「SOX法」に踊らされないために知っておくべき内部統制とERPの関係

2006年8月22日(火)

受身で捉えてはいけない日本版SOX法

このところ、「日本版SOX法」「J−SOX法」「日本版企業改革法」などの話題を当たり前のように耳にするようになりました。そのように名前が先 行している日本版SOX法ですが、その内容は証券取引法が改正された「金融商品取引法」に含まれます。上場企業が有価証券報告書を提出する際に、内部統制 報告書というものをあわせて提出することになります。この内部統制報告書は公認会計士または監査法人の監査証明を受けなければなりません。

日本版SOX法は2008年4月以降にはじまる事業年度、つまり2009年3月期の本決算から上場企業およびその連結子会社に適用されることになり ます。現在では内部統制の構築/評価/監査のガイドラインとなる実施基準を策定中であり、今年の秋頃に公開されると予想されています。

日本版SOX法に対応するために企業は「業務フロー」と「職務分担表」を作成し、その中からリスク・課題をRCM(リスクコントロールマトリクス) に洗い出す必要があります。そして、そこに記載された対処方法がきちんと行われているかどうかを内部監査を行ってレポートすることになります。今回はこれ ら一連の流れを理解するためにERPに関連するリスク・課題を取り上げて、完全WebシステムのWeb-ERPである「GRANDIT」による対処方法を 具体例として紹介します。

「SOX法」という言葉によるビジネスチャンス

流れに遅れてはいけないと、各所日本版SOX法関連のセミナーが催されています。「SOX法」という言葉をタイトルにつけることにより集客力がアップするようです。しかし、これだけ騒いでいるのにその実態がきちんと伝わっていません。

「SOX法」の内容がきちんと伝わっていないのは、その内容がまだ正式に発表されていないことに起因しますが、実はそれだけではありません。この言 葉を使っている人の多くが、それぞれの立場で自社商品・サービスの宣伝に「SOX法」を利用しているからです。つまり、2000年問題や個人情報保護法に 続くビジネスチャンスが到来したとして、その本質と離れたところで話題が白熱しているのです。

コンサルタント/SIer/ERPベンダ/ハードウェアベンダなどの様々な人たちは、半ば強引に自分たちのビジネスに結び付けて、説明しています。その結果、様々な「日本版SOX法対応」の製品やサービスが百花繚乱となっています。

現在のところ、ガイドラインがでてから具体的なアクションを取ると意思表示している企業が多いようです。それまでは情報収集に努めるというスタンス なのでしょうが、なかなかガイダンスがでないのでSIerとしてはしびれが切れそうです。確かにガイドラインの内容を確認してからでも間に合うのかもしれ ません。しかし、ガイドラインを読まなくとも「正しいことは何か」と考えればおのずとやるべきことはわかるはずです。

「法律が施行されるから仕方なく対応しよう」「ガイドラインがでてから検討しよう」「米国の実施ノウハウのコンサルティングを受けないとならない」 といった受身の姿勢では、作業量の割には効果が薄くなってしまいます。ならば、日本版SOX法への対応を自社の規律を整備する絶好のチャンスと前向きに考 え、今からできることから着手してはいかがでしょうか。後々しなければならないのであれば、早く社内を整備した方がよいですし、前向きに取り組む方が得る ものが大きいといえます。

今からできることから日本版SOX法に対応すべき

いたずらに情報集めに終始し、結局は空回りするのはもうやめましょう。様々なセミナーに参加をするものの、何らかの具体的作業に取りかかれていない 企業が多いと感じています。また、米国SOX対応で企業はこんなにも莫大な費用がかかったというベンダ視点の説明を受け、そのまま自社に使えないソリュー ションやテンプレートを高価で購入すべきかためらっている企業も少なくありません。

セミナーでは日本版SOX法がベンダ視点で製品やサービスに関連付けられて説明されるため、ユーザ企業にはどの対策がベストかわかりにくくなってい ます。対象をユーザの視点から考えれば、やるべきことがシンプルに見えてきます。まず、自社はどこまできちんとしていて、どこが課題となっているかを洗い 出してください。

「すべてにマッチした」ものがはらむ問題点

ガイドラインの内容をあれこれ憶測して、無理にその仮定にあわせようと考えるのは時間の無駄です。

例えガイダンスがでたとしても、そこには常識的で一般論的なことしか書かれていない可能性もあり、実践的に利用できるものであるかは疑問です。ま た、米国企業の実施例をそのまま日本国内で使おうとしても難しいと思います。単純に日米という国の差だけでなく、企業によっても取り組み方の基本ポリシー は違います。例え多くの企業を想定したガイダンスであったとしても、そのまま有効に適用できにくいと思います。

もっとユーザはベンダ任せにせずに、自分たちでどう日本版SOX法に対応すべきかを考えるべきだと思います。これは何も難しいことではなく、経営者 や管理部門がコンプライアンス/企業ガバナンス/内部統制という観点で自社を見つめ直せばよいのです。そうすれば、おのずと課題は浮かび上がるでしょう。 そしてその課題を一覧化して、それらへの対処法を洗い出し、対応に向けたスケジュールに載せればよいのです。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています