日本版SOX法(金融商品取引法の一部)の適用が開始される2008年4月まであと1年少々。だが、日立製作所のアンケートによると、最も負荷が大きいとされる文書化の作業に取り組んでいるのは16%の企業に過ぎず、全体の約8割が実作業に取り組んでいない。
日本版SOX法(金融商品取引法の一部)の適用が開始される2008年4月まであと1年少々。内部統制整備を検討し始める企業が増えてきた。だが、日立製作所のアンケート(同社セミナーの来場者150社程度が対象)によると、最も負荷が大きいとされる文書化の作業に取り組んでいるのは16%の企業に過ぎず、全体の約8割が実作業に取り組んでいない。日立システムアンドサービスの執行役 石井清氏は「内部統制の全体方針が不明確な企業が多い」と指摘する。
日立システムのコンサルタントの声を集約すると、企業の内部統制整備における悩みは5つ。主に財務部門から寄せられた悩みだ。1つは石井氏が指摘した全体の方針が不明確なこと。日本版SOX法の対象は「財務報告に係る」ことだが、その整備に合わせて事業リスクや業務改善まで行おうとする企業がある。ただ、実際問題を考えると財務報告に係る内部統制の整備だけで精一杯の企業がほとんど。石井氏は「まずは財務報告に係るリスクに限定して進め、会社として重要と考えるリスクは第2フェイズで対応する」ことを勧める。
2つ目の悩みは監査人との調整だ。監査人とコミュニケーションを取らずに内部統制整備を進めると、法律の枠を超えてやりすぎてしまったり、逆に求められるレベルに達せずに最終段階になって監査人に指摘を受けることがある。工程が後戻りしてしまい、プロジェクトが遅延することが考えられる。石井氏は「対象会社や業務プロセスの選定、リスクコントロールマトリクス(RCM)の内容についての意識あわせが必要」と語る。
3つ目は内部統制文書の品質が保てないこと、4つ目が内部統制文書の粒度が不明確なこと。いずれも内部統制整備について全社の方針が決まっていないことが要因だ。石井氏は内部統制の文書化について、特定のビジネスプロセスについてパイロットのプロジェクトを走らせて、ノウハウを蓄積したり、人材を育成することを提案。粒度については、文書の位置付けを明確にし、サンプル文書を作ることが必要と強調した。粒度については悩んでいる企業が多いといい、石井氏は「日立システムのコンサルタントも苦労している」と話した。
5つ目は「業務のIT部分が分からない」ということ。財務関連のビジネスプロセスはITに依存する部分が大きく、システムに関する知識がないと文書化は行えない。しかし、文書化作業を進めるプロジェクトのメンバーは財務や経理の出身者が多く、社内のITに関する知識が乏しいケースがある。社内のITシステムに詳しいのはもちろんIT部門。石井氏は「早い段階でIT部門をプロジェクトに引き込むことが重要だ」と話した。
日立システムは2006年3月から内部統制整備のコンサルティングサービスを提供している。日立グループの内部統制整備のノウハウをまとめたテンプレートやツールを用意。主に中堅規模へのコンサルティングが多く、整備計画策定から展開準備のフェイズで支援することが多いという。2月27日には、キングジムが日立システムのシステム構築で文書化支援ツール「Ci-Tower」を導入したと発表した。
2007年1月には日立製作所のドキュメント管理製品「DocumentBroker」を、日立システムのブランド「ラビニティ ECM」として販売開始すると発表した。DocumentBrokerは大規模システム向けのECM(エンタープライズ・コンテンツ管理)製品で、国内シェアは1位(出荷本数ベース)。石井氏は内部統制の文書化が終わった企業に対して、文書の改訂管理、業務効率向上のツールとして提案するという。
日立システムは社内に40人規模の「内部統制ビジネス推進センタ」を設けてソリューションの拡販を行っているが「全然、人が足りない」(石井氏)状況。そのため社内認定制度の「内部統制アドバイザー」を作り、70人を育成し、提案活動に当たらせているという。
Copyright © ITmedia, Inc. All Rights Reserved.