2002年7月に米国議会を通過したSarbanes‐Oxley法(SOX法)の主な目的は、企業の開示情報に精度と信頼性を増すことで投資家を守ることである。そして、SOX法施行とともに、企業経営者は企業の財務情報に完全なる責任を負うことになった。SOX法404条では、年次財務報告書(アニュアル・レポート)の一部に内部統制報告を入れることを義務付けており、企業はSOX法に準拠していることを確かなものにするため、周到な準備を行う必要性が生じた。
SOX法には企業が遵守すべき多くの項目を設けているが、内部統制の導入とその証明を企業に強いる404条はSOX法準拠作業の中で最も負荷がかかる部分である。
SOX法が施行された当初、企業は「何をすべきか」についてある程度理解していたものの、「どのように行うべきか」に関しては不明瞭な点が多くあった。SOX法には企業が従うべきプロセスや具体的な活動などについての記述はなく、単に「内部統制を導入する」ということだけが述べられていたためである。
この連載の趣旨は、SOX法に準拠したITプロセスと企業の活動を説明するものであるが、これを理解するには、まず対応プロセス全体を把握する必要がある。多くの企業が多大なる労力をつぎ込んでいるSOX法404条の対応プロセスとはどのようなものかを、現場の実態を含め報告する。
会計事務所系のコンサルティングファームをはじめとして、さまざまなコンサルティング会社が、それぞれのメソドロジーと独自の用語を使い顧客のSOX法対応活動を支援しているが、通常、対応活動に使われているプロセスは、以下のように共通のものとなる。
- 対応準備
- スコープ定義
- 文書化
- テスト
- 評価
- 報告
それぞれのフェーズにかかる時間は、SOX法対応前の各企業の状況により大きく異なる。既に内部統制を充分に整備している企業は、その見直しとSOX法で特に要求される部分の文書化程度で済む。しかし、それまで内部統制に力を入れていなかった企業にとっては多大な作業となる。財務管理者の団体であるFEI(Financial Executives International)による2004年3月の調査では、企業は平均2万6000時間、430万ドルをSOX法対応に費やしていることを報告している。
それでは各フェーズで実際にどのような作業が要求されるのか、簡単に説明してみよう。
フェーズ1:対応準備
第1フェーズでは、SOX法対応プロジェクトの組織体制とガバナンスが設けられる。SOX法対応プロジェクトには最高経営責任者(CEO)の支援が必ず必要である。CEOの支援がない場合、プロジェクトは単に会計部門、監査部門のプロジェクトと見なされ、事業部門の参画が充分得られない。
CEOをはじめとしたトップ経営層の支援や管理がない状況でSOX法対応を始めた企業は、早い段階でプロジェクトの挫折を味わっている。例えば、年商20億ドルに及ぶ携帯電話のグローバル・ディストリビューターは、そのプロジェクトマネージャーがトップ経営層の支援を得ずにプロジェクトを進めた結果、プロジェクトに問題が続発。
結果、このプロジェクトマネージャーは解任された。トップの支援がないと、プロジェクトの優先順位が低くなり、充分なリソースを獲得できない。SOX法対応を支援するコンサルティング会社は、異口同音に「CEOや最高財務責任者(CFO)の支援」の必要性を説いている。
SOX法対応のアカウンタビリティを明確に示すうえでも、経営トップはSOX法対応に充分なリソース(すなわちヒト、カネ、時間)を投入し、確固とした対応へのコミットメントを表明する必要がある。
先にあげた携帯電話ディストリビューターは、当初の失敗から経営トップのコミットメントの重要性を認識し、グローバルに散在する財務担当役員やその他経営陣を対象として、本社経営トップがSOX法対応へのコミットメントを繰り返し要請した。
プロジェクト対応組織の規模と構成は、企業規模により大きく異なる。中規模企業では1〜2人の専任スタッフでプロジェクトが実行されている。しかし、大規模グローバル企業では世界中のチームを調整しながら作業を進める、SOX法対応に特化した部門が組織化される。
プロジェクト・チームの役割
プロジェクト・チームは以下のような事柄に責任を持つ。
