Special
» 2007年11月22日 10時00分 公開

信頼できる相談相手はいるか?:本番間近の日本版SOX法――いま経営者に必要なものとは?

内部統制報告制度がいよいよ2008年4月からスタートする。3月期決算の多くの企業にとっては、本番まで半年を切り、対応は待ったなしの段階に入ってきた。しかし、内部統制整備の遅れにいら立つ企業も多い。経営者は最終的に有効性評価を行うことになるのだが、「自社の内部統制は有効だ」と言い切れる自信はあるだろうか。

[PR/ITmedia]
PR

 金融商品取引法(日本版SOX法)に基づく内部統制報告制度が2008年4月からスタートする。3月期決算の多くの企業にとっては、本番まで半年を切ったわけだ。

 とはいえ、日本企業は文化的にも内部統制を意識してこなかっただけに、内部統制の整備にはどの企業も手間取っているというのが現状のようだ。IT調査会社ITRとアイティメディアがITmedia エグゼクティブ コミュニティーに登録する上場企業の役職者に行った調査よると、懸念事項として「対策レベルの目安・判断が不明確である」と回答をする企業が43%を占め、「現在の統制状況に対する評価、判断が難しい」と答える企業も31.7%と上位に入っている(そのほかの調査結果をダウンロードする)。多くの企業がいまだ手探りの中、内部統制プロジェクトを進めていることが分かる。

image 内部統制の整備・強化における懸念事項(上位3 つを選択)

 だが、明確な基準を持たないままプロジェクトを進めても、内部統制は有効に機能しないばかりか、無駄ばかりが発生する。通常業務と並行しながら対応を進めなければならない企業にとっては重荷になるばかりだ。ここにきて対応の遅れが目立ち始めたといえる。

 一方、不祥事による監査法人の解体もあり、もともと人手の足りない監査法人サイドも内部統制対応に手一杯の状態。いまだに体制や方針すらも定まっていないような企業は、監査法人から十分なコンサルティングを受けられない“監査難民”となってしまう可能性も指摘されている。

とるべき対策レベルと現状を知る

 「大規模なコンプライアンス部門を持つ企業ならなんとかるかもしれないが、そのような余裕のない企業はどうだろうか? この段階で、何も手を付けられていない企業は統制の仕組みを導入するにしても、間に合わないタイミングにきている」と指摘するのは、内部統制評価サービスを提供する日本ベリサインコンサルティング部課長の田村拓也氏だ。

photo 日本ベリサインコンサルティング部課長の田村拓也氏

 日本ベリサインは2007年7月、牧野総合法律事務所とタッグを組んで、「内部統制評価サービス」の提供を開始した。内部統制について判断を下せる材料のない経営者に対し、指針を提供するのが目的だ。

 日本版SOX法における内部統制の目的が「財務報告書の信頼性」のみとはいえ、そのフレームワークに「ITへの対応」という項目が加えられている以上、有効な統制を行っていくには、法的義務とITセキュリティの両面でバランスのとれた対策が求められる。とはいえ、経営者にとってITは分かりにくいばかりか、法律で求められている範囲との整合性も分かりにくいものだろう。

 「企業に内部統制を求める日本版SOX法や会社法への対応はITだけの問題ではなく、法律をどのように解釈して対応するかにある。そのためには、法律の専門家が必要だ。しかし、法律家もITのエキスパートではないため、ベリサインがITの立場から専門家として知見を加えることで、客観的な指針を示すことができる」と、田村氏は説明する。

 内部統制は企業が備えているべき機能ではあるが、日本版SOX法などの法制度が明確となったいまでは、法律とIT双方の視点から現状を客観的に評価でき、具体的な対応を示してもらえるアドバイザーを身近に置いておくのが近道なのかもしない。

 既に監査法人からのアドバイスを受けている企業も多いかもしれないが、公認会計士は財務のプロではあっても法律やITのプロではない。そのため、彼らは問題を指摘しても具体的な対応策を示してくることは少ない。不備を指摘されたものの「いったいどうしたらよいものか」と、右往左往するというのはよくあるケースだ。

法律とITのそれぞれのエキスパートがリスクを評価する「内部統制評価サービス」

 日本ベリサインと牧野総合法律事務所の提供する「内部統制評価サービス」では、このような悩みに対し、法律の見地からとITセキュリティの両面から専門スタッフが現状のリスクを評価し、重点課題を洗い出してくれる。

image サービスの概要

 もちろん、内部統制はどの企業にも適用できるような画一的な回答はない。そこで、牧野総合法律事務所の弁護士が、過去の企業不祥事に関する裁判の判例を基にその企業や業界特有のリスクを検討し、対策が必要なリスクを判定する。

