編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

米SOX法の実態:第2回「多くの労力を要した404条対応の難しさ」

小川潔美、Bonnie Kortrey(野村総合研究所アメリカ)

2006-05-29 22:43

 2002年7月に米国議会を通過したSarbanes‐Oxley法(SOX法)の主な目的は、企業の開示情報に精度と信頼性を増すことで投資家を守ることである。そして、SOX法施行とともに、企業経営者は企業の財務情報に完全なる責任を負うことになった。SOX法404条では、年次財務報告書(アニュアル・レポート)の一部に内部統制報告を入れることを義務付けており、企業はSOX法に準拠していることを確かなものにするため、周到な準備を行う必要性が生じた。

 SOX法には企業が遵守すべき多くの項目を設けているが、内部統制の導入とその証明を企業に強いる404条はSOX法準拠作業の中で最も負荷がかかる部分である。

 SOX法が施行された当初、企業は「何をすべきか」についてある程度理解していたものの、「どのように行うべきか」に関しては不明瞭な点が多くあった。SOX法には企業が従うべきプロセスや具体的な活動などについての記述はなく、単に「内部統制を導入する」ということだけが述べられていたためである。

 この連載の趣旨は、SOX法に準拠したITプロセスと企業の活動を説明するものであるが、これを理解するには、まず対応プロセス全体を把握する必要がある。多くの企業が多大なる労力をつぎ込んでいるSOX法404条の対応プロセスとはどのようなものかを、現場の実態を含め報告する。

 会計事務所系のコンサルティングファームをはじめとして、さまざまなコンサルティング会社が、それぞれのメソドロジーと独自の用語を使い顧客のSOX法対応活動を支援しているが、通常、対応活動に使われているプロセスは、以下のように共通のものとなる。

  1. 対応準備
  2. スコープ定義
  3. 文書化
  4. テスト
  5. 評価
  6. 報告

 それぞれのフェーズにかかる時間は、SOX法対応前の各企業の状況により大きく異なる。既に内部統制を充分に整備している企業は、その見直しとSOX法で特に要求される部分の文書化程度で済む。しかし、それまで内部統制に力を入れていなかった企業にとっては多大な作業となる。財務管理者の団体であるFEI(Financial Executives International)による2004年3月の調査では、企業は平均2万6000時間、430万ドルをSOX法対応に費やしていることを報告している。

 それでは各フェーズで実際にどのような作業が要求されるのか、簡単に説明してみよう。

フェーズ1:対応準備

 第1フェーズでは、SOX法対応プロジェクトの組織体制とガバナンスが設けられる。SOX法対応プロジェクトには最高経営責任者(CEO)の支援が必ず必要である。CEOの支援がない場合、プロジェクトは単に会計部門、監査部門のプロジェクトと見なされ、事業部門の参画が充分得られない。

 CEOをはじめとしたトップ経営層の支援や管理がない状況でSOX法対応を始めた企業は、早い段階でプロジェクトの挫折を味わっている。例えば、年商20億ドルに及ぶ携帯電話のグローバル・ディストリビューターは、そのプロジェクトマネージャーがトップ経営層の支援を得ずにプロジェクトを進めた結果、プロジェクトに問題が続発。

 結果、このプロジェクトマネージャーは解任された。トップの支援がないと、プロジェクトの優先順位が低くなり、充分なリソースを獲得できない。SOX法対応を支援するコンサルティング会社は、異口同音に「CEOや最高財務責任者(CFO)の支援」の必要性を説いている。

 SOX法対応のアカウンタビリティを明確に示すうえでも、経営トップはSOX法対応に充分なリソース(すなわちヒト、カネ、時間)を投入し、確固とした対応へのコミットメントを表明する必要がある。

 先にあげた携帯電話ディストリビューターは、当初の失敗から経営トップのコミットメントの重要性を認識し、グローバルに散在する財務担当役員やその他経営陣を対象として、本社経営トップがSOX法対応へのコミットメントを繰り返し要請した。

 プロジェクト対応組織の規模と構成は、企業規模により大きく異なる。中規模企業では1〜2人の専任スタッフでプロジェクトが実行されている。しかし、大規模グローバル企業では世界中のチームを調整しながら作業を進める、SOX法対応に特化した部門が組織化される。

プロジェクト・チームの役割

 プロジェクト・チームは以下のような事柄に責任を持つ。

  • 企業の各部門のアカウンタビリティを設定・管理
  • 期限順守
  • 文書化、テスト、報告などの社内基準を設定
  • 問題点の修正方法を策定
  • 全コンプライアンス関連事項に関して社内のコミュニケーションチャネルとなる。

フェーズ2:スコープ定義

 本フェーズではSOX法対応の対象範囲(スコープ)を決定する。スコープは、主要会計項目、すなわち財務報告書にある勘定科目から、財務報告書にインパクトを及ぼす項目を洗い出すことから始まる。それが決まると、次には各勘定科目に関連する業務プロセス、並びにサブプロセスをマップしていく。次に、業務サブプロセスのリスク評価を行うと同時に、テスト対象となる拠点(オフィス)を設定していく。

日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]