- 企業の各部門のアカウンタビリティを設定・管理
- 期限順守
- 文書化、テスト、報告などの社内基準を設定
- 問題点の修正方法を策定
- 全コンプライアンス関連事項に関して社内のコミュニケーションチャネルとなる。
フェーズ2:スコープ定義
本フェーズではSOX法対応の対象範囲(スコープ)を決定する。スコープは、主要会計項目、すなわち財務報告書にある勘定科目から、財務報告書にインパクトを及ぼす項目を洗い出すことから始まる。それが決まると、次には各勘定科目に関連する業務プロセス、並びにサブプロセスをマップしていく。次に、業務サブプロセスのリスク評価を行うと同時に、テスト対象となる拠点(オフィス)を設定していく。
日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。
関連情報
-
SAPジャパンとプロティビティ ジャパン、日本版SOX法対応に向けて協業
SAPジャパンとプロティビティ ジャパンは、日本版SOX法対応に向けて協業すると発表した。 - 日立情報システムズ、日本版SOX法を想定した内部統制支援サービス
- MS、内部統制構築に対応した文書作成の支援サイトを公開
- 日立、日本版SOX法への対応支援サービス「内部統制再構築ソリューション」
- マイクロソフトのエンタープライズ戦略、「内部統制はビジネス革新に結びつく」
- アビーム、内部統制構築キット「ABeam ICMS Solution Pack」を開発
- 日本版SOX法を想定した内部統制強化サービス、日本オラクルとベリングポイントが提供
- 野村総合研究所
「ガバナンス・運用管理」 の新着情報
-
グーグル、電子メール保管サービス「Google Message Discovery」を拡大
グーグルは、電子メッセージの保管を求める連邦政府の規則に悩まされる組織向けに、電子メールをユーザーあたり年間45ドルで... - インテル、第3世代のビジネスPC向けプラットフォームvProを国内でも発表
- 日立、SOA基盤ソフト「Cosminexus」最新版を販売--独自のメモリ管理でフルGC抑止
- 「レイヤとコンポーネント」への切り分けが情報基盤構築のトレンドに――企業のコラボレーション基盤を考える(6)
- 今後の注目はSaaSと仮想化--CA IAM r12発表で目指すセキュリティ管理戦略
- ガバナンス・運用管理 一覧へ »
「ITマネジメント」 のバックナンバー
-
国土交通省、全日空にシステム障害の再発防止を求める
全日本空輸(ANA)の国内線旅客搭乗関連システムが9月14日に障害を起こし、多くの便が欠航、遅延したことに関し、国土交通省は16日、再発防止を求めた。 -
グーグル、ビジネス用途を中心に「Google Calendar」を改良
-
KDDIウェブコミュニケーションズ、企業の成長に合わせて無駄なく拡張可能なVPSホスティング
-
MS、仮想化に関する製品ライセンスポリシー改定--柔軟な稼働環境とサポート拡大を実現
-
夏休みこそ英語学習! 一気に読みたいオススメ記事
- ITマネジメント 一覧へ »
ZDNet Japan Essential Topic
-
【一流企業が用意する活躍の舞台】
各社のキーマンが考えるキャリア*公開中! -
コラボレーション基盤特集
Notes置換とバージョンアップの情報はこちら
企画特集
-
これからの時代のセキュリティ対策
くるぞ!in the cloudソリューション -
Techno Exchange
RackableとCTCの地球にやさしい関係 -
ZDNet Japan Green IT
サミットだけでは終わらせない!エンタープライズの取り組みはこれからだ! -
グリーンITの第一歩は見える化です
経営・財務・情報システムの3つの視点から環境対応を考える -
ERPパッケージの導入を成功させるコツ
成功させるコツをクイズ形式のWebcastで配信中 -
エンタメCGM「gooメーカー☆メーカー」
【第2回】メーカー/占いのコンテンツを作ってみた! -
なぜ社内文書は無秩序に分散するのか?
真の文書管理を考える3か条に迫る!
ZDNet Japan イベント
- 開催日:2008年10月23日(木)
- イベント一覧へ»
