「日本版SOX法を含めた法律への対応はまずはマスタープランを作成すべき」--野村総研・此本臣吾氏

田中好伸(編集部)

2006-05-24 22:28

 「日本版SOX法のほかにも、企業が順守すべき法律は新会社法や個人情報保護法、不正競争防止法などがあり、これらの法律に対してバラバラに対応するのではなく、共通として対応すべき点、個別に対応すべき点を明確にしたマスタープランを作るべき」――。マイクロソフトは5月24日に「Microsoft Management Summit 2006 Japan」を開催。その中で野村総合研究所コンサルティング事業本部副本部長の此本臣吾氏は、「企業における内部統制基盤整備の進むべき方向」と題する講演を行った。

 此本氏は、日本版SOX法の手本となった米国のSOX法に対する米国企業の対応を分析し、米企業でも課題が指摘されていると説明。その課題とは(1)ボトムアップ型による膨大なコストの発生、(2)財務監査と内部統制監査との統合が不十分、(3)経営者のIT活用に対する理解が不十分、(4)経営者と監査人とのコミュニケーション欠如――という4つになる。

此本臣吾氏 「米SOX法は対象企業を見直している」と語る此本臣吾氏

 (1)のボトムアップ型による膨大なコストの発生とは、企業内のありとあらゆる業務を監査対象にしたことでコストが想定以上に大きくなってしまったという問題である。その要因となったのは、監査人に対する監督を強化したことで、本来専門家であるはずの監査人がリスクを恐れて、「何でもかんでも、重要ではないはずのプロセスを含めて内部統制の対象としまった」(此本氏)ことだ。また、監査の結果を株主に直接報告する「ダイレクトレポーティング」という制度のために、企業内の関連組織との連携不足から、やはり重要なプロセスの絞り込みができず、コストがかかってしまったというものだ。

 此本氏は、先に挙げた(1)〜(4)に見られるような米国企業の対応を分析して、日本企業は「トップダウン型のリスクアプローチと監査方法の工夫が必要」だと主張する。また米国の場合、SOX法対応のコスト負担は特に中堅企業に対して厳しいものとなっていると此本氏は説明している。

 米SOX法では、米国企業を株式時価総額7500万ドル以上の第1グループと7500万ドル未満の第2グループに分けて、対応開始時期を別々にしている。第1グループは大企業であり、大企業は2004年11月15日以降に迎える決算期からSOX法に対応することを義務づけた。そして第2グループに属するのが中堅企業であり、本来このグループは2005年4月以降に迎える決算期から、SOX法への対応が義務づけられるはずだった。

 実際には、中堅企業、いわゆる第2グループはSOX法対応義務開始時期は2回の延期をせざるをえなかったという。現時点では「中堅企業は2006年7月15日以降に迎える決算期からSOX法への対応が義務づけられている」(此本氏)。

 だがそれでも中堅企業に対する負担は大きなものであるために、「米国では中堅企業への適用免除を検討も考えられている」(此本氏)。現実に、米証券取引委員会(SEC)の「中堅公開企業に対する諮問委員会」の4月23日の最終報告には「売上高7億8700ドル以下の企業を対象に、中堅企業の適した制度が構築されるまで、一定のガバナンス条件をクリアしていれば、内部統制監査制度の適用を免除する」という勧告が盛り込まれているという。

 野村総合研究所では、上場企業に対して日本版SOX法対応に関するアンケート調査を実施。その回答によると、上場企業の「62%が何らかの対応を開始している」(此本氏)という。そのうちの62%が監査法人・コンサルへの相談をしている。また35%が責任者を任命、32%がプロジェクトチームを発足させている。

 同じアンケート調査では、対応が困難な事項も調べており、60%以上が「統制の文書化が困難」としている。その理由としては、「業務マニュアルが更新されていない、証跡が残っていない、複数部署にまたがると文書化不能、文書化の途中で変更が起こる」ことを挙げている。

 さらに講演の中で此本氏は、「IT統制についても難問が山積している」と指摘する。というのは、(1)業務処理統制ばかりが先行し、IT統制の検討は後手に回りがち、(2)レガシーシステムにIT統制の設計思想がない、(3)ユーザー部門が独自開発の非標準化システムの存在、(4)子会社ごと、海外拠点ごとに違うシステムの存在、(5)アプリケーションのテスト負荷が大きい――といった状況があるからだ。

 こういったことを踏まえて、此本氏は内部統制を進めるうえでのポイントとして(1)従業員にとっては単なる作業負担であり、「内部統制」の意義と重要性をいかに一人一人に認識させ、実行させること、(2)単なる法対応の投資から、いかに企業にとって身のある投資にするか、(3)グループ全体の統制面で、どこまで標準化し、どこまで独自性を認めるか、(4)新会社法、日本版SOX法、個人情報保護法、不正競争防止法などをバラバラに行わず、共通として行うべき点、個別に対応する点を明確にしたマスタープランを作るべき――を挙げている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  2. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

  5. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]