ICT用語ガイド
GUIDE 005 日本版SOX法

パート2　企業のSOX法対応への作業プロセス

SOX法への対応の肝は「404条」にあり！

2004年11月から、すでにアメリカでは一部の大会社（株価総額7500万ドル以上）に対して内部統制報告書の開示が義務づけられていますが、「SOX法に対応している」ということは、「第404条に対応している」とほぼイコールであると言われるほど、「第404条」が重要視されています。
404条には「経営陣による内部統制の評価」に関する詳細が述べられているのですが、中でも「経営者の責任」について、厳しく定めています。開示する報告書のすべては経営者の責任のもとに作られ、書類には必ず本人の署名が必要となります。もしも、虚偽や記載漏れなどが発覚した場合には、個人的な責任が問われることになり、罰金もしくは5～20年の禁固刑という厳しい刑事罰を受けることになるのです。

すべての報告書は、経営者の責任のもとに作られる…。この第404条に対応するために、トップの経営陣（CEOやCFO）は、社内のしくみについて、極めて慎重に評価し、責任を負う必要があります。効率よく作業プロセスを文書化するシステムが社内にできているかどうか、適切なルールはできているか、チェック及び管理体制は万全かなど、総合的に評価していくのです。もちろん、ただ法律に対応しているというだけではありません。実際の業務として合理的に動いているかどうかまでを視野に入れて、適切に判断していく。そこが内部統制の評価ポイントとなるのです。

とはいっても、「一体どこからやっていけば…」と、頭を悩ます経営者も多いはず。実際にアメリカでも2年間の準備期間があったにもかかわらず、対応が間に合わず、外部監査人から、「内部統制がきちんとできていない」と評価を下された企業が、1割以上もあったのです。

では、どのようなプロセスで、日本版SOX法への対応を進めていけばいいのでしょうか？　まずはトップ陣が内部統制の重要性を正しく理解すること。ここからすべてが始まります。経営陣の意識がひとつにまとまったら、つぎに適切な人材（社内・外）を確保していきます。たとえば、内部監査室・経理部・経営企画部など、比較的中立的なスタッフ部門と、IT部門の両方からメンバーを選出するなど、どんなメンバーにリーダーシップをとらせるかを判断していくことも大切です。それと同時に社内やグループ企業内に、「SOX法に対応することの必要性と重要性」を浸透させていくことも重要なポイントでしょう。

NTTコミュニケーションズでは、SOX法404条への対応の作業プロセスとして、次の6つのステップを提案しています。

【STEP1】社内人材のアサインを含めた体制の確立･･･: 日本版SOX法対応にはかなりの作業が必要となりますので、適切な人材のアサインが欠かせません。特に中立的なスタッフ部門とIT部門の双方から人材を配置していくことが重要なポイントとなるでしょう。日本版SOXへの対応は、今後毎年継続して行うプロセスですので、きちんとした内部体制を確立することが必要です。

【STEP2】財務報告の中で重要な勘定科目の特定･･･: 会計監査をお願いしている監査法人と相談の上、財務情報に重要な影響を与える勘定科目、サービス、プロセスなどを特定していきます。これを行うことで、実際の作業量や不足リソースが明らかになり、外部のコンサルティング会社や各種ツールの活用をどうするかといった対応策の検討を始めることができるようになります。そして、それらを含めた会社としての基本方針を決定していきます。
ここまで終了し、体制が確立できたら、次のステップ(文書化～)に進みます。

【STEP3】文書化･･･: 全社的な統制としては、企業文化やその徹底などを含めた基本的な項目の質問集を作成し、回答を記入します (質問書)。
業務プロセスレベルの統制に関しては、一般的には、上記STEP2で選定した業務プロセスをナレーション的に記述し (業務記述書)、フローを図示し (フローチャート)、財務報告の信頼性を脅かすようなエラーや不正などの業務上のリスクを特定してその抑制方法を記載する (リスクコントロールマトリクス)、という3つの業務プロセス関連文書の作成を行います。

【STEP4】整備状況/運用状況の評価･･･: 文書化までかなりの作業量がありますが、文書化だけでは統制が利いているとは言えません。
整備状況の評価とは、記載したコントロールによってリスクがきちんと低減されるようにドキュメント上で設計されているかどうかを確認する作業です。
その後、実際の業務遂行上で、文書化されたコントロール通りに運用されているかを確認していくプロセスが運用状況の評価です。運用状況の評価は、いくつかのサンプルによる「検査」や、本番環境でのデータ入力による「再実施」などいくつかの手法の組み合わせによって行うことになります
ここまで辿り着けば、あと少しで、J-SOX法対応となります (この時点ではまだ完了しません)。

【STEP5】不備事項の改善･･･: 整備状況の評価及び運用状況の評価の段階で、リスクがきちんと低減出来ないと判断された場合には、新たな業務プロセスを組み込む、ITシステムを活用してコントロールを強化するなどの取組みによって、リスクを許容できるレベルまで低減する必要があります。
この段階で、「どこに重点的に投資すればよいか」といった投資のポイントが見えてきます。

