SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

IT Compliance Reviewスペシャル

どこにいる? 誰がやる? J-SOX担当者

「何でもわかる”スーパーマン”はいない、キーパーソンを司令塔に」


一部の企業を除き、いわゆる「J-SOX」対応へ向けた、内部統制体制の整備作業は遅れている傾向にあるようだ。自身のコンサルティング業務などにより事情に詳しい富士ゼロックス株式会の磯豊氏は、「対応のためのポイントの1つは、金融商品取引法は日本版SOX法ではないと認識すること」と語る。その意味と、企業の現状と課題、今後の展望などについてお話をうかがった。 (IT Compliance Review vol.3より転載)

「実施基準待ち組」の対応はこれから

 「基準が明らかになるまでは、最低限の作業範囲がわからない。要はできるだけ目を向けないようにしていた」と磯氏が指摘するように、内部統制体制整備活動が遅れている現状の原因として挙げられるのはやはり、実施基準の公示が当初の予定よりも大幅にずれ込んだことだ。さらに米国のSOX法では中小企業における実施を簡易的に行うことが検討されている、という情報があったことなども"様子見"ムードを高めていたようだ。

 実際、内部統制体制の整備作業では、会社の規模にかかわらず一定以上の費用がかかる。少なくとも評価の範囲の決定、主要な業務プロセスの文書化など、相当の作業量が必須だからだ。中小企業ではいわゆる「規模の利益」が逆に作用し、相対的な負担感が上がる。

 そして2007年2月15日、実施基準が公示された。2007年11月の公開草案と比較して、随所に「規模に応じて」等の表現が増えているものの「上場している限り、ディスクロージャーや説明などの責任を果たしなさい」という金融庁の基本スタンスは変わっていない。実施基準の公示により、いよいよその対応に本腰を入れなくてはいけなくなったといえる。磯氏も「公示以後、約1カ月で内部統制のセミナーを5回ほど開催したが、ご参加の担当者から話をうかがうと、大変だといいながらも一生懸命に何とかしようという姿勢が感じられた」と語る。

専任担当者設置と公認会計士のスキル問題

 内部統制対応作業の出だしの段階でネックになりうるのが専任担当者の設置問題だ。規模が小さい企業ほど人材に余裕がなく、磯氏も自身のコンサルティング経験から「売上高1000億円規模の会社でも1人任命するのがやっとであり、それ以下ではさらに難しい」という実情を承知している。しかし、法律で定められた制度対応であり、作業は文書化だけではなく自主監査などもあることも考えれば、最低限1人の専任者を置くことが望ましい。

 たとえば磯氏が現在コンサルティングしている連結売上高2000億円程度の企業の事例だ。そこでは現在、経営企画、経理、IT、監査の4部門から担当者が出て内部統制対応プロジェクトを走らせている。磯氏は出向くごとに「誰が引っ張るのですか」と問いを発し、最終的な核になる人を決めるよう促している。最終的には4部門の中の1人が中心となって意志決定のための叩き台づくり、会計士との交渉を行い、その結果を各部門と交渉しながら落としていく。その「核」の決定は、文書化作業の後半から評価に入る段階までに決める必要がある。文書化の段階はいわば内部統制の設計図を描くようなもの。文書化の標準を決定し、各部門が分担して作業を行う。続く評価フェーズ以降、設計図通りに動くかどうかが問題で、その時までに「核」、すなわち専任担当者を決定しておきたい。

図1 中小規模の企業における内部統制システム構築
図1 中小規模の企業における内部統制システム構築

 ただ、専任担当者には基本計画を作成するスキルが求められるが、そこにはいくつかのポイントがある。当然、財務の視点におけるスキルが必要だが、今回の内部統制ではIT統制も入っていることから、ITに関する基本的な知識がないと対応できない。さらに売上系もあることから現場の営業についても知っていなければならない。しかし、そのすべてがわかる"スーパーマン"はなかなかいない。

 そこで磯氏は「求められるすべての知識を有していなくても、企業にはさまざまな決定におけるキーパーソンが誰かいる。そういう方がチームに入ることでうまくいく」と助言する。たとえばIT統制における要項を簡単に整理すれば、大きな項目として「プログラムの不正な改ざんの防止」や「システムへのアクセス管理」などがあり、それらを維持管理していくための制度や、モニタリングできる仕組みの構築が求められている。

 実は、それらは企業において以前からある統制項目である。ただ、全員が共有するルールとして明文化されていなかっただけで、関連するスキルは必ず、企業の中に存在する。そこで「キーパーソンを中心にプロジェクトを組み、知恵を出し合っていけばいい」(磯氏)。もちろん、専任担当者にふさわしい「キーパーソン」は一般業務における重要な人材であり、忙しい。そこで完全な専任が無理なのであれば、7割~8割担当する軸になる人を置くことを求めているという。

 専任担当者を定めるといっても、その任務は永遠ではない。内部統制体制が整備され、数年たてば企業内に浸透し、当たり前の業務の1つになるからだ。通常業務に落ちてくれば、あとは改善作業が中心になるので、導入時のキーパーソンのような強力なリーダーは役割を終えるというわけだ。

 また、「担当できる人」がいないのは企業内だけの問題ではない。「対応できる公認会計士」もいないのが実情だ。実際、内部統制マーケットにおける会計士の中には勉強が追いつかず、相談を受けても満足な回答ができない人が多いという。身近にいる会計士に質問できないのは、作業を進める上で大きな障害になっている。

 ただ、大手の監査法人の多くが2007年の夏頃までには監査方針を明らかにするとしており、現在取り残されている会計士もそれらを学び、秋以降には内部統制整備作業に追いついてくると期待できる。しかし、それを待っていては間に合わない。そこで磯氏は基本的に、先行企業で実践している監査法人の監査方針に従って作業を進めるようアドバイスしている。

次のページ
文書化、評価の対象を絞り込むには

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
IT Compliance Reviewスペシャル連載記事一覧

もっと読む

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/75 2007/12/06 15:47

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング