SOX法を超えた企業価値への取り組み
ERMへの発展の可能性
例えば金融機関などは、SOX法と並ぶ内部統制関連のテーマであるBISII(バーゼルII資本協定)/オペレーショナルリスクへの対応において、 SOX法で記載するRCM(リスク・コントロール・マトリクス)と同様のマトリクスを作成している。ERMにおける会社全体のリスクを抽出する場合でも同 様である。
しかしながら、企業内における担当が異なるためか、それともそれぞれの規制を設定した機関やコンサルティング会社が異なるためか、それらのRCMはフォーマット・体裁は少しずつ異なり、結果として同様のものが企業内に複数存在することになっている(図2)。
規制ごとのRCMを比較検討すると確かに異なる点も存在するが、よく見てみると「統制」という項目をキーとして複数のRCMを1つのものに統合する ことが可能であることがわかってくる。煩雑にならないためにも「統制」、つまり業務フローの中の「1つの活動」をキーに、複数のリスクを紐付けて管理でき るようにすることが必要になってくる。
このように統制管理ツールを選定する場合でも、理想的には「統制」をキーとして他のリスク管理やコンプライアンスへの発展可能性があるかどうかが重要になってくる。
継続的業務改革への発展の可能性
また、SOX法対応の作業工程である「業務フローを記述」を利用して、EA(Enterprise Architecture)やSOA(Service of Architecture)が目指すような継続的な業務改革などへ繋げることが可能であると考えられる。
既にEAやSOAというコンセプトの普及とともに、システムや業務の体系を整理統合することは企業の中でもはじまりつつある。ゆえに「今更SOX法 を活用する必要はない」といわれるかもしれない。しかし、今までのEAやSOAに関する活動は依然としてシステム部門の中の活動であり、かつ一過性という 感が否めない。その不足点をSOX法対応が補うと考えられる。
1つは業務とシステムの一体化である。SOX法対応では、「リスク」および「統制」という切り口で監査法人に十分な説明を行うため、業務プロセスを 主体として、そのプロセスがどのようなシステムアプリケーションや基盤に関連しているのかといったことを一体として文書化することを求められる。このこと が、EAで十分にできているとは言い難かった「システム層と業務層の統合」を実現可能にすると考えている。
もう1点は毎年運用するという点である。SOX法対応で作成するRCMや業務フローは毎年メンテナンスしなければならない。今までのEAやBPRな どの活動は、一旦As-Isの業務フローとTo-Beの業務フローを記述すると、それ以降は適切に業務フローをメンテナンスされていなかったと感じられ る。しかしSOX法対応では、毎年メンテナンスするのはRCMだけでなく、その補足資料である業務フローも適切にメンテナンスされる必要がある。
このように「システム層と業務層の統合実現」、並びに毎年「継続的に活用・メンテナンス」される点が、EA活動に不十分であった点であり、この2つの活動が統合されることで本当の継続的な業務改善が行われることが可能となると考えられる。
SOX法対応の文書化においてEAなどとの統合を念頭に入れると、単に「書き留める」目的で業務フローを記述するのではなく、業務フロー上にリスク や統制などの属性情報だけでなく、業務負荷や投入経営資源などが記載できるような書き方ならびにツールの選定が必要になってくると考えられる。