【STEP6】内部統制評価報告書･･･: 最後の段階です。決算期末時点で、監査法人がいくつかのテストを実施し、評価報告書の提出となります。

以上の6つのステップを、ひとつひとつじっくりとクリアしていくのが理想ですが、実際問題として日本版SOX法の適用までに間に合わせる必要があります。そこで、NTTコミュニケーションズがお勧めしているのが、「2カ年計画」です。まずは最初の1年で、【STEP1】から【STEP6】までの一連のプロセスを、予行練習的に実施してみます。実際に動いてみてはじめて気づくことや、もっと効率化が図れるプロセスなど、様々な修正点が見えてくるはずですので、次の2年目にじっくりと【STEP5】の「不備事項の改善」を行っていきます。このように「トライアル&エラー」を2年かけて繰り返していけば、日本版SOX法の適用が見込まれている2009年3月には、【STEP6】の内部統制評価報告書を余裕を持って提出することができるのではないでしょうか。

インタビュー：ついに日本版SOX法成立！！今、企業は何をするべきなのか？

今回は当社のプラットフォームサービス部の佐野みゆきさん、竹中健一さんに、日本版SOX法について話を聞きました。

日本版SOX法の中核となる「金融商品取引法」が、6月7日に成立しましたが、その対応について、どのようにお考えですか？　中には「どこから何をはじめたらいいのかわからない」という企業もあると聞いていますが…。

プラットフォームサービス部　プラットフォームビジネス部門　企画開発グループセキュリティPF　担当部長　佐野みゆき

やはり「米SOX法の第404条への対応」がポイントになると思います。ちゃんとした企業さんであれば、外部統制はしっかりできているところが多いのですが、内部統制となると話は別。意外と実施しきれていない企業さんが多いのです。内部統制を整備し、それについての報告書を出せ、というのは新しい試みですので、とまどう点も多いと思いますが、SOX法の基本的な目的は、財務諸表を作成する際に使用する財務関連データの正確性を保証することです。ここが間違っていると、全体が違う数字になることだってあり得ますからね。　そこで、財務諸表の中で、重要な勘定科目はどれで、それに関わっている業務プロセスはどれで…と、まずは特定するところから始めることです。最初からあんまり範囲を広げてしまうと、大変な作業になってしまうし、逆に絞り込みすぎても、あとから監査法人に不十分と指摘されることになるので、監査法人と密にコミュニケーションをとりながら、適切なレベルに絞り込むこと。これが一番のポイントだと思っています（佐野）。

プラットフォームサービス部　プラットフォームビジネス部門　企画開発グループセキュリティPF　主査　竹中健一

また、アメリカでは外部監査と内部監査は違う監査法人がやることが多いようですが、日本版SOX法では同じところがやってもいいことになっています。公認会計士の数を見ても、アメリカは33万人もいるのに、日本は1万6千人程度しかいない。外部と内部を違う法人に頼んだら、大変なことになるわけです。リソースの違いですね。
ですから、日本では外部、内部と分けるのではなく、まずは通常外部監査をお願いしている監査法人に、内部統制についても相談してみることから始められるといいと思います（竹中）。

今後、ITへの対応に関する議論が具体化してくると思いますが、企業としてはどのような対策が必要だとお考えですか

そうですね。日本版SOX法への対応によって、IT部門の業務は非常に増えるだろうと考えています。セキュリティ関連はもちろん、新たにシステムを構築する場合もあるでしょうし、IT統制の文書化と毎年のメンテナンスなども発生しますからね。でも、業務量が増えるからといってIT部門ばかりに人材（リソース）をはりつけておくわけにはいかない。そうなると、業務のプライオリティ付けを行うことが大切になってくると思います。たとえば、内部統制では補完的な位置付けとなっているネットワーク関連などはアウトソーシングする、といった選択をする企業も増えてくるでしょう（佐野）。

SAPのようなERPパッケージを導入している企業でも、ほとんどのケースがカスタマイズして使っています。代理決裁できたり、簡略化して権限をゆるめたり…。いくらパッケージ自体はSOX法に対応していても、そういう使い方では内部統制できているとは言えない。ERPを入れていれば安心というわけではないんです。ですから、「これを入れれば完全対応できますよ」というものではないので、場合によっては個別に対応していくことが大切になっていくと考えています。

インタビューを終えて: まだ詳細が見えない日本版SOX法ですが、実施に向けて着実に進んでいることだけは確かなようです。本決まりになってから慌てることのないように、今のうちから少しずつ、準備をしていくべきでしょう。まずは経営陣の意思決定と社内人材のアサイン。そして、監査法人との対話を通しての勘定科目からの重要事項の絞り込み。ここから着手していけば、日本版SOX法への対応について、スムーズなスタートが切れるはずです。; 佐野さん、竹中さんのお話にあったように、実際にはIT部門の業務は激増することが予想されます。例えば、エクセルで「これ以上、これ以下の数字は入れられない」といったデータ入力のプログラムをマクロ機能を使って組んだとします。日本版SOX法に対応するには、誰がデータを入力するのか、誰がチェックをしているのか、そのマクロを組んだときの開発手順はどうなっているのか、といった点まで文書化していく必要があるとのこと。これはかなりの時間がかかる作業になりますから、早めの対応を検討されることをおすすめします。; また、IT関連のアウトソースも、今後ますます増えていくだろうというお話も印象的でした。どんな企業に対して日本版SOX法は適用されるのか、現時点ではまだわかりませんが、企業のIT業務を委託される企業に対しても、内部統制の徹底が求められるようになる。そんな時代がもうすぐやってくるのかもしれません。
個人情報保護法が施行されてから、企業のプライバシーに対する姿勢が評価の対象となりましたが、それと同様に「うちは内部統制がきちんとできています！」と宣言することが、「信頼できる企業」と評価される、大きなセールスポイントになるのでしょう。

●NTTコミュニケーションズの内部統制関連サイト