「日本版SOX法を含めた法律への対応はまずはマスタープランを作成すべき」--野村総研・此本臣吾氏

田中好伸(編集部) 2006年05月24日 22時28分

  • このエントリーをはてなブックマークに追加

 「日本版SOX法のほかにも、企業が順守すべき法律は新会社法や個人情報保護法、不正競争防止法などがあり、これらの法律に対してバラバラに対応するのではなく、共通として対応すべき点、個別に対応すべき点を明確にしたマスタープランを作るべき」――。マイクロソフトは5月24日に「Microsoft Management Summit 2006 Japan」を開催。その中で野村総合研究所コンサルティング事業本部副本部長の此本臣吾氏は、「企業における内部統制基盤整備の進むべき方向」と題する講演を行った。

 此本氏は、日本版SOX法の手本となった米国のSOX法に対する米国企業の対応を分析し、米企業でも課題が指摘されていると説明。その課題とは(1)ボトムアップ型による膨大なコストの発生、(2)財務監査と内部統制監査との統合が不十分、(3)経営者のIT活用に対する理解が不十分、(4)経営者と監査人とのコミュニケーション欠如――という4つになる。

此本臣吾氏 「米SOX法は対象企業を見直している」と語る此本臣吾氏

 (1)のボトムアップ型による膨大なコストの発生とは、企業内のありとあらゆる業務を監査対象にしたことでコストが想定以上に大きくなってしまったという問題である。その要因となったのは、監査人に対する監督を強化したことで、本来専門家であるはずの監査人がリスクを恐れて、「何でもかんでも、重要ではないはずのプロセスを含めて内部統制の対象としまった」(此本氏)ことだ。また、監査の結果を株主に直接報告する「ダイレクトレポーティング」という制度のために、企業内の関連組織との連携不足から、やはり重要なプロセスの絞り込みができず、コストがかかってしまったというものだ。

 此本氏は、先に挙げた(1)〜(4)に見られるような米国企業の対応を分析して、日本企業は「トップダウン型のリスクアプローチと監査方法の工夫が必要」だと主張する。また米国の場合、SOX法対応のコスト負担は特に中堅企業に対して厳しいものとなっていると此本氏は説明している。

 米SOX法では、米国企業を株式時価総額7500万ドル以上の第1グループと7500万ドル未満の第2グループに分けて、対応開始時期を別々にしている。第1グループは大企業であり、大企業は2004年11月15日以降に迎える決算期からSOX法に対応することを義務づけた。そして第2グループに属するのが中堅企業であり、本来このグループは2005年4月以降に迎える決算期から、SOX法への対応が義務づけられるはずだった。

 実際には、中堅企業、いわゆる第2グループはSOX法対応義務開始時期は2回の延期をせざるをえなかったという。現時点では「中堅企業は2006年7月15日以降に迎える決算期からSOX法への対応が義務づけられている」(此本氏)。

 だがそれでも中堅企業に対する負担は大きなものであるために、「米国では中堅企業への適用免除を検討も考えられている」(此本氏)。現実に、米証券取引委員会(SEC)の「中堅公開企業に対する諮問委員会」の4月23日の最終報告には「売上高7億8700ドル以下の企業を対象に、中堅企業の適した制度が構築されるまで、一定のガバナンス条件をクリアしていれば、内部統制監査制度の適用を免除する」という勧告が盛り込まれているという。

 野村総合研究所では、上場企業に対して日本版SOX法対応に関するアンケート調査を実施。その回答によると、上場企業の「62%が何らかの対応を開始している」(此本氏)という。そのうちの62%が監査法人・コンサルへの相談をしている。また35%が責任者を任命、32%がプロジェクトチームを発足させている。

 同じアンケート調査では、対応が困難な事項も調べており、60%以上が「統制の文書化が困難」としている。その理由としては、「業務マニュアルが更新されていない、証跡が残っていない、複数部署にまたがると文書化不能、文書化の途中で変更が起こる」ことを挙げている。

 さらに講演の中で此本氏は、「IT統制についても難問が山積している」と指摘する。というのは、(1)業務処理統制ばかりが先行し、IT統制の検討は後手に回りがち、(2)レガシーシステムにIT統制の設計思想がない、(3)ユーザー部門が独自開発の非標準化システムの存在、(4)子会社ごと、海外拠点ごとに違うシステムの存在、(5)アプリケーションのテスト負荷が大きい――といった状況があるからだ。

 こういったことを踏まえて、此本氏は内部統制を進めるうえでのポイントとして(1)従業員にとっては単なる作業負担であり、「内部統制」の意義と重要性をいかに一人一人に認識させ、実行させること、(2)単なる法対応の投資から、いかに企業にとって身のある投資にするか、(3)グループ全体の統制面で、どこまで標準化し、どこまで独自性を認めるか、(4)新会社法、日本版SOX法、個人情報保護法、不正競争防止法などをバラバラに行わず、共通として行うべき点、個別に対応する点を明確にしたマスタープランを作るべき――を挙げている。

  • このエントリーをはてなブックマークに追加
関連キーワード
運用管理

関連ホワイトペーパー

SpecialPR

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化