SOX法に対して、どのように取り組み開始すべきか

全社レベル統制の統一と早期適用

   業務プロセス統制よりも、本来的には全社レベル統制が重要であるといわれている。このことは、大きな不正が現場の一従業員の不正ではなく、経営トッ プが関与した不正であることからも自明に近い。実は新会社法で求める内部統制も、SOX法で求められている全社レベル統制も、ほぼ一体のものとして取り組 むことができると考えている。

   新会社法に関して決定された内部統制の基本方針についても、毎年事業報告書で報告することが求められている。その報告のために、監査役は内部統制の 基本方針にそって事業運営がなされているか確認する必要があるのだが、その確認すべき項目がSOX法の全社レベル統制で求める項目と非常に近いものである ことがわかってきた。

   SOX法が財務諸表に関連する内部統制であるため、新会社法でいう内部統制よりも若干スコープが狭いが、いくつかの視点・項目を全社レベル統制の項目に加味することで統一の確認項目とすることが可能である。

   また単に確認項目を統一するだけでなく、その早期適用が率先垂範という点で重要になってくる。業務プロセス統制の文書化および現場での本番適用には、これから2年近い時間が必要となる。

   一方で全社レベル統制については、はやければ2、3ヶ月で確認項目を統一し、文書化を完了することが可能となる。それらの確認項目について、経営 トップが自己評価を行い、内部監査において運用状況の確認を行い、有価証券報告書などを通じて社外（とくに資本市場）に開示していくことで、経営者の姿勢 をアピールすることが可能となる。

   またこのことは、社員に対しても、文書化作業を押し付けるだけでなく、経営者が進んで取り組んでいることを示すことにもなる。

各業務体系の再整理

   継続的業務改革につなげていくことを考えると、「そのベースとなる『業務フロー』『業務体系』の作りっ放し」が、昨今非常に気になる。

   SOX法対応において、リスク・コントロール・マトリックスとあわせて、ほとんどの企業で業務フローを作成している。それだけでなく、ISO取得の ため、業務マニュアル作成のため、（金融機関の場合）オペレーショナルリスク対応のためなど、様々な理由で業務フローが現場に負荷をかけて作成され、作 りっ放しになっている。

   現場の作業負荷重複だけならまだしも、様々な種類の業務フローが乱立することで、そのメンテナンスが面倒になり、また不整合が生じる可能性が高い。

   将来的なことを考えると、SOX法対応のことだけを考えて安易に業務フローを文書化するのではなく、少々時間をかけてでも社内に存在する他の業務フローとの整合性などを考慮し、業務体系から整理することが重要であると考える。

   このことは、内部統制に関連するシステムソリューションやIT部門の役割にも大きな影響を与えるテーマである。この点と、内部監査人不足に対する解決アイデアについて、次回、最終回において説明したい。