズに移行した企業に共通する七つの資源

　では，内部統制の継続的な体制を整備できている企業とできていない企業を比べると，資源に関してどのような違いがあるのか。筆者が所属するプロティビティジャパンにおけるコンサルティング経験から，七つの資源を挙げることができる。

【人的資源】

プロジェクト・オーナーのオーナーシップ

リーダーたちのコミットメント

テスターのスキル

プロセス・オーナーの参画

【データ資源】

一元管理された文書/テスト結果

経営会議レベルで承認された対応スケジュール

グループ内で標準化された経理規定

　内部統制の継続的な体制を整備できていない企業は，これらのいずれか，場合によってはすべてが欠けている。

　いま，ある企業で内部統制にかかわる活動のプロジェクト・オーナーは副社長だったとする。ところがこれはあくまで形式的なものであり，副社長は内部統制の活動に興味を持っていない。こうした企業では，人的資源の「プロジェクト・オーナーのオーナーシップ」が欠けていることになる。

　J-SOX対応初年度は，経理部長やシステム部長がプロジェクトに参画していた。ところが2年目に入ると，こうしたマネジャーはプロジェクトから手を引いてしまい，事実上内部監査部門の仕事となっている。これは人的資源の「リーダーたちのコミットメント」が欠けている例だ。

　内部統制評価で欠かせないテスターも，重要な人的資源である。ところがテスターのトレーニングにかける予算が取れず，教育をOJTで進めるしかない状態では，人的資源の「テスターのスキル」が欠けてしまう結果を招く。

　現場の業務プロセスの責任を担う「プロセス・オーナーの参画」も，不足しがちな人的資源である。現場は通常業務で忙しく，内部統制対応にかかわる余裕はない，だから，内部統制は内部監査室で対応しないといけない。しかし，そうなると外部監査人対応や，帳票サンプルの取得・提示をすべて内部監査室が担当することになり，現場に負荷がかからない半面，内部監査室の負荷が大幅に高まることにつながる。

　データ資源としてはまず，「一元管理された文書/テスト結果」が挙げられる。これが欠けていると，「現場にテストに行って，文書が去年のものですでに古くなっていることが初めて発覚する」といった事態が多発し，文書の修正とテストの手戻りが多発するなどの状況を招く。

　対応スケジュールは一応あるものの，経営層の承認を経ていない。その結果，文書の修正，監査人からの突然の要請が多発する一方で，現場からの帳票がなかなか出てこないといった事態が発生。テストは手戻りが多くなり，スケジュールはどんどん遅れ，結果として機能しなくなる。データ資源の「経営会議レベルで承認された対応スケジュール」が欠けると，こんな事態に陥る。

　もう一つ，内部統制の継続的な体制を整備できていない企業によく見られるのが，データ資源の「グループ内で標準化された経理規定」が欠けていることだ。その場合，例えばプロセス上流での予防的コントロールや経理部門にとっての「最後の砦」となる発見的コントロールがきちんと存在する子会社と，存在していない子会社がグループ内に存在する，といった事態が発生する。すると，後者の企業の改善支援に工数が取られ，他のテストの工数を圧迫することになる。

不足している資源の確保に向け有効な二つの施策

　いま説明した七つの資源が欠けていて，何とかしなければならない。実は多くの場合，担当者はこのことを頭では理解している。「分かってはいるけど，資源を確保できない」と思い悩むケースがほとんどではないだろうか。

　ここではどの会社でも意欲さえあれば実行でき，次年度以降に向けて七つの資源を増やしていくために有効な二つの施策を紹介したい。

施策1：外部監査人の力を借りる

　一つめの施策は，外部監査人の力を借りることである。一般に，内部の要員だけでは対応が困難な場合は，外部のパワーを利用して状況の打開を図る戦略が有効だ。例えば，外部監査人に対して以下のような質問と依頼をすればよい。

当社の内部統制対応の体制は，まだ理想形とは言えません。例えば当社では，内部統制の不備改善と文書化とテストのすべてを事実上，内部監査部門が実施している。これでよいのでしょうか。職務分掌の考え方にのっとり，整備とテストの責任範囲を分けるべきなのではないでしょうか。こうした懸念事項を，外部監査人からの指摘事項として，当社の経営者に伝えていただけませんか？

　外部監査人は，こうした申し出に対して快諾してくれるはずだ。会社のより良い内部統制の構築につながるのであれば，外部監査人の存在目的にも合致するからである。現状打破のチャンスがそこから生まれるのは間違いない。

