ラウンドテーブルで講演した牧野総合法律事務所の牧野二郎弁護士は、「文書化しすぎで、埋没してしまっては意味がない」と訴えた。文書化の本来の目的は、業務やリスクを「見える化」することにある。それだけに、文書化、文書化で、厳密にやりすぎては業務改善という本質が失われてしまうからだ。
とは言え、文書の整備を進める企業にはジレンマもある。「一般には、監査法人へ文書化3点セットを提示するのが最も分かりやすい対応」(長嶺氏)となるからだ。
「IT全般統制では、できるだけ簡潔に分かりやすくすることを心掛けて文書を整備するようにはしている。文書内の各々の項目説明文は原則2行以内とし、書きすぎない。事細かに多く書いてしまうと、手続きや組織変更などがあったときに変更作業が大変になってしまう」と長嶺氏。
内部統制がすぐに業務改善に結び付いているかといえば、まだ課題が発見できるようになった段階を超えたあたりにすぎないという。
「例えば、部長などの管理者は、必ずしも自分の部下がどんな仕事をしているか、正確に全てを知っているわけではなかった。実際は、たまたま隣の部署の知り合いから頼まれたちっょとした仕事をしていたりということがあった。こういう部分を明確にして、必要なものであれば、業務プロセスの一部として取り込んでいくことが内部統制の整備と効率化につながっていくと考えている」
日本オラクルも日本版SOX法の対象企業だ。日本オラクルは東証1部に上場しながらもNasdaqに上場する米Oracleの子会社にあたる。先行する米国のSOX法に合わせた対応を既に終えており、これが日本版SOX法対応の基盤になる。それだけに日本版SOX法に対応するための推進チームは2名と少ない。
Oracleはグローバルでビジネスを展開するため、米SOX法対応を契機に、グローバルの業務プロセスを見直し、標準化した。財務会計業務もシェアードサービスとなっており、インドで集中的に行われる。同時に、それを支えるITインフラも共通化するなど、戦略的な内部統制対応を行っているのが特徴だ。
とはいえ、日本オラクルソリューションビジネス推進部担当ディレクターの桜本利幸氏は「悪く言えばアバウトなところもある」と話す。トップダウンで推進されるため、「例えば、業務プロセスが突如説明なく変更されてしまったりする」
文書化についても意外とラフだという。リスクコントロールマトリクス(RCM)は作成しているが、業務フロー図については、全社員に公開されている業務マニュアルで分からないところだけの対応する程度だという。
しかし、内部統制を契機に実施した業務プロセスの標準化やシステム化は、Oracleにグローバルで年間1200億円規模のコスト削減効果や決算の早期化、M&A戦略による成長基盤をもたらしたという。
桜本氏は「企業を取り巻く規制は複雑、多様化している。結果的に管理ができなくなってしまう。これからはリスクとコンプライアンスの一元化によるガバナンスが必要になってくる」と話す。[戻る]
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授