日本版SOX法に対応するための内部統制強化について

ベリングポイント株式会社
マネージング ディレクター
新井 聡
Arai Satoshi

早稲田大学理工学部卒。
米国系大手コンサルティング会社を経て、ベリングポイント株式会社マネージング ディレクター、 サプライチェーンソリューション統括兼、内部/IT統制改革本部事務局長。 コンサルタントとしての18年間の経験から戦略から大規模開発まで幅広くコンサルティングサービスに従事している。 海外でのコンサルティングの経験も多く、企業のグローバルでの競争力を追求している。また、米国SOX法対応企業の経験を基に日本版SOX法に対応する企業の効果的・効率的な内部統制再構築のために日々活動している。



日本版SOX法が企業に求めているもの

　さて、まずは日本版SOX法の内容を整理しておきたい。今後の法制化の過程で修正される可能性もあるが、2005年12月時点では以下のような特徴を持つ見通しとなっている。

１、監査人による内部統制監査を受けなければならない。そのため、監査人が確認できるように、内部統制の取り組みが文書化されていなければならない。
２、「財務情報の信頼性」を目的とした内部統制プロセスが監査対象である。すなわち、財務情報に関わらない部分は対象外であるとともに、購買、販売プロセスなど、企業の重要プロセスがすべて監査の対象となる。
３、また、上記を支える業務システムやそのためのITマネジメントプロセスも監査の対象となる（IT統制）。
４、重要連結子会社を含む、企業全体が対象である。

元々どの企業も何らかの内部統制機能は有しており、また財務情報以外にもコンプライアンスや企業の社会的責任（CSR）等、さまざまな観点からの内部統制強化が法的・社会的圧力として存在する。たとえば新会社法では内部統制の整備が経営者の責任として明確に位置付けられている。

しかし日本版SOX法ではさらに踏み込み、監査人による監査を義務付け、企業に追跡可能な形での内部統制の整備を要求している。企業が内部統制強化の取り組みとして特に監査対応に焦点を当てているのもそのために他ならない。企業はこれまでの内部統制機能を明文化し統制活動を正確に記録するとともに、統制機能が手薄な部分の強化が必要である。


内部統制強化のプロセス

　具体的な作業について簡単に説明したい。図1は基本的な内部統制強化のプロセスを6段階のフェーズに分けたものである。まず企業は現在の内部統制レベルを理解（現状分析）した上で、重要な連結対象会社、重要な拠点、およびその重要な業務プロセスおよびITマネジメントプロセスを選定する（方針決定）。ここで言う「重要」とは、財務情報に大きく影響を与えるという意味であるが、それは日本版SOX法の監査対象があくまで財務情報に関わる統制だからである。この「重要な業務プロセス」には、販売、購買など主要なプロセスは全て含まれることになる。


（図1）基本的な内部統制監査プロセス


　次は重要プロセスにおけるリスクを洗い出し、そのリスクを回避する統制機能を埋め込んだプロセス設計となっているかを確認するフェーズである（文書化）。ここでは実際に監査対象となるプロセスや領域をプロセス記述書や業務フローおよびリスク・コントロール・マトリックスといった文書で残し、当該文書の正確性を確認し（ウォークスルー）、また設計の妥当性を検証する。
対象プロセスや領域を文書化するだけでなく、運用が設計どおりになされているかを確認することも不可欠である（運用テスト）。

最後に、運用テストで記録された運用実態やテスト方法、結果などから判明した課題は、改善後に文書化、運用テストというプロセスを通って再度確認される（課題の改善）。 日本版SOX法の対応では、法制化までの数年のうちにこれら一連の活動を連結対象会社や海外拠点を含めて実施し、完了させることが求められる。これは非常に困難な作業となるはずである。