ラウンドテーブルでは、まず日立から米国ベストプラクティス調査結果を報告しました。このラウンドテーブル開催の数カ月前に日立が実施した米国企業8社に対する面接調査などにより、図1に示すような3点が判明していました。

図1 2006年における米国企業のSOX法対応状況

多くの米国企業はSOX法対応のために何をすればよいかが、実施後3年目を迎えても明確ではない

調査時は米国SOX法施行3年目だったので、1年目、2年目、3年目において、企業の対応内容の違いをヒアリングしましたが、1年目は企業側で何をやればいいのか不明確で混乱状態だったようです。SOX法とその監査基準であるPCAOB(Public Company Accounting Oversight Board)監査基準第2号(AS2)にはゴールのみが書かれており、企業側が実際に何をすればいいのかがわかる「教科書」としては使えないものだったからです。どの企業も1年目は内部統制対象の業務の洗い出しと業務の文書化について、かなりの時間とコストがかかったようです。3年目を迎え、内部統制の効率化を図っていきたいという希望を持った企業が目立ちました。

多くの米国企業はSOX法対応の新ITシステムを導入しておらす、表計算ソフトや紙を使って対応している

中には積極的にITを導入して内部統制を強化しようとした企業もありましたが、「試行錯誤的に余計なエネルギーと時間とお金を費やしてしまった」と反省している企業もありました。また、SOX法対応の重要な点として企業内で部門間のコミュニケーションを良くし、全社で内部統制の目的を共有することを挙げた企業もありました。

SOX対応はコストだと思っているため、費用対効果の高いソリューションや、単なるSOX法対応ではなく企業全体のリスク管理という方向に模索が始まっている

SOX法対応にはコストが予想以上にかかっているというのはやはり事実で、内部統制に対してもROI(Return on Investment)的視点が求められています。つまり、財務報告の信頼性を合理的に保証するというSOX法のみへの対応だけではなく、付加価値をもたらすソリューション、たとえば、内部統制強化により達成されるミスや不正の削減などの業務の有効性や効率性向上にも寄与するソリューションが求められています。

また、財務報告の信頼性確保というピンポイントのリスクへの対応のみならず、企業全体のリスク管理を目指す企業もありました。とくに金融機関はさまざまな監督官庁や関連機関へのコンプライアンスに対応が必要ですし、米国の金融機関における個人情報保護法であるGLB法にも対応が必要であることから、企業全体のリスク管理とコンプライアンス対応が必要になります。

以上の3点がSOX法施行3年目を迎えた時点での米国企業の状況ですが、果たして同じような道を日本もJ-SOXでたどるのでしょうか?

現在、日本ではJ-SOX施行を翌2008年に迎えて、何を行えばよいのかわからない混乱状態であるのは確かです。そのため、様子見のスタンスを取っている企業も多いと聞きます。しかし我々日本企業はこれらの米国企業の経験からベストプラクティスを学ぶことにより、無駄なコストをかけることなく日本版SOX法に対応し、さらには日本版SOX法を超える企業価値向上という付加価値を得ることができると信じています。

提供:オービックビジネスコンサルタント

『奉行DOCUMENT Pack』はサンプル文書付。文書化作業を大幅に軽減。