 同時に、ITセキュリティの側面からベリサインのコンサルティング部隊が技術的な観点からリスク評価を行い、問題があればそこに対する具体的な対策を提示する。日本ベリサインは、ISO27001に基づいたセキュリティマネジメントシステムの構築から、Webシステムの脆弱性診断などのテクニカルなレベルまで、多くのコンサルティング実績を持っている。牧野総合弁護士事務所の診断と合わせることで、内部統制として最低限求められる善管注意義務を、システムに必要な技術レベルに落とし込むことができるようになるわけだ。

 田村氏は「このサービスは、特定のITツールを導入しようという市場にありがちな内部統制サービスではなく、あくまでも法的なリスクやITのリスクを診断し、客観的な評価を提示するのが目的。監査対象の絞り込みや事前監査の摸擬テストのようなものだ」と言う。

新興企業の対応は大丈夫か?!

 一般的に、ITと法務の間に生じる言葉の壁に悩まされる企業は多く、このサービスはどのような企業に対しても有効なサービスと言えるだろう。しかし、特にこのサービスが適しているのは、日本版SOX法の対応を求められている新興市場の企業だという。

 日本版SOX法のモデルとなった米SOX法では、大企業から適用を開始し、段階的にその対象を下へ広げていくスタイルを採用したが、日本版SOX法は企業の規模にかかわらず、上場企業に一斉に適応される。しかも、監査法人からの十分なコンサルティングを受けられない“監査難民”となるのは、このような十分な体制をとれない新興企業や中小規模企業だと言われている。

 新興企業は株主から将来性を期待されているため、リスクよりも売上や利益を追求しがちで、内部統制の整備がどうしても遅れる傾向にあるのは否めない。実際に、新興企業での日本版SOX法対応は遅れる傾向にあるようだ。

 「最近になって内部統制の整備を本格的にスタートするこのような企業は、コストもリソースも掛けられる大企業とはやれることが異なる。まずは、現状を把握して、重要度の高い項目とそうでないところを明確にしなければならない。いまから技術的な対策が間に合わなくても、運用や人的な統制を設けるなど、何かしらの打ち手はある。ベリサインはコンサルティング経験の中で、そのような知見を多く蓄えてきた」(田村氏)。

評価だけで終わらない対策を

 リスク診断や内部統制の評価だけで終わるのではなく、弱点の補強が必要な場合にもコンサルタントがサポートすることが可能だ。もちろん、その際もニュートラルな立場として行うため、「最終的にベリサインの製品やサービスを購入してほしい」というスタンスをとることはない、と田村氏は言い切る。

 例えば、ベリサインのコンサルティングサービスを利用しているある製造業では、オフコンをフロアの全員が共有できる状況で利用しており、統制上、問題があったという。しかし、システムを刷新するのは、コスト的にも時間的にも現実的ではなかったため、人による統制を入れる工夫で乗り切るアドバイスを行った。同社はそのアドバイスを採用し、それで乗り切ることを決めたケースもあるという。

 「このような対策でも現実的に有効な統制として機能するのであれば、何も高価なITツールで統制を確保する必要はありません。しかもいまは時間が限られています。運用でカバーできる場合は、そういった判断が効率的な場合が多い」と、田村氏は話す。

 市場には、とかく内部統制を切り口に自社製品の売り込みにはしる各種コンサルティングが氾濫している。しかし、内部統制の整備はあくまでも目的ではなく、自社の事業戦略に基づいた手段であるべきだ。いま求められているのは、ニュートラルな立場で、コストを掛けず、業務効率を下げずに内部統制を整備・運用していくエキスパートたちのサポートといえるだろう。内部統制は1回何か対策を施せば、それで終わりというわけではないのだから。

ホワイトペーパーダウンロード

内部統制強化への取り組み状況に関する調査レポート(2007年 秋)

2009年3月決算期から日本版SOX法が施行される。各企業における日本版SOX法対応状況を調査した結果を解説する。

 多くの企業では内部統制の整備や強化が進められているが、対応のレベルや現状の評価について、頭を悩ませている企業も少なくはない。

 有効な対策を進めていくには法規制の対応という点を考慮し、法律の専門家により提供される外部サービスの利用も必要に応じて検討することが望ましい。

 本ホワイトペーパーでは、ITmediaエグゼクティブの参加者でITに関する意思決定者に対して行った調査結果を紹介する。


 TechTargetジャパン ホワイトペーパー ダウンロードセンターにて入手できます。


Copyright © ITmedia, Inc. All Rights Reserved.