「知り合い」「信じあい」「やる気」――手続き的統制を阻む業務の現実（2/2 ページ）

2008年4月、金融商品取引法に基づく内部統制報告制度の適用年度が始まる。ITmedia エグゼクティブが開催したラウンドテーブルから、内部統制の整備に試行錯誤しながらも立ち向かう企業の実態が見えてきた。

[堀哲也，ITmedia]

文書化のジレンマ

牧野総合法律事務所の牧野二郎弁護士

　ラウンドテーブルで講演した牧野総合法律事務所の牧野二郎弁護士は、「文書化しすぎで、埋没してしまっては意味がない」と訴えた。文書化の本来の目的は、業務やリスクを「見える化」することにある。それだけに、文書化、文書化で、厳密にやりすぎては業務改善という本質が失われてしまうからだ。

　とは言え、文書の整備を進める企業にはジレンマもある。「一般には、監査法人へ文書化3点セットを提示するのが最も分かりやすい対応」（長嶺氏）となるからだ。

　「IT全般統制では、できるだけ簡潔に分かりやすくすることを心掛けて文書を整備するようにはしている。文書内の各々の項目説明文は原則2行以内とし、書きすぎない。事細かに多く書いてしまうと、手続きや組織変更などがあったときに変更作業が大変になってしまう」と長嶺氏。

　内部統制がすぐに業務改善に結び付いているかといえば、まだ課題が発見できるようになった段階を超えたあたりにすぎないという。

　「例えば、部長などの管理者は、必ずしも自分の部下がどんな仕事をしているか、正確に全てを知っているわけではなかった。実際は、たまたま隣の部署の知り合いから頼まれたちっょとした仕事をしていたりということがあった。こういう部分を明確にして、必要なものであれば、業務プロセスの一部として取り込んでいくことが内部統制の整備と効率化につながっていくと考えている」

内部統制のメリットを得たOracle

　日本オラクルも日本版SOX法の対象企業だ。日本オラクルは東証1部に上場しながらもNasdaqに上場する米Oracleの子会社にあたる。先行する米国のSOX法に合わせた対応を既に終えており、これが日本版SOX法対応の基盤になる。それだけに日本版SOX法に対応するための推進チームは2名と少ない。

　Oracleはグローバルでビジネスを展開するため、米SOX法対応を契機に、グローバルの業務プロセスを見直し、標準化した。財務会計業務もシェアードサービスとなっており、インドで集中的に行われる。同時に、それを支えるITインフラも共通化するなど、戦略的な内部統制対応を行っているのが特徴だ。

　とはいえ、日本オラクルソリューションビジネス推進部担当ディレクターの桜本利幸氏は「悪く言えばアバウトなところもある」と話す。トップダウンで推進されるため、「例えば、業務プロセスが突如説明なく変更されてしまったりする」

　文書化についても意外とラフだという。リスクコントロールマトリクス（RCM）は作成しているが、業務フロー図については、全社員に公開されている業務マニュアルで分からないところだけの対応する程度だという。

　しかし、内部統制を契機に実施した業務プロセスの標準化やシステム化は、Oracleにグローバルで年間1200億円規模のコスト削減効果や決算の早期化、M＆A戦略による成長基盤をもたらしたという。

　桜本氏は「企業を取り巻く規制は複雑、多様化している。結果的に管理ができなくなってしまう。これからはリスクとコンプライアンスの一元化によるガバナンスが必要になってくる」と話す。[戻る]