　資源の拡充という観点では，この施策は「プロジェクト・オーナーのオーナーシップ」と，その直接的な結果としての「リーダーたちのコミットメント」という二つの資源の拡充につながる。関係部署のリーダーが突然，社長から特命を受けた担当役員から招集をかけられることになるだろう。

施策2：儀式・イベントを設定する

　二つめの施策は，儀式あるいはイベントを設定することだ。単なる会議ではない点に注意してほしい。

　儀式・イベントの目的は，必要な人に対して必要な「ボール」，すなわち管理・対応の責任権限を正式に移すことにある。内部統制の維持に最小限必要な儀式・イベントは以下の三つである（表）。

表●内部統制の維持に役立つ儀式・イベント

名称 実施するタイミング 関係する資源

内部統制対応マスター・スケジュールの立案 前年度予算申請時 プロジェクト・オーナーのオーナーシップ（人的資源），リーダーたちのコミットメント（同），経営会議レベルで承認された対応スケジュール（データ資源）

クロージング・ミーティング 現場での整備評価・運用評価終了時ごと プロセス・オーナーの参画（人的資源），一元管理された文書・テスト結果（データ資源）

プロジェクト・オーナーに対する改善計画を伴った評価・監査報告書の期中提出 整備評価・運用評価全体の終了時，期中実施 リーダーたちのコミットメント（人的資源），プロセス・オーナーの参画（同），一元管理された文書・テスト結果（データ資源）

　例えば現場でテストする際に，最後にプロセス・オーナーを交えたクロージング・ミーティングという儀式を実施する。儀式の目的は，プロセスの実態と文書を一致させ，コントロールの実在性をプロセス・オーナーに保証してもらうことにある。テスト報告書にプロセス・オーナーからサインと日付をもらうことも必須だ。

　テスト対応に追われてしまい，この儀式を軽視あるは実施してない企業は少なくない。プロセスにもよるが，プロセス・オーナーには15分程度の時間を割いてもらえれば対応できる。

　クロージング・ミーティングを計画する際は，内部監査室長ないし内部統制対応責任者（プロジェクト・オーナー）からプロセス・オーナーあてに，協力依頼の文書を事前に発行してもらうことも大切だ。これも儀式の一環である。

　テストの結果，不備が発見される場合もある。そのときにはクロージング・ミーティングで，プロセス・オーナーに不備の存在確認と改善対応の納期に対してコミットしてもらう儀式も実施することになる。

　こうした儀式・イベントは，プロセス・オーナーだけでなく，内部統制整備・運用に関係する他部門，内部統制対応責任者，外部監査人，監査役などすべてのステークホルダー（利害関係者）にかかわる形で企画・実行できる。企画する際は，ぜひ前で触れた七つの資源を拡充できるかという観点で内容を検討してほしい。

　こうした有効に機能する儀式・イベントの数を増やしていけば，苦しい対応状況がウソのように改善されていくはずだ。

　ただし，表に挙げた三つの儀式・イベントだけでは，テスターのスキル（人的資源）とグループ内で標準化された経理規定（データ資源）の二つが拡充できない。これらに対しては，上記三つの儀式・イベントを軌道に乗せた後に，翌年の内部統制マスター・スケジュール立案の儀式・イベントの中でカバーすることが推奨される。

　　　　　◇　　　　　　　　　　　　◇　　　　　　　　　　　　◇

　以上のシナリオで内部統制にかかわる資源を段階的に整備していくことで，毎年のコスト削減と効果の維持の継続につながる。どうしても資源のない状況で，J-SOX2年目の対応プロセスを実行せざるをえない場合は，二つの施策を実行することで，次年度以降に七つの資源を増やす下地を作ってほしい。

　次回は，J-SOX対応の活動に影響する可能性の高い外部要因（外部リスク）の変化と，それらへの最適な対応策について説明する。

後藤 英夫（ごとう ひでお）

プロティビティ ジャパン　プリンシパル

外資系大手コンサルティング会社で大規模システム開発に従事。大手リース会社の全社基幹システム再構築プロジェクトのPMOで変更管理・データ管理を経験したことを機に，さまざまなプロジェクトのPMないしPMO支援コンサルティングを15年以上にわたり専門としている。近年は，大手精密機器メーカーの全社ERP導入のPMO，大手菓子メーカーの電子商取引立ち上げPM，大手ベアリングメーカーのグローバル内部統制PMO支援を経た後，2008年よりプロティビティ・ジャパンで大手自動車メーカーのグローバル内部統制PMO支援コンサルティングなどを担当。修士（理学・経営学・政策法学）。

<<前ページ 1 2 3

　[2009/12/09]