ラウンドテーブルは引き続き、SOX法対応実績を持つ企業によるディスカッションが続きました。
SOX法対応へのハードル
160年続いた工作道具・機器製造会社であるStanley Worksのプレゼンでは、ITグループと財務グループの2体制でSOX法に対応し、複数のSOXマネージャーが内部統制をレビューしたという発言がありました。監査法人から提供されたツールを使ってSOX法対応を行い、業務統制では1,900、IT全般統制では340のコントロールがあるという規模です。
図2 ある米国製造業企業が苦労した点 |
過去4年間で苦労した点として、人の面からは、内部統制という考え方を受け入れることが従業員には難しかったことです。単に内部統制の考え方を理解できない人だけでなく、会社の経営陣が自分たちの仕事のやり方を信用していないと感じる人も多かったそうです。このあたりは日本版SOX法対応にあたり、社内の事前教育が重要であることを再認識しました。
2つ目として業務プロセスの面からは、内部統制の整備にあたり従来の業務プロセスを変えなければならないことが多かったそうです。しかし、その新しい業務プロセスは必ずしも効率的ではないことから、従業員に対する説明のための新たな教育が必要になったということです。
最後に技術の面からは、コンプライアンス要求に耐えない古いシステムがあったということです。たとえばロールをサポートしないERPシステムを挙げていました。
現在抱えている課題の分析
では、この企業が現状で抱えている課題には何があるのでしょうか。
図3 ある米国製造業企業の現状の課題 |
現在抱えている課題としては、1つ目は自動化です。重要なコントロールポイントを維持しながらも、より効率的な業務プロセスを実装するために、IT統制の自動化を図りたいということです。変更管理の自動化、ID管理におけるユーザプロビジョニング、コンピュータオペレーションの集中監視が例として挙げられていました。
2つ目は整合性です。Stanley Worksは分散システム戦略を採用しているためさまざまなシステムがあり、各システムで個別のユニークなコントロールが実装されているので、コントロールの実装やテストが難しいそうです。したがって業務プロセス間での整合性が課題になっているそうです。
3つ目は協調です。外部監査人、内部監査人、経営陣間の協調や、事業部間のコミュニケーションが課題となっているとのことです。
今後の予想
最後に、米国の今後3 - 5年におけるSOX法に関する変化の予想を示してくれました。
図4 ある米国製造業企業のSOXに対する今後の予想 |
1つ目は「SOX法対応への要求がより明確になる」です。現状のSOX法対応への要求が明確でないことの表れですね。
2つ目は「"ビッグ4"(4大監査法人※)間での一貫性が増す」です。これは漏れ聞く話ですが、監査法人によって監査の基準に違いがあるという話でしょう。これは一致してもらわないと企業側としては困ってしまいます。日本ではこの点に関しては本番の内部統制監査が行われていない状況ですから、果たして監査法人間で監査内容に違いが出るのかどうかはまだわかりません。
※ KPMG、Ernst & Young、Deloitte Touche Tohmatsu、PricewaterhouseCoopersのこと。日本のビッグ4は、あずさ監査法人、新日本監査法人、監査法人トーマツ、みすず監査法人だが、みすずは度重なる不祥事の煽りを受け、2007年7月をもって監査業務から撤退した。
3つ目は「コンプライアンスをサポートするより良い製品やツールが出てくる」です。ITを活用してSOX法に対応していきたいという意欲を感じ取ることができます。
これらのStanley Works社の経験と現状は日本企業にも非常に参考になるものが含まれていると思います。
金融機関からの意見としては、Citigroupからは「SOX法対応には本当にお金がかかる。内部統制用に表計算ソフトのテンプレートを使ってきたが、今後はデータベースの統合化を検討している」という意見があり、またMetLifeはこれから日本版SOX法に対応する日本企業には、SOX法用のデータベースの導入を薦めていました。
提供:オービックビジネスコンサルタント
『奉行DOCUMENT Pack』はサンプル文書付。文書化作業を大幅に軽減。