日本版SOX法プロジェクトの進め方教えます：SOX法コンサルタントの憂い（4）（1/3 ページ）

突然、日本版SOX法対応の責任者に任命され、何から始めればよいのかも分からず途方に暮れている方も多いのではないでしょうか。今回はそのような方を対象に、日本版SOX法対応における、「まず何をどう始めればよいのか」や「プロジェクトの進め方」などを考えていきます。

　ある日、あなたは経理担当常務に呼ばれ、「当社も内部統制プロジェクトをやることになった。ついては君に、プロジェクトのまとめ役をやってもらいたい」といわれました。

　日本版SOX法（金融商品取引法）では、上場企業に対して「2008年4月以降に始まる決算期から、内部統制報告書の作成と提出」を義務付けています。さて、あなたは「何から、どう手を付けて」いったらよいのでしょうか。

　まず考えなければならないのは、「プロジェクトで整備すべき内部統制の目的は何か？」を決めなくてはなりません。

　企業会計審議会が採択した「実施基準」（注1）による、いわゆる「日本版COSO」では、内部統制の目的を「財務報告の信頼性」だけではなく、「業務の有効性と効率性」や「関連法規の順守」、そして「資産の保全」も規定しています。2006年5月に施行された会社法では、取締役会が内部統制の方針を決定することを定めていますが、その内容は上記に加えて、「情報の管理」や「損失の危険の管理」なども含まれています

＜図表1：内部統制の諸目的＞

誰のための内部統制なのか？

　さて、あなたが託されたプロジェクトでは、いったいどこまでをカバーすればいいのでしょうか？ 前述の課題全部となれば、とてつもなく大きなリスクマネジメントプロジェクトになるでしょう。

　そのキーとなる判断基準は、「会社が会社のためにする内部統制の構築」ということです。ですから、どれを対象にするかは会社の方針です。ところで、会社法では、取締役会が内部統制の方針を定めることになっていますが、取締役会にしても何かしらの案が示されないと、真っさらの状態から急に議決はできないでしょう。

　ですから、あなたはまず、「会社に必要なプロジェクトの目的と、実施するべき内部統制の内容を取締役会で議決してもらうべく」提案を書くところから始めなければなりません。

　ここで注意すべきは、日本版SOX法で定められている「財務報告の信頼性」については、そのような厳しい規定がありませんから、会社が決める範囲で、リスクの特定、リスクの評価、そして大きなリスクへの対応策の策定までやれば十分でしょう。