米SOX法の実態:第2回「多くの労力を要した404条対応の難しさ」

小川潔美、Bonnie Kortrey(野村総合研究所アメリカ) 2006年05月29日 22時43分

  • このエントリーをはてなブックマークに追加

 2002年7月に米国議会を通過したSarbanes‐Oxley法(SOX法)の主な目的は、企業の開示情報に精度と信頼性を増すことで投資家を守ることである。そして、SOX法施行とともに、企業経営者は企業の財務情報に完全なる責任を負うことになった。SOX法404条では、年次財務報告書(アニュアル・レポート)の一部に内部統制報告を入れることを義務付けており、企業はSOX法に準拠していることを確かなものにするため、周到な準備を行う必要性が生じた。

 SOX法には企業が遵守すべき多くの項目を設けているが、内部統制の導入とその証明を企業に強いる404条はSOX法準拠作業の中で最も負荷がかかる部分である。

 SOX法が施行された当初、企業は「何をすべきか」についてある程度理解していたものの、「どのように行うべきか」に関しては不明瞭な点が多くあった。SOX法には企業が従うべきプロセスや具体的な活動などについての記述はなく、単に「内部統制を導入する」ということだけが述べられていたためである。

 この連載の趣旨は、SOX法に準拠したITプロセスと企業の活動を説明するものであるが、これを理解するには、まず対応プロセス全体を把握する必要がある。多くの企業が多大なる労力をつぎ込んでいるSOX法404条の対応プロセスとはどのようなものかを、現場の実態を含め報告する。

 会計事務所系のコンサルティングファームをはじめとして、さまざまなコンサルティング会社が、それぞれのメソドロジーと独自の用語を使い顧客のSOX法対応活動を支援しているが、通常、対応活動に使われているプロセスは、以下のように共通のものとなる。

  1. 対応準備
  2. スコープ定義
  3. 文書化
  4. テスト
  5. 評価
  6. 報告

 それぞれのフェーズにかかる時間は、SOX法対応前の各企業の状況により大きく異なる。既に内部統制を充分に整備している企業は、その見直しとSOX法で特に要求される部分の文書化程度で済む。しかし、それまで内部統制に力を入れていなかった企業にとっては多大な作業となる。財務管理者の団体であるFEI(Financial Executives International)による2004年3月の調査では、企業は平均2万6000時間、430万ドルをSOX法対応に費やしていることを報告している。

 それでは各フェーズで実際にどのような作業が要求されるのか、簡単に説明してみよう。

フェーズ1:対応準備

 第1フェーズでは、SOX法対応プロジェクトの組織体制とガバナンスが設けられる。SOX法対応プロジェクトには最高経営責任者(CEO)の支援が必ず必要である。CEOの支援がない場合、プロジェクトは単に会計部門、監査部門のプロジェクトと見なされ、事業部門の参画が充分得られない。

 CEOをはじめとしたトップ経営層の支援や管理がない状況でSOX法対応を始めた企業は、早い段階でプロジェクトの挫折を味わっている。例えば、年商20億ドルに及ぶ携帯電話のグローバル・ディストリビューターは、そのプロジェクトマネージャーがトップ経営層の支援を得ずにプロジェクトを進めた結果、プロジェクトに問題が続発。

 結果、このプロジェクトマネージャーは解任された。トップの支援がないと、プロジェクトの優先順位が低くなり、充分なリソースを獲得できない。SOX法対応を支援するコンサルティング会社は、異口同音に「CEOや最高財務責任者(CFO)の支援」の必要性を説いている。

 SOX法対応のアカウンタビリティを明確に示すうえでも、経営トップはSOX法対応に充分なリソース(すなわちヒト、カネ、時間)を投入し、確固とした対応へのコミットメントを表明する必要がある。

 先にあげた携帯電話ディストリビューターは、当初の失敗から経営トップのコミットメントの重要性を認識し、グローバルに散在する財務担当役員やその他経営陣を対象として、本社経営トップがSOX法対応へのコミットメントを繰り返し要請した。

 プロジェクト対応組織の規模と構成は、企業規模により大きく異なる。中規模企業では1〜2人の専任スタッフでプロジェクトが実行されている。しかし、大規模グローバル企業では世界中のチームを調整しながら作業を進める、SOX法対応に特化した部門が組織化される。

プロジェクト・チームの役割

 プロジェクト・チームは以下のような事柄に責任を持つ。

  • 企業の各部門のアカウンタビリティを設定・管理
  • 期限順守
  • 文書化、テスト、報告などの社内基準を設定
  • 問題点の修正方法を策定
  • 全コンプライアンス関連事項に関して社内のコミュニケーションチャネルとなる。

フェーズ2:スコープ定義

 本フェーズではSOX法対応の対象範囲(スコープ)を決定する。スコープは、主要会計項目、すなわち財務報告書にある勘定科目から、財務報告書にインパクトを及ぼす項目を洗い出すことから始まる。それが決まると、次には各勘定科目に関連する業務プロセス、並びにサブプロセスをマップしていく。次に、業務サブプロセスのリスク評価を行うと同時に、テスト対象となる拠点(オフィス)を設定していく。

日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
運用管理

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]